Inicio topics ¿Qué es spear phishing? ¿Qué es spear phishing?
Un spear phishing intenta engañar a una persona o grupo específico para que tome medidas que perjudiquen a su organización.
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dos ingenieros trabajando en la computadora
¿Qué es spear phishing?

Spear phishing es un tipo de ataque de phishing que se dirige a un individuo o grupo de individuos específicos dentro de una organización, e intenta engañarlos para que divulguen información confidencial, descarguen malware o envíen sin saberlo nuestros pagos de autorización al atacante.

Al igual que todas las estafas de phishing, el spear phishing se puede realizar por correo electrónico, mensaje de texto o llamadas telefónicas. La diferencia radica en que, en lugar de dirigirse a miles o millones de víctimas potenciales con tácticas de "phishing masivo", los spear phishers se dirigen a individuos o grupos de individuos concretos, por ejemplo, los directores regionales de ventas de una empresa, con estafas personalizadas basadas en una investigación exhaustiva.

Según el informe Costo de una filtración de datos 2022 de IBM, el phishing fue la segunda causa más común de filtración de datos en 2022. McKinsey señala que el número de ataques de spear phishing aumentó casi siete veces después del inicio de la pandemia. Los delincuentes cibernéticos se aprovechan del creciente número de trabajadores remotos, que pueden ser más susceptibles a las estafas de phishing debido a la higiene laxa de la seguridad y al hábito de colaborar con colegas y jefes principalmente a través de correo electrónico y aplicaciones de chat.

El informe de IBM también detectó que, mientras que los ataques de phishing tuvieron el costo promedio más alto por filtración con 4.91 MUSD, los costos de los ataques de spear phishing pueden superar significativamente esa cantidad.Por ejemplo, en un ataque de alto perfil, los delincuentes de spear phishing robaron más de 100 MUSD a Facebook y Google, ya que se hicieron pasar por vendedores legítimos y embaucaron a los empleados para que pagaran facturas fraudulentas.

Cómo funcionan los ataques de spear phishing

En un clásico ataque de phishing masivo, los hackers crean mensajes fraudulentos que parecen provenir de empresas conocidas, organizaciones o incluso celebridades. A continuación, "lanzan el ataque y rezan", enviando estos mensajes de phishing indiscriminadamente a tantas personas como sea posible y esperando que al menos un puñado sea engañado para que facilite información valiosa como números de seguridad social, números de tarjetas de crédito o contraseñas de cuentas.  

Por otro lado, los ataques de spear phishing son ataques dirigidos a personas específicas que tienen acceso a activos específicos.

Establecer un objetivo

La mayoría de los ataques de phishing selectivo tienen como objetivo robar grandes sumas de dinero de las organizaciones, engañando a alguien para que realice un pago o una transferencia bancaria a un proveedor o cuenta bancaria fraudulentos, o engañándolo para que divulgue números de tarjetas de crédito, números de cuentas bancarias u otros datos confidenciales o sensibles.

Pero las campañas de spear phishing pueden tener otros objetivos perjudiciales:

  • Propagación de ransomware u otro malware: por ejemplo, el actor de amenazas puede enviar archivos adjuntos de correo electrónico maligno, como un archivo de Microsoft Excel, que instala malware cuando se abre.
     

  • Robar credenciales, como nombres de usuario y contraseñas, que el hacker puede usar para realizar un ataque más grande. Por ejemplo, el hacker puede enviar al objetivo un enlace maligno a una página web fraudulenta para "actualizar su contraseña".
     

  • Robar datos personales o información confidencial, como datos personales de clientes o empleados, finanzas corporativas o secretos comerciales.

Elegir uno o más objetivos

A continuación, el spear phisher identifica un objetivo adecuado: una persona o grupo de personas con acceso directo a los recursos que desean los hackers, o que pueden proporcionar ese acceso indirectamente mediante la descarga de malware.

A menudo, los intentos de phishing se dirigen a empleados de nivel medio, bajo o nuevos con privilegios elevados de red o de acceso al sistema, que pueden ser menos rigurosos al seguir las políticas y los procedimientos de la empresa. Las víctimas típicas incluyen gerentes financieros autorizados para realizar pagos, administradores de TI con acceso a la red a nivel de administrador y gerentes de recursos humanos con acceso a los datos personales de los empleados. (Otros tipos de ataques de spear phishing se dirigen exclusivamente a empleados de nivel ejecutivo; véase "Spear phishing, whaling y BEC", más adelante).

Investigar al objetivo

El atacante investiga al objetivo en busca de información que pueda utilizar para hacerse pasar por alguien cercano al objetivo: una persona u organización en la que el objetivo confía, o alguien a quien el objetivo debe rendir cuentas.

