Cuidado con el spear phishing: una estafa mucho más sofisticada dirigida contra ti

Casi todos estamos ya de sobra familiarizados con el concepto de phishing. Emails fraudulentos que se hacen pasar por empresas o entidades para convencernos de pulsar en un enlace y robarnos nuestros datos personales. Aunque ya estemos alerta frente a esta práctica, hay que conocer hasta dónde llega la modalidad de spear phishing, mucho más peligrosa, y de la que también podríamos ser víctimas.
El spear phishing, del que cada vez más expertos en ciberseguridad están alertando debido a que la población está menos concienciada sobre esta técnica, funciona igual que el phishing pero con una capa de personalización que dota al fraude de mucho más realismo.
Es decir, mientras que los emails o SMS phishing suelen suplantar a entidades muy generales para cazar víctimas como si de pesca de arrastre se tratase (Amazon, un banco, Mercadona), el spear phishing se centra en un único individuo, de manera más personal, para crear un mensaje que no provoque que le salten las alarmas. Por ejemplo: si el email incluye tu nombre completo, y parece provenir de la empresa en la que trabajas, con mayor probabilidad creerás que es real.
De eso se trata el spear phishing: frente a la aproximación general y orientada a la cantidad de las campañas de phishing, el spear phishing invierte tiempo para reunir toda la información posible sobre un individuo, y la utiliza para enviar un mensaje mejor trabajado.
Esta técnica se utiliza sobre todo sobre personas consideradas de alto valor, como pueden ser grandes empresarios, políticos o personas famosas. Los ataques a correos electrónicos empresariales se conocen como BEC, un subtipo del phishing. Los que van dirigidos a altos ejecutivos, por otro lado, se denominan «whaling«, que quiere decir pesca de ballenas y se refiere a la idea de cazar a una sola víctima con una potencial ganancia mayor.
No obstante, con el aumento general de la ciberdelincuencia que estamos experimentando, no es raro que la incidencia de este ataque sobre particulares anónimos comience a ascender. Sobre todo, teniendo en cuenta la gran cantidad de información que un ciberdelincuente puede obtener de nosotros gracias a filtraciones de datos o a nuestras propias redes sociales.
Por ejemplo, pueden adivinar fácilmente donde trabajas gracias a tu LinkedIn, saber si estás de vacaciones por tu Instagram, y a partir de ahí, enviarte un email phishing suplantando a tu empresa y pidiéndote realizar una operación urgente desde donde estés.
Señales de un email de spear phishing
Por mucho que los hackers se esfuercen en crear un email sin faltas de ortografía y cuidado al detalle, sigue habiendo señales clave que delatan un intento de fraude mediante spear phishing. Tal y como los enumeran desde la empresa de ciberseguridad Kaspersky, son:
- El correo electrónico busca generar una sensación de urgencia o alarma, haciéndose pasar por un directivo de la empresa (o tu jefe) y exigiendo rápidamente datos de acceso para realizar una acción inmediata.
- Utiliza un lenguaje diseñado para provocar emociones como miedo o culpa, incentivando al destinatario a actuar sin pensar demasiado.
- La dirección de correo electrónico presenta anomalías, como un dominio incorrecto o un formato de nombre poco habitual.
- Contiene errores ortográficos o gramaticales evidentes, algo inusual en comunicaciones de grandes organizaciones como bancos.
- Solicita información confidencial o datos personales de forma directa.
- Los enlaces incluidos suelen estar mal formateados o no coinciden con la dirección de destino al pasar el cursor sobre ellos.
- Incluye archivos adjuntos no solicitados, frecuentemente con nombres extraños o inusuales.
- Utiliza pretextos, como alertar que las credenciales de inicio de sesión están por caducar y deben ser actualizadas de inmediato mediante un enlace incluido en el correo.
Si recibimos un email de alguien que no esperamos, o sobre un tema que no tenemos en mente, es esencial pararnos a pensar antes de sentirnos arrastrados por la ansiedad cuando se nos está pidiendo algo urgente o se nos habla de una situación de emergencia.
Cómo evitar caer en la estafa
Para evitar ataques de spear phishing, es fundamental adoptar medidas preventivas como realizar comprobaciones regulares de correos electrónicos sospechosos, evitar hacer clic en enlaces directamente y verificar manualmente los sitios web oficiales. Utilizar herramientas de protección como VPNs, software antivirus, administradores de contraseñas y activar la autenticación multifactor añade una capa extra de seguridad. Mantén todo el software actualizado y verifica la privacidad de tus perfiles en redes sociales para reducir la exposición de datos personales que puedan ser aprovechados por atacantes.