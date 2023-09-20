Spear phishing vs. phishing: ¿cuál es la diferencia?

Autor

Annie Badman

Staff Writer

IBM Think

La respuesta es sencilla: el spear phishing es un tipo especial de ataque de phishing.

El phishing es cualquier ciberataque que utiliza mensajes de correo electrónico, mensajes de texto o llamadas de voz maliciosos para engañar a las personas para que compartan datos confidenciales (por ejemplo, números de tarjetas de crédito o números de seguro social), descarguen malware, visiten sitios web maliciosos, envíen dinero a las personas equivocadas o a sí mismos, a sus asociados o a sus empleadores. El phishing es el vector de ataque o método de ciberdelincuencia más común; en 2022 se notificaron al FBI 300 479 ataques de phishing.

La mayor parte del phishing es phishing masivo: mensajes impersonales que parecen proceder de un remitente ampliamente conocido y de confianza (por ejemplo, una marca global), enviados en masa a millones de personas con la esperanza de que un pequeño porcentaje de destinatarios muerda el anzuelo.

El spear phishing es un phishing dirigido. En concreto, los mensajes de spear phishing

  • enviado a un individuo o grupo de individuos específico
  • son altamente personalizados, basados en la investigación
  • se elaboran para que parezcan proceder de un remitente que tiene una relación con el destinatario, por ejemplo, un compañero de trabajo o un colega que el destinatario conoce, o alguien ante quien el destinatario tiene que rendir cuentas, como un gerente o un ejecutivo de la empresa.

Los ataques de spear phishing son mucho más raros que los ataques de phishing, pero persiguen recompensas mucho mayores o más valiosas y, cuando tienen éxito, tienen un impacto mucho mayor que las estafas de phishing masivo. Según un informe reciente, los correos electrónicos de spear phishing representaron solo el 0,1 por ciento de todos los correos electrónicos durante un periodo de 12 meses, pero representaron el 66 por ciento de las vulneraciones de datos durante esos mismos 12 meses. En un ataque de spear phishing de alto perfil, los estafadores robaron más de 100 millones de dólares de Facebook y Google haciéndose pasar por proveedores legítimos y engañando a los empleados para que pagaran facturas fraudulentas.

¿Qué tiene de diferente un ataque de spear phishing?

Los ataques de spear phishing emplean varias estrategias que los hacen más difíciles de identificar y más convincentes que los ataques de phishing masivo.

Credibilidad basada en una amplia investigación

Para que sus ataques dirigidos sean más creíbles, los suplantadores de identidad investigan a sus remitentes y sus objetivos, para poder suplantar a los remitentes de manera efectiva y presentar una historia creíble a los objetivos.

Muchos suplantadores de identidad llegan a conocer a sus remitentes y a sus víctimas a través de las redes sociales. Con la gente compartiendo información tan libremente en las redes sociales y en otros lugares en línea, los ciberdelincuentes ahora pueden encontrar información relevante y detallada sin escarbar mucho. Por ejemplo, estudiar la página de LinkedIn de una víctima podría ayudar a un estafador a comprender mejor las responsabilidades laborales de un empleado y a saber qué proveedores utiliza su organización, para que pueda hacerse pasar de manera más eficaz por un remitente fiable de una factura ficticia.

Según un informe de Omdia, los hackers pueden crear correos electrónicos de spear phishing convincentes en muy poco tiempo después de la investigación general en Google. Algunos hackers pueden incluso piratear cuentas de correo electrónico de la empresa o aplicaciones de mensajería y dedicar más tiempo a observar conversaciones para recopilar un contexto más detallado sobre las relaciones.

Tácticas específicas de ingeniería social

Las tácticas de ingeniería social utilizan la manipulación psicológica para engañar a las personas para que crean premisas falsas o tomen medidas imprudentes. Basándose en su investigación, los estafadores de spear phishing pueden crear situaciones creíbles, o pretextos, como parte de sus mensajes; p. ej., "Hemos decidido contratar a un nuevo bufete de abogados para el acuerdo sobre el terreno, ¿podría enviarnos la factura adjunta para cubrir sus honorarios de anticipo? Pueden crear una sensación de urgencia para llevar a los destinatarios a actuar de manera precipitada; p. ej., "El pago ya está vencido, envíe los fondos antes de la medianoche para evitar recargos por demora. Algunos incluso utilizan la ingeniería social para mantener la estafa en secreto; p. ej., Sea discreto, mantenga esto en secreto hasta que se anuncie el acuerdo a finales de esta semana.

Varios tipos de mensajes

Cada vez más, las estafas de spear phishing combinan mensajes de múltiples medios para aumentar su credibilidad. Por ejemplo, los mensajes de spear phishing incluyen números de teléfono a los que el objetivo puede llamar para obtener confirmación; los números son respondidos por representantes fraudulentos. Algunos estafadores siguen los correos electrónicos de spear phishing con mensajes de texto SMS fraudulentos (lo que se conoce como smishing). Más recientemente, los estafadores han seguido los correos electrónicos de spear phishing con llamadas telefónicas falsas (técnica conocida como vishing) que utilizaban suplantaciones basadas en inteligencia artificial de la voz del presunto remitente.

Tipos de spear phishing

Los ataques de spear phishing se dividen a su vez en subtipos, en función de a quién van dirigidos o por quién se hacen pasar.

Correo electrónico empresarial comprometido

El compromiso del correo electrónico empresarial (BEC) es una estafa por correo electrónico de spear phishing que intenta robar dinero o datos confidenciales de una empresa.

