El spear phishing es un tipo de ataque de phishing que se dirige a un individuo o grupo de individuos específicos dentro de una organización e intenta engañarlos para que divulguen información confidencial, descarguen malware o envíen sin saberlo nuestros pagos de autorización al atacante.

Como todas las estafas de phishing, el spear phishing puede realizarse por correo electrónico, mensajes de texto o llamadas telefónicas. La diferencia es que, en lugar de dirigirse a miles o millones de posibles víctimas con tácticas de "phishing masivo", los estafadores se dirigen dirigidas a personas o grupos de individuos específicos (p. ej., los directores de ventas regionales de una compañía) con estafas personalizadas basadas en una investigación exhaustiva.

Según el informe Cost of a Data Breach 2022 de IBM, el phishing fue la segunda causa más común de vulneraciones de datos en 2022. McKinsey señala que el número de ataques de suplantación de identidad espear aumentó casi siete veces después del inicio de la pandemia. Los ciberdelincuentes se aprovechan del creciente número de trabajadores remotos, que pueden ser más susceptibles a las estafas de phishing debido a una higiene de seguridad poco estricta y al hábito de colaborar con compañeros y jefes principalmente a través del correo electrónico y las aplicaciones de chat.

El informe de IBM también reveló que, si bien los ataques de phishing tuvieron el coste promedio más alto por infracción, con 4,91 millones de dólares, los costes de los ataques de spear phishing pueden superar con creces incluso esa cantidad. Por ejemplo, en un ataque de alto perfil, los suplantadores de identidad robaron más de 100 millones de dólares de Facebook y Google haciéndose pasar por vendedores legítimos y engañando a los empleados para que pagaran facturas fraudulentas.

En un clásico ataque de phishing masivo, los piratas informáticos crean mensajes fraudulentos que parecen provenir de empresas conocidas, organizaciones o incluso celebridades. Luego, "distribuyen y rezan", enviando estos mensajes de phishing indiscriminadamente a tantas personas como sea posible y con la esperanza de que al menos unos pocos sean engañados para que den información valiosa, como números de la seguridad social, números de tarjetas de crédito o contraseñas de cuentas.  

En cambio, los ataques de spear phishing son ataques selectivos dirigidos a personas concretas que tienen acceso a activos específicos.

Establecimiento de un objetivo

La mayoría de los ataques de spear phishing tienen como objetivo robar grandes sumas de dinero de las organizaciones, engañando a alguien para que realice un pago o una transferencia bancaria a un proveedor o cuenta bancaria fraudulentos, o engañándole para que divulgue números de tarjetas de crédito, números de cuentas bancarias u otros datos confidenciales o sensibles.

Pero las campañas de spear phishing pueden tener otros objetivos perjudiciales:

• Propagación de ransomware u otro malware: por ejemplo, el actor de amenazas puede enviar archivos adjuntos maliciosos por correo electrónico, como un archivo de Microsoft Excel, que instala malware cuando se abre.
   

• Robo de credenciales, como nombres de usuario y contraseñas, que el pirata informático puede utilizar para organizar un ataque más grande. Por ejemplo, el pirata informático podría enviar un enlace malicioso al destino a una página web fraudulenta de "actualiza tu contraseña".
   

• Robo de datos personales o información confidencial, como datos personales de clientes o empleados, finanzas corporativas o secretos comerciales.

Elección de los objetivos

A continuación, el delincuente identifica un objetivo adecuado: una persona o grupo de personas con acceso directo a los recursos que desean los piratas informáticos, o que pueden proporcionar ese acceso indirectamente mediante la descarga de malware.

A menudo, los intentos de spear phishing se dirigen a empleados de nivel medio o bajo o nuevos empleados con privilegios elevados de acceso a la red o al sistema, que pueden ser menos rigurosos en las políticas y procedimientos de la compañía. Las víctimas típicas incluyen gerentes financieros autorizados para realizar pagos, administradores de TI con acceso a la red a nivel de administrador y gerentes de RR. HH. con acceso a los datos personales de los empleados. (Otros tipos de ataques de spear phishing se dirigen exclusivamente a empleados de nivel ejecutivo; véase "Spear phishing, whaling y BEC", más adelante).

Investigación del objetivo

El atacante investiga al objetivo en busca de información que pueda utilizar para hacerse pasar por alguien cercano a él: una persona u organización en la que el objetivo confía, o alguien a quien el objetivo debe rendir cuentas.