Gracias a la cantidad de información que la gente comparte libremente en las redes sociales y en otros lugares en línea, los delincuentes cibernéticos pueden encontrar esta información sin indagar demasiado.Según un informe de Omdia, los hackers pueden crear un correo electrónico convincente de spear phishing después de unos 100 minutos de búsqueda general en Google.Algunos hackers pueden entrar en cuentas de correo electrónico o aplicaciones de mensajería de la empresa y dedicar aún más tiempo a observar las conversaciones para recopilar información más detallada.

Elaborar y enviar el mensaje

Usando esta investigación, los spear phishers pueden crear mensajes de phishing dirigidos que parecen creíbles, de la fuente o persona de confianza.

Por ejemplo, imaginemos que "Jack" es un gerente de cuentas por pagar en ABC Industries. Simplemente mirando el perfil público de Jack en LinkedIn, un atacante podría encontrar el puesto de trabajo, las responsabilidades, la dirección de correo electrónico de la empresa, el nombre del departamento, el nombre y cargo del jefe, y los nombres y cargos de los asociados de negocios de Jack, y luego usar estos detalles para enviarle un correo electrónico muy creíble de su jefe o jefe de departamento:

Hola Jack:

Sé que procesa las facturas de XYZ Systems. Me comunican que están actualizando su proceso de pago y necesitan todos los pagos próximos para destinarlos a una nueva cuenta bancaria. Esta es su factura más reciente con los detalles de la nueva cuenta. ¿Podría enviar el pago el día de hoy?

El correo electrónico suele incluir señales visuales que refuerzan la identidad del remitente suplantado a primera vista, como una dirección de correo electrónico falsificada (por ejemplo, que muestra el nombre del remitente suplantado pero oculta la dirección de correo electrónico fraudulenta), enlaces a correos electrónicos de compañeros de trabajo igualmente falsificados o una firma de correo electrónico con el logotipo de la empresa ABC Industries. Algunos estafadores pueden hackear la cuenta de correo electrónico real del remitente suplantado y enviar el mensaje desde allí, para lograr la autenticidad definitiva.

Otra táctica es combinar el correo electrónico con el phishing de mensajes de texto (llamado phishing por SMS o smishing) o phishing de voz (llamado vishing). Por ejemplo, en lugar de adjuntar una factura, el correo electrónico puede indicar a Jack que llame al departamento de cuentas por pagar de XYZ Systems, a un número de teléfono atendido por un estafador.

Ataques de spear phishing y ingeniería social

Los ataques de spear phishing hacen un uso intensivo de técnicas de ingeniería social: tácticas que utilizan presión psicológica o motivación para engañar o manipular a las personas para que realicen acciones que no deberían y que normalmente no harían.

Hacerse pasar por un funcionario de alto nivel de la empresa, como en el correo electrónico de spear phishing anterior, es un ejemplo. Los empleados están condicionados a respetar la autoridad y tienen miedo subconsciente de no seguir las órdenes de un ejecutivo, incluso si las órdenes son fuera de lo común. Los ataques de spear phishing se basan en otras técnicas de ingeniería social, como:

  • Pretexting: fabricar una historia o situación realista que el objetivo reconozca y con la que pueda relacionarse, por ejemplo, "su contraseña está a punto de expirar..."
     

  • Crear una sensación de urgencia (por ejemplo, hacerse pasar por un proveedor y reclamar el pago de un servicio crítico con retraso).

  • Apelar a la emoción o a motivadores subconscientes: intentar provocar miedo, culpa o codicia en la víctima, hacer referencia a una causa o acontecimiento que le interese o incluso ser servicial (por ejemplo,aquí tiene un enlace a un sitio web que vende las piezas de computadora que busca).

La mayoría de las campañas de spear phishing combinan varias tácticas de ingeniería social, por ejemplo, una nota del jefe directo del objetivo que diga: "Estoy a punto de subirme a un avión y me estoy quedando sin batería, por favor, ayúdame y apresura esta transferencia bancaria a XYZ Corp. para que no tengamos que pagar un recargo por retraso".

Más información sobre ingeniería social
Spear phishing, whaling y BEC

Aunque cualquier ataque de phishing dirigido a un individuo o grupo específico es un ataque de spear phishing dirigido, existen algunos subtipos notables.

Whaling (a veces llamado whale phishing) es un tipo de phishing dirigido a las víctimas de más alto perfil y valor: a menudo miembros de juntas directivas o directivos de nivel C, pero también objetivos no corporativos, como celebridades y políticos. Los whalers buscan una presa que solo estos objetivos pueden proporcionar: grandes sumas de dinero en efectivo o acceso a información muy valiosa o altamente confidencial. No es sorprendente que los ataques de whaling normalmente requieran una investigación más detallada que otros ataques de phishing.

