¿Qué es spear phishing?

Como todas las estafas de phishing, el spear phishing (phishing focalizado) consiste en manipular a las víctimas a través de historias falsas y estafas. Los ataques de spear phishing se pueden llevar a cabo a través de mensajes de correo electrónico, mensajes de texto, aplicaciones de chat o llamadas telefónicas.

Según el Informe del costo de una filtración de datos de IBM, el phishing es la causa más común de filtraciones de datos. El phishing focalizado es una de las formas más efectivas de phishing porque los delincuentes cibernéticos adaptan sus estafas para que sean lo más convincentes posible para sus objetivos.

En un informe de Barracuda que analizó 50 000 millones de correos electrónicos, los investigadores descubrieron que el spear phishing representaba menos del 0.1 % de los correos electrónicos, pero provocó el 66 % de las infracciones exitosas.¹ Aunque la vulneración media causada por el phishing cuesta 4.76 millones de dólares, según el informe Costo de una filtración de datos los ataques de spear phishing pueden llegar a alcanzar los 100 millones de dólares.²

El spear phishing, una forma de ataque de ingeniería social, explota la naturaleza humana en lugar de las vulnerabilidades de la red. Para contrarrestarla eficazmente, los equipos de ciberseguridad deben combinar la formación de los empleados con herramientas avanzadas de detección de amenazas, formando una estable defensa contra esta insidiosa amenaza.

El phishing es una categoría amplia que incluye cualquier ataque de ingeniería social que utilice mensajes fraudulentos para manipular a las víctimas. Spear phishing es un subconjunto de phishing que se centra en un objetivo cuidadosamente elegido.

Un ataque de phishing tradicional, también llamado “phishing masivo”, es un juego de números. Los piratas informáticos elaboran mensajes fraudulentos que parecen proceder de empresas, organizaciones o incluso personajes famosos de confianza.

Los ciberdelincuentes envían estos mensajes de phishing a cientos o miles de personas, con la esperanza de engañar a algunas de ellas para que visiten sitios web falsos o entreguen información valiosa como números de seguro social.

Sin embargo, los ataques de spear phishing son ataques dirigidos a personas específicas que tienen acceso a los activos que quieren los delincuentes cibernéticos.

Los phishers focalizados fijan su mirada en una persona o grupo en particular, como un ejecutivo corporativo o los directores de ventas regionales de una empresa. Realizan una extensa investigación sobre la vida personal y profesional de sus objetivos y utilizan sus hallazgos para elaborar mensajes de estafa altamente creíbles.

La mayoría de los ataques siguen un proceso de cuatro pasos:

1. Establecer lo que se quiere lograr
2. Elegir un objetivo
3. Investigar al objetivo 
4. Fabricar y enviar el mensaje de phishing

Muchas estafas de spear phishing tienen como objetivo robar grandes sumas de dinero a las organizaciones. Los estafadores pueden hacer esto de varias maneras. Algunos engañan a sus víctimas para que realicen un pago o una transferencia bancaria a un proveedor fraudulento. Otros manipulan a sus objetivos para que compartan números de tarjetas de crédito, números de cuentas bancarias u otros datos financieros.

Las campañas de spear phishing también pueden tener otros objetivos perjudiciales:

• Difundir ransomware u otro malware: Por ejemplo, un actor de amenazas puede enviar un archivo adjunto de correo electrónico malicioso disfrazado como un documento inofensivo de Microsoft Word. Cuando la víctima abre el archivo, automáticamente instala malware en su dispositivo.
  
  
• Robo de credenciales de inicio de sesión: Como nombres de usuario y contraseñas que el hacker puede emplear para organizar un ataque mayor. Por ejemplo, el hacker podría enviar al objetivo un enlace malicioso a una página fraudulenta de “actualice su contraseña”. Este sitio web falso envía las credenciales que introducen las víctimas directamente al hacker.
  
  
• Robar información confidencial: Como datos personales de clientes o empleados, propiedad intelectual o secretos comerciales. Por ejemplo, el estafador podría hacerse pasar por un colega y pedirle a la víctima que comparta informes confidenciales.

Después, el ciberdelincuente identifica un objetivo adecuado. El objetivo es alguien que pueda dar a los hackers acceso a los recursos que desean, ya sea directamente (por ejemplo, realizando un pago) o indirectamente (por ejemplo, descargando spyware).

Los intentos de spear phishing comúnmente se dirigen a empleados de nivel medio, bajo o nuevos con privilegios de red o sistema elevados. Estos empleados pueden ser menos rigurosos a la hora de seguir las políticas de la compañía que los objetivos de nivel superior. También pueden ser más susceptibles a las tácticas de presión, como un estafador que se hace pasar por un líder sénior.

Las víctimas típicas incluyen gerentes financieros autorizados para realizar pagos, trabajadores de TI con acceso a nivel de administrador a la red y gerentes de recursos humanos con acceso a los datos personales de los empleados. Otros tipos de ataques de spear phishing se dirigen exclusivamente a empleados de nivel ejecutivo.

