El spear phishing es un tipo de ataque de phishing que se dirige a un individuo o grupo de individuos específicos dentro de una organización e intenta engañarlos para que divulguen información confidencial, descarguen malware o envíen sin saberlo nuestros pagos de autorización al atacante.
Como todas las estafas de phishing, el spear phishing puede realizarse por correo electrónico, mensajes de texto o llamadas telefónicas. La diferencia es que, en lugar de dirigirse a miles o millones de víctimas potenciales con tácticas de "phishing masivo", el spear phising se dirige a personas o grupos de personas concretos, por ejemplo, los directores regionales de ventas de una empresa, con estafas personalizadas basadas en una investigación exhaustiva.
Según el informe "Coste de una filtración de datos" de 2022 de IBM , el phishing fue la segunda causa más común de vulneraciones de datos en 2022. McKinsey señala que el número de ataques de spear phishing aumentó casi siete veces después del inicio de la pandemia. Los ciberdelincuentes se aprovechan del creciente número de trabajadores a distancia, que pueden ser más susceptibles a las estafas de phishing debido a una higiene de seguridad poco estricta y al hábito de colaborar con compañeros y jefes principalmente a través del correo electrónico y las aplicaciones de chat.
El informe de IBM también reveló que, si bien los ataques de phishing tuvieron el coste promedio más alto por infracción, con 4,91 millones de dólares, los costes de los ataques de spear phishing pueden superar con creces incluso esa cantidad. Por ejemplo, en un ataque de alto perfil, los suplantadores de identidad robaron más de 100 millones de dólares de Facebook y Google haciéndose pasar por vendedores legítimos y engañando a los empleados para que pagaran facturas fraudulentas.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese para obtener el X-Force Threat Intelligence Index
En un ataque de phishing masivo clásico, los hackers elaboran mensajes fraudulentos que parecen proceder de empresas, organizaciones o incluso famosos conocidos. A continuación, envían estos mensajes de phishing al mayor número de personas posible, con la esperanza de que al menos un puñado se deje convencer para proporcionar información valiosa, como su número de la seguridad social, el de su tarjeta de crédito o la contraseña de su cuenta.
En cambio, los ataques de spear phishing son ataques selectivos dirigidos a personas concretas que tienen acceso a activos específicos.
Establecimiento de un objetivo
La mayoría de los ataques de spear phishing tienen como objetivo robar grandes sumas de dinero de las organizaciones engañando a alguien para que realice un pago o una transferencia bancaria a un proveedor o cuenta bancaria fraudulentos, o engañándole para que divulgue números de tarjetas de crédito, números de cuentas bancarias u otros datos confidenciales o sensibles.
Pero las campañas de spear phishing pueden tener otros objetivos perjudiciales:
Distribuir ransomware u otro software malicioso (por ejemplo, el ciberdelincuente puede enviar un archivo adjunto malicioso, como un archivo de Microsoft Excel, que instala malware al abrirlo).
Robo de credenciales, como nombres de usuario y contraseñas, que el pirata informático puede utilizar para organizar un ataque más grande. Por ejemplo, el pirata informático podría enviar un enlace malicioso al destino a una página web fraudulenta de "actualiza tu contraseña".
Robo de datos personales o información confidencial, como datos personales de clientes o empleados, finanzas corporativas o secretos comerciales.
Elegir uno o varios objetivos
A continuación, el spear phisher identifica un objetivo adecuado. Una persona o grupo de personas con acceso directo a los recursos que desean los hackers, o que pueden proporcionar ese acceso indirectamente mediante la descarga de malware.
A menudo, los intentos de spear phishing se dirigen a empleados de nivel medio, bajo o nuevo con privilegios elevados de acceso a la red o al sistema, que podrían ser menos rigurosos a la hora de seguir las políticas y procedimientos de la empresa. Las víctimas típicas son los gestores financieros autorizados a realizar pagos, los administradores de TI con acceso a la red a nivel de administrador y los responsables de RR. HH. con acceso a los datos personales de los empleados. Otros tipos de ataques de spear phishing se dirigen exclusivamente a empleados de nivel ejecutivo (véase "Spear phishing, whaling o caza de ballenas y BEC", más adelante).
Investigación del objetivo
El atacante investiga al objetivo en busca de información que pueda utilizar para hacerse pasar por alguien cercano al objetivo, es decir, una persona u organización en la que el objetivo confía, o alguien a quien el objetivo debe rendir cuentas.
