El spear phishing es un ataque de suplantación de correo electrónico. Se dirige a una organización o individuo específico, que busca acceso no autorizado a información confidencial. El spear phishing no suelen ser iniciados por hackers informáticos aleatorios. Pero es más probable que sean perpetrados por perpetradores con fines de lucro, secretos comerciales o información militar.
El spear phishing es un ataque de ingeniería social en el que un perpetrador, disfrazado de individuo de confianza, engaña a un objetivo para que haga clic en un enlace en un correo electrónico, mensaje de texto o mensaje instantáneo falsificado. Como resultado, el objetivo revela involuntariamente información confidencial, instala programas maliciosos (malware) en su red o ejecuta la primera etapa de una amenaza persistente avanzada (APT), por nombrar algunas de las posibles consecuencias.
Si bien es similar a los ataques de phishing y whaling, el spear phishing se lanza de una manera única y sus objetivos difieren de otros ataques de ingeniería social. Como resultado, el ataque merece especial atención al formular la estrategia de seguridad de su aplicación.
¿Cómo funciona Spear Phishing?

El spear phishing sigue un patrón bien conocido. Los phishers comenzarán investigándote y aprendiendo sobre la empresa para la que trabajas, tus colegas y los proyectos en los que puedes estar trabajando actualmente.
Luego, recibirá un correo electrónico que parece provenir de alguien que usted conoce. Como ejemplo, puede hacer referencia a un proyecto en el que está trabajando o un problema que está tratando. Alternativamente, podría hacer referencia a un evento próximo o un contacto mutuo. Habría un archivo en el correo electrónico que le indica que descargue.
A menudo, el archivo será alojado por un servicio como Dropbox o Google Drive. Cuando vaya a la página que aloja el archivo, le pedirá que ingrese sus credenciales. El sitio de inicio de sesión se verá como un Google legítimo o una página de inicio de sesión similar.
Pero esta página en realidad está siendo ejecutada por el estafador. Cuando ingrese su nombre de usuario y contraseña, el estafador accederá a su información en lugar de iniciar sesión. Esto incluso puede funcionar con autenticación de dos factores. Cuando ingresa su código de autenticación, también se envía al estafador.
El estafador tiene el nombre de usuario y la contraseña de su cuenta de Google u otra cuenta importante. Pueden usar esto para acceder a sus otras cuentas también. Por lo tanto, invaden su seguridad.
Ejemplos de Spear Phishing
El siguiente ejemplo ilustra la progresión y las posibles consecuencias de un ataque de spear phishing:
- Una persona que afirma representar a www.itservices.com, un proveedor de SaaS de gestión de bases de datos, envía un correo electrónico falsificado al administrador del sistema de la empresa. El correo electrónico utiliza la plantilla de correo del cliente itservices.com.
- El correo electrónico afirma que itservices.com ofrece un nuevo servicio gratuito por tiempo limitado. E invita al usuario a registrarse en el servicio utilizando el enlace adjunto.
- Después de hacer clic en el enlace, el administrador del sistema se redirige a una página de inicio de sesión en itservice.com. Un sitio web falso idéntico a la página de registro de itservices.com.
- Al mismo tiempo, se instala un agente de comando y control en la máquina del administrador del sistema, que luego se puede utilizar como puerta trasera en la red de la empresa para ejecutar la primera etapa de un APT.
Spear Phishing vs. Phishing vs, Whaling
Esta familiaridad es lo que distingue el spear phishing de los ataques de phishing regulares. Los correos electrónicos de phishing generalmente son enviados por un contacto u organización conocida. Estos incluyen un enlace malicioso o un archivo adjunto que instala malware en el dispositivo del objetivo. O dirige el objetivo a un sitio web malicioso que está configurado para engañarlos para que brinden información confidencial. Como contraseñas, información de cuenta o información de tarjeta de crédito.
Spear phishing tiene el mismo objetivo que el phishing normal, pero el atacante primero recopila información sobre el objetivo deseado. Esta información se utiliza para personalizar el ataque de spear phishing. En lugar de enviar correos electrónicos de phishing a un gran grupo de personas, el atacante se dirige a un grupo selecto o a un individuo. Al limitar los objetivos, es más fácil incluir información personal. Al igual que el nombre o el título del trabajo del objetivo, y hacer que los correos electrónicos maliciosos parezcan más confiables.
La misma técnica personalizada también se usa en whaling attack. Un whaling attack es un ataque de Spear Phishing dirigido específicamente a objetivos de alto perfil como ejecutivos de nivel C, políticos y celebridades. Los ataques de caza de ballenas también se personalizan al objetivo y utilizan los mismos métodos de ingeniería social, suplantación de correo electrónico y suplantación de contenido para acceder a datos confidenciales.
¿Cómo Spear Phishers hacen que sus mensajes se vean legítimos?