El atacante investiga al objetivo en busca de información que le permita hacer pasar por una fuente confiable cercana al objetivo, como un colega o un jefe.

Gracias a la cantidad de información que las personas comparten libremente en las redes sociales y otros lugares en línea, los delincuentes cibernéticos pueden encontrar esta información sin tener que buscar demasiado. Muchos hackers pueden crear un correo electrónico de spear phishing convincente después de solo un par de horas de búsqueda en Google.

Algunos hackers van incluso más allá. Irrumpen en las cuentas de correo electrónico o en las aplicaciones de mensajes de la compañía y pasan tiempo observando a su objetivo para recopilar información aún más detallada.

Empleando su investigación, los spear phishers crean mensajes de phishing dirigidos que parecen muy creíbles. La clave es que estos mensajes contienen detalles personales y profesionales que el objetivo cree erróneamente que solo una fuente confiable podría conocer.

Por ejemplo, imagine que Luis es un gestor de cuentas por pagar en ABC Industries. Al observar el perfil público de LinkedIn de Luis, un atacante podría encontrar su cargo, responsabilidades, dirección de correo electrónico de la empresa, nombre y cargo del jefe, y nombres y cargos de asociados de negocios.

El hacker puede usar estos detalles para enviar un correo electrónico creíble que afirma venir del jefe de Luis:

Hola Luis:

Sé que procesa las facturas de XYZ Systems. Me comunican que están actualizando su proceso de pago y necesitan todos los pagos próximos para destinarlos a una nueva cuenta bancaria. Esta es su factura más reciente con los detalles de la nueva cuenta. ¿Podría enviar el pago el día de hoy?

La factura adjunta es falsa, y la “nueva cuenta bancaria” es la que posee el defraudador. Luis entrega el dinero directamente al atacante cuando éste realiza el pago.

Un correo electrónico de phishing generalmente incluye señales visuales que le dan mayor autenticidad a la estafa. Por ejemplo, el atacante podría usar una dirección de correo electrónico falsa que muestre el nombre para mostrar del jefe de Luis pero oculte la dirección de correo electrónico falsa que utilizó el atacante.

El atacante también puede copiar el correo electrónico de un compañero de trabajo falsificado e insertar una firma con el logo de la empresa Industrias ABC.

Un estafador hábil podría incluso hackear la cuenta de correo electrónico real del jefe de Luis y enviar el mensaje desde allí, sin darle a Luis ninguna razón para sospechar.

Algunos estafadores llevan a cabo campañas híbridas de spear phishing que combinan correos electrónicos de phishing con mensajes de texto (llamados “phishing SMS” o “smishing”) o llamadas telefónicas (llamadas “phishing por voz” o “vishing”).

Por ejemplo, en lugar de anexar una factura falsa, el correo electrónico podría indicarle a Luis que llame al departamento de cuentas por pagar de XYZ Systems a un número de teléfono controlado en secreto por un estafador.

Debido a que emplean múltiples modos de comunicación, los ataques de spear phishing híbridos suelen ser incluso más efectivos que los ataques de spear phishing estándar.

Además de ganarse la confianza de las víctimas, los ataques de spear phishing suelen utilizar técnicas de ingeniería social para presionar psicológicamente a sus objetivos para que tomen acciones que no deberían y que normalmente no tomarían.

Un ejemplo es hacerse pasar por un funcionario de alto nivel de la empresa. Los empleados están condicionados a respetar la autoridad y tienen miedo de no seguir las órdenes de un ejecutivo, incluso si las órdenes son fuera de lo común.

Otras tácticas comunes de ingeniería social incluyen: 

• Pretextar: inventar una historia o situación realista que el objetivo reconoce y con la que puede identificar. Por ejemplo, un phisher podría hacer pasar por un trabajador de TI y decirle al objetivo que es hora de una actualización de contraseña programada de manera regular.

• Crear un sentido de urgencia: por ejemplo, un phisher puede hacer pasar por un proveedor y afirmar que el pago de un servicio crítico está atrasado.

• Apelar a emociones fuertes: provocar miedo, culpa, gratitud o codicia, o hacer referencia a algo que le importa a la víctima puede nublar el juicio de la víctima y hacerla más susceptible a la estafa. Por ejemplo, un estafador que se hace pasar por el jefe de una víctima podría prometer una “recompensa” por “ayudar con una solicitud de último momento”.

La creciente disponibilidad de inteligencia artificial (IA), en concreto de IA generativa, está facilitando a los phishers la realización de ataques sofisticados y muy eficaces.

Según el X-Force Threat Intelligence Index de IBM, un estafador tarda 16 horas en crear un correo electrónico de phishing manualmente. Con la IA, los estafadores pueden crear esos mensajes en solo cinco minutos.

En el caso concreto de los spear phishers, la IA puede agilizar algunas de las partes más complicadas de la estafa. Por ejemplo, los estafadores pueden utilizar la IA para automatizar la extracción de información de los perfiles de las redes sociales de los objetivos. Pueden alimentar las herramientas de IA generativa con muestras de escritura de las personas a las que pretenden suplantar, lo que permite a la IA generar mensajes de phishing más creíbles.