Gracias a la cantidad de información que la gente comparte libremente en las redes sociales y en otros lugares en línea, los ciberdelincuentes pueden encontrar esta información sin indagar demasiado. Según un informe de Omdia, los hackers pueden crear un convincente correo electrónico de spear phishing después de unos 100 minutos de búsqueda general de Google. Algunos hackers pueden entrar en cuentas de correo electrónico o aplicaciones de mensajería de la empresa y dedicar aún más tiempo a observar las conversaciones para recopilar información más detallada.

Creación y envío del mensaje

Mediante esta investigación, los ciberdelincuentes pueden crear mensajes de phishing dirigidos que parezcan creíbles, desde la fuente o la persona de confianza.

Por ejemplo, imagine que "Jack" es un gestor de cuentas por pagar en ABC Industries. Con solo mirar el perfil público de Jack en LinkedIn, un atacante podría encontrar su puesto de trabajo, sus responsabilidades, la dirección de correo electrónico de la empresa, el nombre del departamento, el nombre y cargo de su jefe y los nombres y cargos de sus socios comerciales, y luego utilizar estos datos para enviarle un correo electrónico muy creíble de su jefe o jefe de departamento:

Hola, Jack:

Sé que procesas las facturas de XYZ Systems. Me acaban de informar de que están actualizando su proceso de pago y necesitan que todos los pagos futuros vayan a una nueva cuenta bancaria. Aquí está su factura más reciente con los detalles de la nueva cuenta. ¿Puedes enviar el pago hoy?

El correo electrónico suele incluir señales visuales que refuerzan la identidad del remitente suplantado a primera vista, como una dirección de correo electrónico falsificada (por ejemplo, que muestra el nombre del remitente suplantado pero oculta la dirección de correo electrónico fraudulenta), enlaces a correos electrónicos de compañeros de trabajo igualmente falsificados o una firma de correo electrónico con el logotipo de la empresa ABC Industries. Algunos estafadores pueden piratear la cuenta de correo electrónico real del remitente suplantado y enviar el mensaje desde allí, para obtener la máxima autenticidad.

Otra táctica es combinar el correo electrónico con el phishing de mensajes de texto (llamado phising por SMS o smishing) o el phishing por voz (llamado vishing). Por ejemplo, en lugar de adjuntar una factura, el correo electrónico puede indicar a Jack que llame al departamento de cuentas por pagar de XYZ Systems, a un número de teléfono atendido por un estafador.

Los ataques de spear phishing hacen un uso intensivo de técnicas de ingeniería social: tácticas que utilizan presión psicológica o motivación para engañar o manipular a las personas para que realicen acciones que no deberían y que normalmente no harían.

Un ejemplo es hacerse pasar por un funcionario de alto nivel de la compañía, como en el correo electrónico de spear phishing anterior. Los empleados están condicionados a respetar la autoridad e inconscientemente tienen miedo de no seguir las órdenes de un ejecutivo, aunque éstas se salgan de lo normal. Los ataques de spear phishing se basan en otras técnicas de ingeniería social, como:

• Pretexto: la invención de una historia o situación realista que el objetivo reconozca y con la que pueda identificarse, por ejemplo, "su contraseña está a punto de caducar..."
   

• Creación de una sensación de urgencia (p. ej., hacerse pasar por un proveedor y reclamar el pago de un servicio crucial con retraso)

• Apelación a las emociones o a motivadores subconscientes: intento de provocar miedo, culpa o codicia en el objetivo, referirse a una causa o acontecimiento que le interese, o incluso ser útil (p. ej., "aquí tiene un enlace a un sitio web que vende esas piezas de ordenador que estaba buscando").

La mayoría de las campañas de spear phishing combinan varias tácticas de ingeniería social; por ejemplo, una nota del encargado directo del objetivo que diga: "Estoy a punto de subirme a un avión y se me está acabando la batería; por favor, ayúdame y agiliza esta transferencia bancaria a XYZ Corp. para que no tengamos que pagar un cargo por atraso".

Aunque cualquier ataque de phishing dirigido a un individuo o grupo específico es un ataque de spear phishing, existen algunos subtipos notables.