Gracias a la cantidad de información que la gente comparte libremente en las redes sociales y en otros lugares en línea, los ciberdelincuentes pueden encontrar esta información sin indagar demasiado. Según un informe de Omdia, los hackers pueden crear un convincente correo electrónico de spear phishing después de unos 100 minutos de búsqueda general de Google. Algunos hackers pueden entrar en cuentas de correo electrónico o aplicaciones de mensajería de la empresa y dedicar aún más tiempo a observar las conversaciones para recopilar información más detallada.
Creación y envío del mensaje
Mediante esta investigación, los ciberdelincuentes pueden crear mensajes de phishing dirigidos que parezcan creíbles, desde la fuente o la persona de confianza.
Por ejemplo, imagine que "Jack" es un gestor de cuentas por pagar en ABC Industries. Con solo mirar el perfil público de Jack en LinkedIn, un atacante podría encontrar el cargo de Jack, sus responsabilidades, la dirección de correo electrónico de la empresa, el nombre del departamento, el nombre y cargo del jefe y los nombres y cargos de los socios comerciales. A continuación, utilizan estos detalles para enviarle un correo electrónico creíble de su jefe o jefe de departamento:
Hola, Jack:
Sé que procesas las facturas de XYZ Systems. Me acaban de informar de que están actualizando su proceso de pago y necesitan que todos los pagos futuros vayan a una nueva cuenta bancaria. Aquí está su factura más reciente con los detalles de la nueva cuenta. ¿Puedes enviar el pago hoy?
El correo electrónico suele incluir señales visuales que refuerzan la identidad del remitente suplantado a primera vista, como una dirección de correo electrónico falsificada, por ejemplo, que muestra el nombre del remitente suplantado pero oculta la dirección de correo electrónico fraudulenta, ccs a correos electrónicos de compañeros de trabajo igualmente falsificados o una firma de correo electrónico con el logotipo de la empresa ABC Industries. Algunos estafadores son capaces de piratear la cuenta de correo electrónico real del remitente suplantado y enviar el mensaje desde allí, para conseguir la máxima autenticidad.
Otra táctica consiste en combinar el phishing por correo electrónico con el phishing por SMS, lo que se conoce como phising por SMS o smishing, o el phishing por voz, llamado vishing. Por ejemplo, en lugar de adjuntar una factura, el correo electrónico puede indicar a Jack que llame al departamento de cuentas por pagar de XYZ Systems, a un número de teléfono atendido por un estafador.
Los ataques de spear phishing hacen un uso intensivo de técnicas de ingeniería social . Hay tácticas que utilizan la presión psicológica o la motivación para engañar o manipular a las personas para que realicen acciones que no deberían y que normalmente no harían.
Un ejemplo es hacerse pasar por un funcionario de alto nivel de la compañía, como en el correo electrónico de spear phishing anterior. Los empleados están condicionados a respetar la autoridad e inconscientemente tienen miedo de no seguir las órdenes de un ejecutivo, aunque éstas se salgan de lo normal. Los ataques de spear phishing se basan en otras técnicas de ingeniería social, como:
Pretexto: inventar una historia o situación realista que el objetivo reconozca y con la que se pueda relacionar, por ejemplo, "su contraseña está a punto de caducar"...
Crear un sentido de urgencia: por ejemplo, hacerse pasar por un proveedor y reclamar el retraso en el pago de un servicio crucial.
Apelar a la emoción o a los motivadores subconscientes: intentar provocar miedo, culpa o codicia en el objetivo, hacer referencia a una causa o evento que le importe al objetivo, o incluso simplemente ser útil. Por ejemplo, "aquí tiene un enlace a un sitio web que vende esas piezas de ordenador que andaba buscando".
La mayoría de las campañas de spear phishing combinan múltiples tácticas de ingeniería social. Por ejemplo, una nota del jefe directo del objetivo que diga: "Estoy a punto de subirme a un avión y me estoy quedando sin batería, por favor, ayúdame y apresura esta transferencia bancaria a XYZ Corp. para que no tengamos que pagar un recargo por demora".
Aunque cualquier ataque de phishing dirigido a un individuo o grupo específico es un ataque de spear phishing, existen algunos subtipos notables.
Whaling o caza de ballenas (a veces también llamado whale phishing) es el spear phishing dirigido a las víctimas de mayor perfil y valor. Suelen ser miembros de consejos de administración o altos directivos, pero también objetivos no empresariales, como famosos y políticos. Los cazadores de ballenas buscan la cantera que sólo estos objetivos pueden proporcionar, es decir, grandes sumas de dinero en efectivo o acceso a información muy valiosa o confidencial. Como es lógico, los ataques de whaling suelen requerir una investigación más detallada que otros ataques de spear phishing.