Los estafadores también pueden emplear la IA para crear documentos falsos convincentes, como facturas falsas, plantillas de correo electrónico, reportes y otros materiales. Incluso pueden usar videos y grabaciones de voz generados por IA para que sea aún más difícil diferenciar entre estafas y comunicaciones reales.

Hay dos subtipos notables de ataque de spear phishing: el whaling (o “whale phishing”) y el compromiso de correo electrónico empresarial (BEC).

La principal diferencia entre el whaling y el spear phishing regular es que los ataques de whaling se dirigen específicamente a las víctimas de mayor perfil y valor. Piense en miembros del consejo de administración, directivos ejecutivos, famosos o políticos. Los ataques de whaling buscan la presa que pueden proporcionar estos objetivos, como grandes sumas de dinero en efectivo o acceso a información altamente confidencial.

Los ataques BEC son estafas de phishing focalizado que tienen como objetivo específico robar a las organizaciones. Dos formas comunes de BEC incluyen:

1. Fraude al CEO: el estafador se hace pasar por un ejecutivo de alto nivel suplantando o secuestrando una cuenta de correo electrónico, una aplicación de chat u otro canal de comunicación. El estafador envía mensajes a uno o varios empleados de nivel inferior dándoles instrucciones para que transfieran fondos a una cuenta fraudulenta o realicen una compra a un vendedor fraudulento.
   
   

2. Compromiso de cuenta de correo electrónico (EAC): el estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior, como un gerente de finanzas o ventas. El estafador emplea la cuenta para enviar facturas fraudulentas a los proveedores, instruir a otros empleados para que realicen pagos fraudulentos o solicitar acceso a datos confidenciales.

Los ataques BEC exitosos se encuentran entre las ciberamenazas más costosas, con un total de USD 2.9 mil millones en pérdidas reportadas en 2023, según el Reporte de Delitos en el Internet de la Oficina Federal de Investigaciones (FBI).³

Los ataques de phishing figuran entre los ciberataques más difíciles de combatir porque las herramientas tradicionales de ciberseguridad no siempre pueden detectarlos. Los ataques de spear phishing son especialmente difíciles de interceptar porque su naturaleza selectiva y su contenido personalizado los hacen aún más convincentes.

Sin embargo, hay pasos que las organizaciones pueden tomar para fortalecer sus defensas contra el phishing focalizado y reducir la posibilidad de un ataque exitoso:

Debido a que los ataques de spear phishing se dirigen a las personas, no a las vulnerabilidades del sistema, la capacitación de los empleados es una línea de defensa importante. La capacitación en concientización sobre seguridad puede incluir:

• Técnicas para reconocer correos electrónicos sospechosos, como direcciones de correo electrónico falsificadas, mala ortografía y gramática, apuestas inusualmente altas y solicitudes extrañas.
  
  
• Consejos sobre cómo evitar compartir de más en redes sociales.
  
  
• Políticas y procesos organizacionales para contrarrestar las estafas, como no abrir archivos adjuntos no aplicar y confirmar las solicitudes de pago inusuales a través de un segundo canal antes de actuar sobre ellas.
  
  
• Simulaciones de spear phishing y pentesting, que pueden ayudar a los empleados a aplicar lo aprendido y ayudar a los equipos de seguridad a identificar vulnerabilidades para su corrección.

Las herramientas de IAM, como el control de acceso basado en roles y la autenticación multifactor (MFA), pueden evitar que los hackers obtengan acceso a cuentas de usuario y datos confidenciales. Por ejemplo, si los ejecutivos activan la MFA en sus cuentas de correo electrónico, los hackers necesitarán algo más que una contraseña para tomar el control de esas cuentas.

Ningún control de seguridad puede detener por completo el spear phishing, pero varias herramientas pueden ayudar a prevenir los ataques de este tipo o a minimizar los daños que causan: 

• Herramientas de seguridad del correo electrónico: como los filtros de spam y las pasarelas seguras de correo electrónico, pueden ayudar a detectar y desviar en tiempo real los mensajes de spear phishing.

• Software antivirus: puede ayudar a neutralizar las infecciones de malware o ransomware que se derivan del spear phishing.

• Puertas de enlace web seguras: cortafuegos y otras herramientas de filtrado web pueden bloquear los sitios web maliciosos a los que dirigen los correos electrónicos de phishing focalizado a los usuarios.

• Parches del sistema y del software: pueden cerrar vulnerabilidades técnicas comúnmente usadas por los phishers.

• Herramientas de protección de endpoints: como las soluciones de detección y respuesta de endpoints (EDR) y gestión unificada endpoint pueden evitar que los estafadores se apoderen de los dispositivos, se hagan pasar por usuarios o planten malware.

• Soluciones de seguridad empresarial: como la gestión de incidentes y eventos de seguridad (SIEM) y las plataformas de orquestación, automatización y respuesta de seguridad (SOAR), pueden ayudar a detectar e interceptar la actividad maliciosa de la red vinculada a los ataques de spear phishing.