Spear phishing – Los ciberataques son cada vez más personalizados

Una de las amenazas de ciberseguridad más conocidas es el denominado “phishing”. El mundo de los ciberataques se encuentra en constante evolución, y en los últimos tiempos ha aparecido una variante del phishing con ciertas mejoras y personalización para acceder a información deseada por los atacantes. Esta variante se denomina “spear phishing”.

Vamos a ver qué es exactamente el spear phishing, en qué se diferencia del phishing “a secas” y cómo las empresas pueden defenderse ante estos posibles ataques.

¿Qué es el “Phishing”?

El concepto de phishing se define como una forma de ingeniería social en la que el atacante envía un correo electrónico suplantando la identidad de alguien, ya sea persona u organización, aparentemente confiable, con el objetivo de sustraer determinada información sensible de la persona o de la organización a la que pertenece. Principalmente, el atacante utiliza tácticas para ganar la confianza de su objetivo, como pueden ser el miedo, la curiosidad o la necesidad de urgencia, para conseguir que el objetivo siga las instrucciones del mensaje.

Los ataques más habituales utilizados en el “Phishing” son:

–        Link insertado en el mensaje. Este link redirecciona a un sitio web dudoso, imitando un sitio web reconocido. A continuación se solicitan las credenciales del usuario, lo que garantiza al atacante acceso a información confidencial. Ejemplos de este caso son los correos electrónicos en los que supuestamente el remitente se trata de una entidad bancaria.

–        Archivo malicioso insertado. Se adjunta un archivo el que aparentemente se trata de un documento .doc, .pdf, o .zip, pero que en realidad contiene un malware que infecta el equipo. 

–        Respuesta directa. El atacante se hace pasar por un contacto de confianza, solicitando una respuesta con información confidencial, o para redireccionar pagos a una nueva cuenta bancaria.   

Los ciberataques evolucionan – El Spear Phishing

El spear phishing, tiene el mismo objetivo que el phishing “normal”, pero la gran diferencia es que va dirigida a personas u organizaciones concretas o específicas. Estos ataques tienen un trabajo de recopilación previa importante, con el fin de personalizar el ataque lo máximo posible, y de esta manera, que la victima no dude de la credibilidad del mensaje. El phishing “normal”, al contrario, suele basarse en ataques más generalizados.

En consecuencia, el destinatario recibirá un correo electrónico personalizado, que parece dirigido exclusivamente a él y de una fuente en la que confía completamente. A partir de este momento se utilizan alguna de las herramientas maliciosas para poder acceder a la información confidencial, como puede ser contraseñas, datos de cuentas o tarjetas de crédito.  

A continuación se muestran algunos datos sobre el impacto de los correos maliciosos:

–        El 30% de los mensajes maliciosos son abiertos por los usuarios y de estos, el 12% hacen clic en el archivo o link adjuntos (Fuente: Verizon Data Breach Investigations Report)

–        El 95% de los ataques a los entornos de las empresas son el resultado de la suplantación del remitente, o Spear Phishing (Fuente: SANS Institute)

–        Los ataques de phishing afectan a todo tipo de sectores y tamaños de empresas. Ninguna compañía es inmune (Fuente: Symantec)

–        Cada mes se crean 1,5 millones de sitios web maliciosos (Fuente: Webroot Threat Report)

Para que un ataque de spear phishing tenga éxito, este debe depender de tres aspectos fundamentales:

–        El remitente ha de parecer una persona o empresa en la que el destinatario tenga plena confianza, de esta manera no suscitará dudas a la hora de abrir el correo electrónico.

–        El contenido del mensaje tendrá información  que reforzará la confianza del destinatario, para que éste acceda a la petición de abrir el documento adjunto, o entrar en el enlace a la página web maliciosa.

–        La solicitud del mensaje tiene una base razonable.

Principales víctimas

Esta nueva vía de ataque se centra en las empresas como grandes objetivos, para sustraer determinados datos o información confidencial, o para desviar pagos hacia una cuenta bancaria falsa.

Nadie en la empresa está realmente a salvo de estos ataques. Dependiendo de qué objetivo tienen los atacantes, información o dinero, el envío de correos electrónicos se enfocará a los departamentos relacionados. Los departamentos más sensibles a este tipo de ataques son los de contabilidad y finanzas, recursos humanos o comercial.

Impactos de un ataque de phishing para las compañías

–        Robo de información confidencial, tanto financiera como personal.

–        Alteración de los sistemas afectando la capacidad operativa.

–        Problemas legales con terceras partes por fuga de datos.

–        Posibilidad de nuevos ataques en el futuro.

–        Pérdida de reputación frente a clientes.

Como evitar el spear phishing

Protegerse ante ataques cada vez más sofisticados no suele ser sencillo. Lo más importante es instruir al personal de la compañía, ya sean empleados o directivos, para ser desconfiados a la hora de abrir ciertos mails. Esta desconfianza ayudará a detectar correos electrónicos sospechosos, ya sea por la redacción del mismo, los archivos que se incluyen o por la dirección de correo de la que proviene.

Algunos consejos prácticos para reducir los riesgos al máximo son:

–        Formación para que los empleados estén alerta de las posibles amenazas

–        Contar con soluciones de seguridad enfocadas en la detección de estos correos maliciosos.

–        Verificar los enlaces adjuntos. En ocasiones el enlace es muy similar a la página web original, cambiando alguna letra.

–        Desconfiar si el formato del correo no es el habitual del remitente. Comprobar la firma del mensaje, si hay faltas de ortografía claras que pueden proceder de un traductor online.

–        Si no se espera un mensaje de la persona u organización de la que se recibe el correo, prestar mucha atención.

Los ataques de spear phishing se han popularizado en los últimos meses, y evidencian un alto grado de sofisticación que los ciberdelincuentes están alcanzando para lograr su objetivo. Ahora lo importante es que las empresas y los empleados que las conforman conozcan su existencia y recuerden seguir todos los consejos de seguridad necesarios para reducir al máximo los riesgos derivados de estos tipos de amenaza, y no acarreen consecuencias irreversibles.