En Sello Legal, además de reclamar casos de phishing en nombre de nuestros clientes para defender sus derechos y recuperar su dinero, nos esforzamos por tratar de evitar al máximo estos ataques, que no dejan de crecer. Y una de las mejores formas de prevenirlos es conociendo todo lo posible las diferentes técnicas y métodos que usan los ciberdelincuentes. Hoy, en particular, queremos hablarte del spear phishing.
¿Qué es el spear phishing?
Es un tipo concreto de phishing que se ejecuta normalmente mediante el envío de un email o un mensaje en redes sociales, mucho mejor estructurado y orientado que los que se emplean de forma habitual (phishing tradicional). El objetivo es el mismo, pero en el caso del spear phishing hay una estrategia mucho más sofisticada detrás. En consecuencia, son menos los ataques de spear phishing que se llevan a cabo, pero lo común es que consigan una tasa de éxito mayor.
Diferencias entre phishing y spear phishing
Ambas técnicas tienen en común la suplantación de identidad de una organización fiable y el envío de enlaces maliciosos a través de sus mensajes. Sin embargo, el spear phishing se diferencia del phishing, fundamentalmente, en sus destinatarios y en el tono y contenido de los mensajes enviados.
A diferencia de lo que ocurre con otros tipos de phishing que tienen lugar de forma masiva e indiscriminada, el spear phishing selecciona muy bien al destinatario y lo estudia durante días para recopilar el máximo número de datos posible sobre él. Para ello, analizan a fondo sus redes sociales, por ejemplo.
En consecuencia, los destinatarios del spear phishing son menos, pudiendo llegar a ser incluso una sola empresa o persona.
La personalización, clave en el spear phishing
El texto en el caso del spear phishing está personalizado al 100% para la víctima que lo recibe, de modo que estos ataques resultan mucho más complicados de detectar. Son más creíbles y utilizan un tono y un estilo que son reconocidos por el destinatario.
Un mensaje tipo podría ser este:
Hola, [nombre]:
Por tu gran interés en (X), te recomendamos visitar la siguiente página web (enlace malicioso), que ya ha gustado a otros usuarios como [nombre de un contacto del destinatario].
En este mensaje, se incluyen nombres reales, se habla de algo que realmente interesa a la víctima y se enlaza a un supuesto sitio web relacionado con esta temática de su interés.
¿A quién se dirigen los ataques de spear phishing?
Aunque, como en el ejemplo anterior, los mensajes de spear phishing también pueden dirigirse a usuarios comunes, es muy habitual que esta técnica específica de phishing se centre en empresas y empleados de empresas. La selección del pequeño número de víctimas potenciales se suele llevar a cabo tras estudiar los perfiles en los organigramas de las organizaciones o en LinkedIn.
Una vez producido el ataque, los ciberdelincuentes tratan de robar credenciales, comprometer cuentas corporativas o instalar programas maliciosos en los equipos para pedir a cambio del rescate determinadas cantidades de dinero a las empresas objetivo.
En Sello Legal Abogados sabemos que el spear phishing está creciendo de forma considerable, hasta tal punto que hoy ya son el 88% de las empresas las que afirman haber sufrido algún ataque de este tipo en el seno de la organización.
