Teniendo en cuenta que la sociedad está más conectada y enterada de todo que nunca, hay un tipo de ciberamenaza que se ha vuelto especialmente molesta y peligrosa: el spear phishing.
Si alguna vez has recibido un correo electrónico que parecía 100% real, pero que resultó ser un engaño, entonces ya tienes una idea de lo que es el phishing. Pero el spear phishing lleva las cosas a otro nivel, convirtiéndose en un verdadero francotirador para las víctimas.
Para que te hagas una ligera idea, este tipo de ataque está creado y diseñado desde cero para parecer tan creíble que incluso el más precavido podría caer en la trampa.
Según un informe de la empresa de seguridad Ivanti, casi tres cuartas partes (73%) de las organizaciones declararon que su personal de TI ha sido objetivo de ataques de spear phishing, y lo que es aún más alarmante, casi la mitad de estos intentos (47%) tuvieron éxito. Con todo esto, es hora de que conozcas este tipo de ataque a fondo.
¿Qué es el ‘spear phishing’?
En pocas palabras, es una forma de ciberataque muy dirigido. Mientras que el phishing tradicional envía correos electrónicos masivos a miles de personas con la esperanza de que algunos caigan en la trampa, el spear phishing se enfoca en personas específicas, usualmente que están dentro de una empresa objetivo.
Aquí los atacantes, por así decirlo, hacen los deberes e investigan a su presa: pueden revisar redes sociales como LinkedIn o Facebook para obtener información sobre tu trabajo, tus intereses e incluso tus amistades. Luego utilizan esa información para crear un correo electrónico que parece real. Por ejemplo, podrían enviarte un mensaje haciéndose pasar por tu jefe y pidiéndote que revises un documento urgente.
La personalización es clave aquí. Cuanto más realista y específico sea el mensaje, más probabilidades hay de que la víctima caiga en la trampa. Esto hace que el spear phishing sea mucho más efectivo y peligroso en comparación con los métodos más generales.
Como ves, una táctica muy común es aprovechar la autoridad para generar presión sobre sus víctimas. Mensajes como “Necesito que hagas esto ahora” o “Tu cuenta será bloqueada si no actualizas tu contraseña” son ejemplos muy famosos.
Cuando el spear phishing golpea fuerte
Un caso importante ocurrió en 2016 cuando los hackers atacaron a RSA Security, una compañía famosa por su software de seguridad. Los atacantes enviaron correos electrónicos con archivos adjuntos maliciosos disfrazados como documentos importantes para empleados específicos. El resultado fue una brecha enorme en la seguridad de la empresa.
Otro caso sucedió en 2020 cuando Pathé, una importante productora cinematográfica francesa, perdió 19 millones de euros debido a un ataque de spear phishing. Los delincuentes enviaron correos haciéndose pasar por ejecutivos y pidieron transferencias urgentes a cuentas en Dubai.
Incluso gigantes tecnológicos como Twitter —ahora X— no son inmunes a estos ataques. En 2020, varios perfiles fueron hackeados mediante técnicas de spear phishing dirigidas a empleados en concreto. Los atacantes lograron acceder a herramientas internas y manipular cuentas verificadas para enviar mensajes falsos.
Y tú, ¿cómo puedes protegerte?
La buena noticia es que hay formas de defenderse contra el spear phishing. La tecnología juega un papel muy importante aquí; muchas empresas están implementando soluciones de seguridad para detectar correos sospechosos antes de que lleguen a las bandejas de entrada.
La autenticación multifactor (MFA) también se ha convertido en una herramienta casi vital para proteger cuentas que tienen información sensible. Incluso si las credenciales son explotadas, este método añade una capa extra de seguridad.
Sin embargo, la educación y concienciación son igualmente importante. Programas de ciberseguridad pueden ayudar a los trabajadores a reconocer las señales típicas de un ataque de spear phishing —como errores sutiles en direcciones o solicitudes inusuales— y fomentar una cultura donde se cuestione cualquier correo o mensaje raro.
Eso sí, añadir que el futuro no pinta mejor. Con el avance de la inteligencia artificial, se espera que estos ataques se vuelvan aún más sofisticados. Imagina un deepfake de tu jefe pidiéndote que hagas una transferencia urgente. La tecnología para hacer esto ya existe. Entonces, ¿debes abandonar las redes sociales? No necesariamente.
Pero sí hay que ser más conscientes de lo que se comparte. Antes de publicar cualquier cosa sobre ti en internet habría que preguntarse si es suficiente para que alguien con malas intenciones lo use en tu contra. Esa foto de tus vacaciones podría ser el primer paso para que alguien se haga pasar por ti.
Conoce cómo trabajamos en ComputerHoy.
Etiquetas: Vídeo, Estafa, Ciberseguridad