El whaling o caza de ballenas (a veces llamado phishing de ballenas) es un tipo de phishing dirigido a las víctimas de más alto perfil y valor: a menudo miembros de juntas directivas o directivos de nivel C, pero también objetivos no corporativos, como celebridades y políticos. Los balleneros buscan una presa que solo estos objetivos pueden proporcionar: grandes sumas de dinero o acceso a información muy valiosa o confidencial. No es sorprendente que los ataques de whaling normalmente requieran una investigación más detallada que otros ataques de spear phishing.

El compromiso del correo electrónico empresarial (BEC) es un tipo de spear phishing dirigido específicamente a robar a las organizaciones. Existen dos formas comunes de BEC:

• Fraude del director general. El estafador se hace pasar por la cuenta de correo electrónico de un ejecutivo de nivel C, o la piratea directamente, y envía un mensaje a uno o varios empleados de nivel inferior dándoles instrucciones para que transfieran fondos a una cuenta fraudulenta o realicen una compra a un vendedor fraudulento.
   

• Compromiso de la cuenta de correo electrónico (EAC). El estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior (p. ej., un gestor de finanzas, ventas o I+D) y lo utiliza para enviar facturas fraudulentas a proveedores, dar instrucciones a otros empleados para que realicen pagos o depósitos fraudulentos o solicitar acceso a datos confidenciales.

Los ataques de BEC exitosos se encuentran entre los ciberdelitos más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que suplantaron a un director general convencieron al departamento financiero de su empresa a transferir 42 millones de euros a una cuenta bancaria fraudulenta.

Los ataques de phishing se encuentran entre los ciberataques más difíciles de combatir, porque no siempre pueden ser identificados por las herramientas de ciberseguridad tradicionales (basadas en firmas); en muchos casos, el atacante solo tiene que superar las defensas de seguridad "humanas". Los ataques de spear phishing suponen un reto especialmente complejo porque su naturaleza dirigida y su contenido personalizado los hacen aún más convincentes para la persona promedio.

Sin embargo, hay medidas que las organizaciones pueden tomar para ayudar a mitigar el impacto del spear phishing, si no para prevenir los ataques de spear phishing por completo:

Formación de concienciación sobre seguridad. Debido a que el spear phishing aprovecha la naturaleza humana, la formación de los empleados es una línea importante de defensa contra estos ataques. La formación sobre conciencia de seguridad puede incluir

• Enseñar a los empleados técnicas para reconocer correos electrónicos sospechosos (p. ej., comprobar los nombres de los remitentes de correos electrónicos en busca de nombres de dominio fraudulentos).
   

• Consejos sobre cómo evitar "compartir demasiado" en los sitios de redes sociales
   

• Buenos hábitos de trabajo: p. ej., no abrir nunca archivos adjuntos no solicitados, confirmar solicitudes de pago inusuales a través de un segundo canal, llamar por teléfono a los proveedores para confirmar las facturas, dirigirse directamente a sitios web en vez de hacer clic en los enlaces de los correos electrónicos...
   

• Simulaciones de spear phishing en las que los empleados puedan aplicar lo aprendido

Autenticación multifactor y adaptativa. La implementación de la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o autenticación adaptativa (requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los piratas informáticos obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si pueden robar el usuario.

Software de seguridad. Ninguna herramienta de seguridad por sí sola puede prevenir el spear phishing por completo, pero varias herramientas pueden desempeñar un papel en la prevención de ataques de spear phishing o minimizar el daño que causan:

• Algunas herramientas de seguridad del correo electrónico, como filtros de spam y pasarelas de correo electrónico seguras, pueden ayudar a detectar y desviar los correos electrónicos de spear phishing.
   

• El software antivirus puede ayudar a neutralizar las infecciones conocidas de malware o ransomware que resultan del spear phishing.

• Las puertas de enlace web seguras y otras herramientas de filtrado web pueden bloquear los sitios web maliciosos enlazados en correos electrónicos de suplantación spear phishing.
  
  
• Los parches de sistemas y software informáticos pueden corregir vulnerabilidades técnicas comúnmente explotadas por los ciberdelincuentes.
  
  

• Las soluciones de seguridad empresarial pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad a detectar e interceptar tráfico malicioso y actividad de red ligada a ataques de spear phishing. Estas soluciones incluyen (entre otras) orquestación, automatización y respuesta de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta extendidas (XDR).