Los correos electrónicos de phishing regulares son fáciles de detectar si sabe qué buscar. Pero a diferencia de los correos electrónicos de phishing genéricos que se envían en masa, un ataque de spear phishing está dirigido específicamente a usted. Los phishers usan técnicas para hacer que sus correos electrónicos sean más convincentes.
Un truco común es que el phisher compre un dominio muy similar al dominio real del que desea falsificar un mensaje.
Alternativamente, un phisher podría utilizar la suplantación de correo electrónico para falsificar un correo electrónico falso de alguien que usted conoce.
Los mensajes de correo electrónico serán bien escritos y profesionales, sin errores ortográficos ni gramaticales. Y los phishers pueden ser muy astutos en la forma en que hacen que los correos electrónicos parezcan urgentes e importantes. Podrían falsificar un correo electrónico de su jefe o del CEO de su empresa. Alguien a quien no le gustaría preguntar.
Los phishers incluso pueden investigar para averiguar cuándo uno de sus colegas está fuera en un viaje de negocios. Luego te enviarán un correo electrónico, pretendiendo ser ese colega, ya que saben que no les hablarás en persona. Hay muchas maneras para que un phisher se entere de su empresa y use esa información para engañarlo.
Consejos para evitar un ataque de Spear Phishing

La naturaleza específica de los ataques de spear phishing los hace difíciles de detectar. Sin embargo, varias medidas de prevención de riesgos pueden ayudar.
1. Vea qué información personal publica en Internet
Mira tus perfiles en línea. ¿Cuánta información personal está disponible para que los potenciales atacantes la vean? Si hay algo que no desea que vea un posible estafador, no lo publique. O, como mínimo, asegúrese de haber configurado la configuración de privacidad para limitar lo que otros pueden ver.
2. Tener contraseñas inteligentes
No use solo una contraseña o variaciones de contraseñas para cada cuenta que posea. Reutilizar contraseñas o variaciones de contraseña significa que si un atacante tiene acceso a una de sus contraseñas, efectivamente tendrá acceso a todas sus cuentas. Cada contraseña que tenga debe ser diferente del resto. Necesitas crear contraseñas seguras. Las contraseñas con frases aleatorias, números y letras son las más seguras.
3. Actualice con frecuencia su software
Si su proveedor de software le notifica que hay una nueva actualización, hágalo de inmediato. La mayoría de los sistemas de software incluyen actualizaciones de software de seguridad que deberían ayudarlo a protegerse de ataques comunes. Siempre que sea posible, habilite las actualizaciones automáticas de software.
4. No haga clic en enlaces en correos electrónicos
Si una organización, como su banco, le envía un enlace, inicie su navegador y vaya directamente al sitio del banco en lugar de hacer clic en el enlace. También puede verificar el destino de un enlace al pasar el mouse sobre él. Si la URL no coincide con el texto de anclaje del enlace o el destino declarado del correo electrónico, existe una buena posibilidad de que pueda ser malicioso. Muchos atacantes de spear phishing intentarán ofuscar los destinos de los enlaces mediante el uso de texto de anclaje que se parece a una URL legítima.
5. Use la lógica al abrir correos electrónicos
Si recibe un correo electrónico de un “amigo” pidiéndole información personal, incluida su contraseña, verifique cuidadosamente si su dirección de correo electrónico es la que usted ha visto usar en el pasado. Las empresas reales no le enviarán un correo electrónico pidiéndole su nombre de usuario o contraseña. Su mejor opción sería contactar a ese “amigo” o empresa fuera del correo electrónico. O visite el sitio web oficial de la empresa para ver si fueron la parte que realmente lo contactó.
6. Implemente un programa de protección de datos en su organización
A data protection program that combines user education around data security best practices and implementation of a data protection solution will help to prevent data loss due to spear-phishing attacks. For midsize to larger corporations, data loss prevention software should be installed to protect sensitive data from unauthorized access or egress. Even if a user falls for a phishing scam.
7. Autenticación de dos factores
2FA ayuda a asegurar el inicio de sesión en aplicaciones sensibles al requerir que los usuarios tengan dos cosas: algo que saben, como una contraseña y un nombre de usuario, y algo que tienen, como un teléfono inteligente o un token criptográfico. Cuando se usa 2FA, incluso si una contraseña se ve comprometida al usar una técnica como el spear phishing, no es útil para un atacante sin el dispositivo físico que posee el usuario real.
conclusión
Spear Phishing es una versión mucho más sofisticada de los ataques de phishing tradicionales. Utiliza una gran cantidad de investigación para apuntar a un individuo en particular. Lo hace falsificando la correspondencia por correo electrónico de uno de sus contactos.
Estos correos electrónicos pueden parecer muy convincentes e indicar al destinatario que descargue un archivo que contenga malware. Por lo tanto, permite al phisher obtener acceso a la cuenta de correo electrónico del objetivo u otras cuentas. Por lo tanto, es esencial que tenga cuidado con estos correos electrónicos que pueden parecer legítimos. Pero pueden ser una forma de comprometer sus cuentas.