Los ataques de spear phishing están en aumento y tienen una alta tasa de éxito. Es una técnica utilizada incluso por activistas, y nadie está realmente a salvo de sus objetivos. A continuación, te explicamos qué es spear phishing y cómo protegerte.
Usar comunicaciones electrónicas para robar datos sensibles o instalar malware no es algo nuevo. El spear phishing no discrimina y utiliza argumentos poco ortodoxos para atrapar a sus víctimas.
Comprender cómo funciona y se propaga es útil para estar preparado, ya que, como veremos, a pesar de su baja incidencia en comparación con otros ataques, puede causar daños significativos.
¿Qué es el Spear Phishing?
El Spear Phishing es una estafa perpetrada mediante comunicaciones electrónicas dirigidas a una empresa o incluso a una persona, con dos objetivos: robar datos sensibles para su uso fraudulento o difundir malware (y en muchos casos, ambas cosas coinciden).
En el caso más clásico, el destinatario recibe un correo electrónico aparentemente de una fuente confiable, normalmente una persona o empresa que conoce y que no considera peligrosa. Al seguir los enlaces del correo electrónico, la víctima termina navegando en un sitio web que difunde malware. Esta técnica pone en riesgo a cualquiera, en cualquier contexto; incluso figuras gubernamentales o personas en la cima de empresas de cualquier tamaño pueden caer en la trampa.
Como se mencionó, no es una amenaza nueva, y quienes la utilizan no excluyen las técnicas de difusión más sutiles. En 2013, una campaña de spear phishing llamó la atención de las posibles víctimas enviando correos electrónicos que parecían provenir realmente del National Center for Missing and Exploited Children, una organización sin fines de lucro dedicada a la protección de la infancia.
Estos ataques suelen ser llevados a cabo por hacktivistas y ciberdelincuentes, estos últimos más interesados en revender los datos confidenciales a los que acceden o apoderarse de datos útiles para penetrar en las redes corporativas.
El Informe Barracuda: Qué es Spear Phishing y Estadísticas
La empresa de seguridad Barracuda analizó este fenómeno durante 2022: el 50% de las empresas de la muestra examinada sufrió un ataque de spear phishing y la mitad de estas experimentó la vulneración de al menos una cuenta de correo electrónico.
Más allá de los números, el contexto es revelador, ya que muchas empresas tienen dificultades para defenderse de estos ataques debido a su naturaleza. No se trata de ataques a una red corporativa, una base de datos o uno o más servidores; es una ofensiva extremadamente personalizable que puede alcanzar a cualquier empleado de una organización.
El informe, ante todo, reveló una difusión inédita del spear phishing, afirmando que el 50% de las 1.350 empresas de la muestra examinada fueron objeto de este tipo de ataques, recibiendo un promedio de cinco correos electrónicos al día.
Estos ataques tienen una alta tasa de éxito, por lo que el spear phishing representa una pequeña parte de los ataques lanzados por correo electrónico, pero causa dos tercios de las violaciones.
El impacto, según el informe, causa principalmente:
- Máquinas infectadas con virus o malware (55%)
- Robo de datos sensibles (49%)
- Robo de credenciales de acceso (48%)
- Daños económicos directos (39%)
Las empresas dedican un promedio de casi 100 horas a remediar el spear phishing, según el informe, dedicando 43 horas a la detección y 56 horas a la respuesta y la remediación. Además, las organizaciones que practican el teletrabajo denuncian un número significativamente mayor de correos electrónicos sospechosos, hasta 12 al día.
Cómo Protegerse del Spear Phishing
Dado que se trata de un ataque personalizado, dirigido con frecuencia a individuos específicos, la defensa puede volverse más compleja.
El spear phishing se incluye en la categoría de ataques dirigidos y se caracteriza por la cuidadosa elaboración del perfil del sujeto a atacar, que ha sido objeto de un estudio en términos de área de trabajo, contexto, tipo de correos electrónicos que suele recibir y proveedores con los que está en contacto.
A diferencia de los ataques de phishing genéricos, ahora fácilmente reconocibles por la calidad del texto de las comunicaciones o por algunos caracteres distintivos, los ataques de spear phishing están extremadamente verticalizados y, por lo tanto, son más difíciles de identificar.
El uso de enfoques personalizados y técnicas de ingeniería social son los principales factores de complejidad. Además, en muchas ocasiones se acompañan del ataque de doble canal que implica el uso de un canal secundario, como LinkedIn, pero muy a menudo el teléfono, para establecer un segundo contacto con la posible víctima.
Inicialmente, el atacante envía un correo electrónico con un texto personalizado para inducir al usuario a abrir un documento o conectarse a un sitio web desde donde se inician una serie de acciones. Gracias al segundo contacto, se refuerza aún más la credibilidad de la primera comunicación y los usuarios con pocas competencias en materia de ciberseguridad difícilmente podrán reconocer este tipo de ataques; incluso los directivos de empresas pueden abrir correos electrónicos que creían seguros.
Hay un error fundamental que debe evitarse: creer que proteger los servidores de correo electrónico es suficiente para evitar el spear phishing, que utiliza el correo electrónico como vehículo principal:
En la estrategia general de defensa no se debe descuidar nada porque no se sabe de dónde vendrá el ataque y cuál será el punto vulnerable.
Es importante utilizar una solución de protección para los endpoints y los servidores de correo electrónico con funciones antiphishing para reducir las posibilidades de infección a través de un correo electrónico. Además, si utiliza el servicio en la nube Microsoft 365, también debe protegerse. Se recomienda implementar una solución que tenga un antispam y un antiphishing dedicados, además de la protección para las aplicaciones SharePoint, Teams y OneDrive para comunicaciones empresariales seguras.
Spear Phishing: Las Armas de Defensa Más Afiladas
En conclusión, es necesario proteger cada dispositivo empresarial, fijo o móvil. Sin embargo, las técnicas de defensa tradicionales pueden ser insuficientes. Entonces, ¿qué enfoque adoptar?
En términos de prevención, la acción más eficaz es la concienciación en ciberseguridad de los usuarios finales. La seguridad tradicional a menudo no logra detener los ataques de spear phishing porque su alta personalización los hace difíciles de detectar. Sin embargo, el error de un empleado puede tener graves consecuencias para las empresas. Con los datos robados, los estafadores pueden revelar información confidencial desde el punto de vista comercial, manipular los precios de las acciones o cometer actos de espionaje.
Además, los ataques de spear phishing pueden distribuir malware para secuestrar computadoras, organizándolas en botnets que pueden usarse para ataques de denegación de servicio. Por este motivo, las empresas deben invertir en sesiones de formación para enseñar a reconocer estos ataques, caracterizados por patrones precisos y sofisticados, pero que normalmente piden realizar siempre las mismas acciones.
Además de la formación, se necesita una tecnología que se centre en la seguridad del correo electrónico. Por ejemplo, una empresa puede organizar formaciones de higiene de ciberseguridad y llevar a cabo un ataque de phishing simulado para asegurarse de que los empleados sepan distinguir los correos electrónicos de phishing de los legítimos.
Lee también: Seguridad Correo Electrónico: SPF, DKIM y DMARC