El compromiso del correo electrónico empresarial (BEC) es un tipo de spear phishing dirigido específicamente a robar a las organizaciones. Existen dos formas comunes de BEC:
Fraude al director general: El estafador se hace pasar por la cuenta de correo electrónico de un alto directivo, o la piratea directamente, y envía un mensaje a uno o más empleados de nivel inferior dándoles instrucciones para transferir fondos a una cuenta fraudulenta o realizar una compra a un proveedor fraudulento.
Compromiso de cuenta de correo electrónico (EAC): El estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior. Por ejemplo, un directivo de finanzas, ventas o investigación y desarrollo y lo utiliza para enviar facturas fraudulentas a proveedores, dar instrucciones a otros empleados para que realicen pagos o depósitos fraudulentos o solicitar acceso a datos confidenciales.
Los ataques de BEC exitosos se encuentran entre los ciberdelitos más costosos. En uno de los ejemplos más conocidos de BEC, los hackers que suplantaron a un director general convencieron al departamento financiero de su empresa a transferir 42 millones de euros a una cuenta bancaria fraudulenta.
Los ataques de phishing se encuentran entre los ciberataques más difíciles de combatir, porque no siempre pueden ser identificados por las herramientas de ciberseguridad tradicionales (basadas en firmas); en muchos casos, el atacante solo tiene que burlar la vigilancia "humana".
Los ataques de spear phishing suponen un reto especialmente complejo ya que su naturaleza selectiva y su contenido personalizado los hacen aún más convincentes para el ciudadano de a pie. Sin embargo, existen medidas que las organizaciones pueden adoptar para mitigar el impacto de los ataques de spear phishing, o incluso evitarlos por completo:
Formación sobre concienciación en materia de seguridad. Dado que el spear phishing se aprovecha de la naturaleza humana, la formación de los empleados es una importante línea de defensa contra estos ataques. La formación sobre concienciación en materia de seguridad puede incluir:
Enseñar a los empleados técnicas para reconocer correos electrónicos sospechosos. Por ejemplo, comprobar los nombres de remitentes de correo electrónico en busca de nombres de dominio fraudulentos.
Consejos para no compartir más de la cuenta en las redes sociales.
Buenos hábitos de trabajo. Por ejemplo, nunca abrir archivos adjuntos no solicitados, confirmar solicitudes de pago inusuales a través de un segundo canal, llamar por teléfono a los proveedores para confirmar las facturas, navegar directamente a sitios web en lugar de hacer clic en enlaces dentro de los correos electrónicos.
Simulaciones de spear phishing en las que los empleados puedan aplicar lo aprendido.
Autenticación multifactor y adaptable. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña), y/o autenticación adaptativa (que requiere más credenciales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede evitar que los hackers accedan a la cuenta de correo electrónico de un usuario, incluso si son capaces de robar la contraseña de correo electrónico del usuario.
Software de seguridad. Ninguna herramienta de seguridad por sí sola puede prevenir el spear phishing por completo, pero varias herramientas pueden desempeñar un papel en la prevención de ataques de spear phishing o minimizar el daño que causan:
Algunas herramientas de seguridad del correo electrónico, como filtros de spam y pasarelas de correo electrónico seguras, pueden ayudar a detectar y desviar los correos electrónicos de spear phishing.
El software antivirus puede ayudar a neutralizar las infecciones conocidas de malware o ransomware que resultan del spear phishing.
- Las puertas de enlace web seguras y otras herramientas de filtrado web pueden bloquear los sitios web maliciosos enlazados en correos electrónicos de suplantación spear phishing.
- Los parches del sistema y del software pueden cerrar vulnerabilidades técnicas utilizadas habitualmente por los ciberdelincuentes.
Las soluciones de seguridad empresarial pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad a detectar e interceptar tráfico malicioso y actividad de red ligada a ataques de spear phishing. Estas soluciones incluyen (entre otras) orquestación, automatización y respuesta de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta extendidas (XDR).
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM utiliza el análisis y la IA para monitorizar la información sobre amenazas y las anomalías en la red y en el comportamiento de los usuarios, así como para priorizar dónde es necesaria una atención y correción inmediatas.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de programas maliciosos y ataques de suplantación de identidad protegiendo a sus clientes minoristas y de empresa.
Proteja los puntos finales de los ciberataques, detecte comportamientos anómalos y corríjalos casi en tiempo real con esta solución de detección y respuesta de endpoints (EDR) sofisticada pero fácil de usar.
Manténgase al día de las noticias, tendencias y técnicas de prevención del phishing en Security Intelligence, el blog de liderazgo intelectual de IBM Security.
El ransomware es un malware que mantiene secuestrados los dispositivos y datos de las víctimas hasta que se paga un rescate.
En su 17ª edición, este informe comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.