El compromiso del correo electrónico empresarial (BEC) es un phishing dirigido específicamente para robar a las organizaciones. Dos formas comunes de BEC incluyen:

  • Fraude a un director ejecutivo (CEO). El estafador se hace pasar por la cuenta de correo electrónico de un ejecutivo de nivel C, o la hackea directamente, y envía un mensaje a uno o varios empleados de nivel inferior dándoles instrucciones para que transfieran fondos a una cuenta fraudulenta o realicen una compra a un vendedor fraudulento.
     

  • Compromiso de cuenta de correo electrónico (EAC). El estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior, por ejemplo, un gerente de finanzas, ventas, investigación y desarrollo, y lo utiliza para enviar facturas fraudulentas a proveedores, instruir a otros empleados para que realicen pagos o depósitos fraudulentos, o solicitar acceso a datos confidenciales.

Los ataques BEC consumados se encuentran entre los delitos cibernéticos más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que suplantaron a un CEO convencieron al departamento financiero de su empresa de transferir 42 millones de euros a una cuenta bancaria fraudulenta.

Adoptar medidas contra el phishing

Los ataques de phishing se encuentran entre los ciberataques más difíciles de combatir, porque no siempre pueden ser identificados por herramientas tradicionales de ciberseguridad (basadas en firmas); en muchos casos, el atacante solo necesita superar las defensas de seguridad "humana". Los ataques de spear phishing son especialmente desafiantes porque su objetivo natural y contenido personalizado los hacen aún más convincentes para el ciudadano promedio.

Sin embargo, existen medidas que las organizaciones pueden tomar para ayudar a mitigar el impacto del spear phishing, si no evitan este tipo de ataques por completo:

Capacitación en materia de seguridad. Debido a que el spear phishing se aprovecha de la naturaleza humana, la capacitación de los empleados es una línea importante de defensa contra estos ataques. La capacitación de en materia de seguridad puede incluir

  • Enseñar técnicas a los empleados para reconocer correos electrónicos sospechosos (por ejemplo, verificar los nombres de los remitentes de correo electrónico para nombres de dominio fraudulentos)
     

  • Consejos sobre cómo evitar "compartir de más" en redes sociales
     

  • Buenos hábitos de trabajo: por ejemplo, nunca abrir archivos adjuntos no solicitados, confirmar solicitudes de pago inusuales a través de un segundo canal, llamar por teléfono a los proveedores para confirmar las facturas, navegar directamente a sitios web en lugar de hacer clic en los enlaces dentro de correos electrónicos.
     

  • Simulaciones de ataques de phishing en los cuales los empleados pueden aplicar lo que aprenden

Autenticación adaptable y multifactor. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o la autenticación adaptativa (que requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los hackers obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si son capaces de robar su contraseña de correo electrónico.

Software de seguridad. Ninguna herramienta de seguridad puede prevenir el spear phishing por completo, pero varias herramientas pueden desempeñar un papel importante en la prevención del mismo o minimizar el daño que causan:

  • Algunas herramientas de seguridad del correo electrónico, como los filtros de spam y las puertas de enlace seguras de correo electrónico, pueden ayudar a detectar y desviar los correos electrónicos del spear phishing.
     

  • El software antivirus puede ayudar a neutralizar el malware conocido o las infecciones de ransomware que son resultado del spear phishing.

  • Las puertas de enlace web seguras y otras herramientas de filtrado web pueden bloquear los sitios web malignos vinculados a los correos electrónicos de spear phishing.

  • Los parches del sistema y del software pueden cerrar vulnerabilidades técnicas comúnmente explotadas por los phishers.
Soluciones relacionadas
IBM® security QRadar SIEM

Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha el análisis y la IA para monitorear la información sobre amenazas, la red y las anomalías del comportamiento del usuario, y para priorizar dónde se necesita atención y corrección inmediata.

Conozca las soluciones QRadar SIEM
IBM® Security Trusteer Rapport

IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de malware y ataques de phishing protegiendo a sus clientes minoristas y empresariales.

Explore Trusteer Rapport
IBM Security QRadar EDR

Proteja los endpoints de los ciberataques, detecte comportamientos anómalos y corrija casi en tiempo real con esta solución de detección y respuesta de endpoints (EDR) sofisticada, pero fácil de usar.

Explore QRadar EDR
Recursos Manténgase actualizado sobre el phishing

Manténgase al día sobre las novedades, tendencias y técnicas de prevención de phishing en Security Intelligence, el blog de liderazgo de pensamiento a cargo de IBM Security.

¿Qué es el ransomware?

El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas, hasta que se paga un rescate.

Costo de una filtración de datos

En su 17.ª edición, este informe comparte los datos más recientes sobre el creciente panorama de las amenazas, y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.

Dé el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para examinar innumerables alertas e incidentes. IBM® Security QRadar SIEM ayuda a solucionar amenazas con mayor rapidez y, al mismo tiempo, mantiene sus resultados. QRadar SIEM prioriza las alertas de alta fidelidad para ayudarle a detectar amenazas que otros pasan por alto.

Explore QRadar SIEM Reserve una demostración en vivo