En un ataque BEC, un ciberdelincuente (o banda de ciberdelincuentes) envía a los empleados de la organización objetivo correos electrónicos que parecen ser de un gerente o compañero de trabajo, o de un proveedor, partner, cliente u otro asociado conocido por el destinatario. Los correos electrónicos están escritos para engañar a los empleados para que paguen facturas fraudulentas, realicen transferencias bancarias a cuentas bancarias falsas o envíen información confidencial a alguien que supuestamente la necesita (en casos más raros, los estafadores BEC pueden intentar difundir ransomwaremalware pidiendo a las víctimas que abran un adjunto o hagan clic en un enlace malicioso).

Algunos estafadores de BEC dan el paso adicional de robar u obtener las credenciales de la cuenta de correo electrónico del remitente (nombre de usuario y contraseña) y enviar el correo electrónico directamente desde la cuenta real de ese remitente. Esto hace que la estafa parezca más auténtica que una enviada incluso desde la cuenta de correo electrónico más cuidadosamente suplantada o falseada.

En un tipo especial de ataque BEC, llamado fraude del CEO, el estafador se hace pasar por un ejecutivo de alto rango, presionando a los empleados de nivel inferior para que transfieran fondos o revelen datos confidenciales.

Whale phishing

El phishing de ballenas es un ataque de spear phishing que se dirige a las víctimas de más alto perfil y valor (o "ballenas"), incluidos miembros de la junta directiva, ejecutivos de alto nivel y objetivos no corporativos como celebridades y políticos. Los phishers de ballenas saben que estas personas tienen cosas que solo los objetivos de alto valor pueden proporcionar, incluidas grandes sumas de dinero en efectivo, acceso a información altamente valiosa o confidencial y reputaciones que vale la pena proteger. Como era de esperar, los ataques de caza de ballenas suelen requerir una investigación mucho más detallada que otros ataques de spear phishing.

Ejemplo de un ataque de spear phishing

En agosto de 2022, el gigante de las comunicaciones basadas en la nube Twilio sufrió un sofisticado ataque de spear phishing que comprometió su red.

Los phishers se dirigieron a los empleados de Twilio mediante mensajes de texto SMS falsos que parecían proceder del departamento de TI de la empresa. Los mensajes afirmaban que las contraseñas de los empleados habían caducado o que sus horarios habían cambiado y los dirigían a un sitio web falso que les obligaba a volver a introducir sus credenciales de inicio de sesión. Para hacer que la estafa de phishing fuera aún más realista, los hackers incluyeron "Twilio", "Okta" y "SSO" (abreviatura de inicio de sesión único) en la URL del sitio web falso para convencer aún más a los empleados de que hicieran clic en el enlace malicioso.

Mediante las credenciales de inicio de sesión de los empleados que cayeron en la trampa de los mensajes, los estafadores irrumpieron en la red corporativa de Twilio.

La estafa de phishing fue noticia no solo por su sofisticación (un experto la calificó como "uno de los hacks de larga duración más sofisticados de la historia"), sino también por la posición única de Twilio como empresa B2B, que presta servicios a muchas otras empresas tecnológicas. Como resultado, varias otras empresas tecnológicas se vieron implicadas en la estafa de phishing, incluidas Authy, propiedad de Twilio, un servicio de autenticación de dos factores, y Signal, una aplicación de mensajería cifrada que utilizaba Twilio para los servicios de verificación de SMS.

En última instancia, el ataque a Twilio afectó a más de 163 de sus organizaciones de clientes, incluidas 1900 cuentas de Signal. Además, demostró que los ataques de spear phishing como al que se enfrentó Twilio son cada vez más comunes.

Cómo anticiparse a los intentos de phishing y spear phishing

Las herramientas de seguridad de correo electrónico, el software antivirus y la autenticación multifactor son las primeras líneas de defensa críticas contra el phishing y el spear phishing. Las organizaciones también confían cada vez más en la formación de concienciación sobre seguridad y en los simulacros de phishing para educar mejor a sus empleados sobre los peligros y las tácticas de los ataques de phishing y spear phishing.

Sin embargo, ningún sistema de seguridad está completo sin capacidades de detección y respuesta de amenazas de última generación para atrapar a los ciberdelincuentes en tiempo real y mitigar el impacto de las campañas de phishing eficaces.

IBM® QRadar SIEM aplica el machine learning y el análisis del comportamiento del usuario (UBA) al tráfico de red junto con los registros tradicionales para una detección de amenazas más inteligente y una corrección más rápida. En un estudio reciente de Forrester, QRadar SIEM ayudó a los analistas de seguridad a ahorrar más de 14 000 horas en tres años mediante la identificación de falsos positivos, la reducción del tiempo dedicado a investigar incidentes en un 90 % y la reducción del riesgo de sufrir una violación de seguridad grave en un 60 %*. Con QRadar SIEM, los equipos de seguridad con pocos recursos tienen la visibilidad y el análisis que necesitan para detectar amenazas rápidamente y tomar medidas inmediatas e informadas para minimizar los efectos de un ataque.

*The Total Economic Impact™ of IBM® QRadar SIEM es un estudio encargado y realizado por Forrester Consulting en nombre de IBM, abril de 2023. Basado en los resultados proyectados de una organización compuesta modelada a partir de cuatro clientes de IBM entrevistados. Los resultados reales variarán en función de las configuraciones y condiciones del cliente y, por lo tanto, no se pueden ofrecer resultados esperados de forma general.

 
