El mundo enfrenta un auge de ciberataques, que en 2023 batieron todos los récords. Los métodos de phishing son cada vez más sofisticados y han aparecido nuevas variantes como el spear phishing.
Según el informe del Anti-Phishing Working Group (APWG por sus siglas en inglés), se registraron 5 millones de ataques cibernéticos a nivel mundial durante todo 2023, muchos de ellos utilizando métodos típicos del spear phishing, como la ingeniería social y la suplantación de identidad.
En este artículo conoce qué es el spear phishing y cómo se puede identificar con anticipación.
Introducción al spear phishing
Los ciberataques en el mundo aumentaron siete veces desde el inicio de la pandemia y fueron la segunda causa más común de violaciones de datos en 2022, dice el informe Cost of Data Breach de IBM. En un contexto donde muchas personas se acostumbraron a trabajar de forma remota y a comunicarse con sus colegas vía online, los delincuentes cibernéticos encontraron nuevas formas de ingresar a los servidores de las empresas para robar información y, muchas veces, pedir dinero para devolverla.
Al igual que todas las estafas de phishing, el spear phishing se puede realizar por correo electrónico, mensaje de texto o llamadas telefónicas. Este ataque consiste en dirigirse a un individuo o grupo de individuos específicos dentro de una organización, intentando engañarlos para así conseguir que brinden información privada, descarguen archivos que implantan un virus en sus computadoras o que envíen dinero suplantando la identidad de un proveedor.
El término spear phishing no es tan novedoso. De hecho, fue utilizado por primera vez en 1996 por el medio de noticias tecnológico Usenet, para describir el robo de información que tuvo como víctima a America Online (AOL por sus siglas en inglés), una de las mayores compañías de servicios de internet en Estados Unidos.
Diferencias entre phishing y spear phishing
Phishing y Spear Phishing ocasionalmente refieren a términos similares: ciberataques que utilizan técnicas de ingeniería social con las que el delincuente simula ser alguien con la credibilidad suficiente como para solicitar la información que busca conseguir. Sin embargo, existen pequeñas, pero importantes, diferencias que los distinguen a uno de otro:
Enfoque del ataque
Mientras el phishing centra su método en enviar un mensaje fraudulento a muchas personas elegidas de forma aleatoria, el spear phishing se enfoca en un individuo o un grupo de individuos que mantienen una relación entre sí.
Precisión y efectividad
La ingeniería social en el spear phishing es más precisa, lleva trabajo y es más efectiva que el phishing, que al abarcar un número más grande de víctimas potenciales espera que al menos una crea que lo que acaba de recibir es auténtico.
Suplantación de identidad
En una estafa del tipo phishing, los atacantes suplantan la identidad de una compañía reconocida, adoptando su imagen, logotipo y nombre; mientras que en el spear phishing, los ciberdelincuentes estudian a la víctima para personalizar el ataque, incluyendo la adopción del lenguaje y el estilo de comunicación de la empresa que simula.
Personalización del ataque
Las estafas de phishing no centran su atención en la experiencia individual de cada usuario, sus mensajes son genéricos y emplean una escritura formal y protocolar. En cambio, el spear phishing personaliza el lenguaje de sus mensajes adoptado a los comportamientos del damnificado, lo que aumenta la probabilidad de éxito.
Cómo funcionan los ataques de spear phishing
Para realizar un ataque de spear phishing, los ciberdelincuentes necesitan primero realizar un estudio minucioso de su víctima. A diferencia del phishing, donde los hackers envían el mensaje indiscriminadamente a tantas personas como sea posible; el spear phishing dirige su ataque a personas específicas con acceso a activos e información específica.
Establecer un objetivo
Uno de los objetivos principales del ciberdelincuente es ganar dinero a costa de las organizaciones, engañando a sus empleados para que realicen transferencias bancarias o pagos. Aunque las campañas de spear phishing pueden tener otros objetivos perjudiciales, tales como la propagación de un malware; el robo de credenciales, la modificación de accesos privados; y el robo de datos personales o información confidencial de la empresa.
Elegir una o más víctimas
Para cometer el delito, el delincuente debe identificar una persona o un grupo de personas específicas que se encuentren relacionadas por un motivo particular: miembros de una junta, colegas de trabajo, familia, entre otras. Estas personas son quienes tienen acceso directo a la información o el recurso que los hackers desean, o que pueden brindar acceso a esos activos mediante la descarga de un malware.
Los delitos de spear phishing están dirigidos a personas del nivel medio, bajo o nuevos en las empresas porque son más propensos a caer en esta clase de estafas. Aunque existe también un fenómeno dentro de este delito donde los damnificados escalan hacia los puestos más altos de la compañía: desde el CEO hasta los cargos más relevantes de IT y administración.
Conocido como Whaling, es un ataque de spear phishing dirigido a personas de suma importancia en una empresa (CEOs, directores, administradores). Son más costosos, debido a la cantidad de recursos y tiempo que se invierte para lograr la estafa perfecta; pero de resultar exitoso, puede causar mucho daño por el tipo de información, permisos y dinero que los delincuentes pueden conseguir.
Investigar a las víctimas
El delincuente investiga minuciosamente a su víctima con información que le pueda servir para, al momento de contactarse con ella, demostrar credibilidad. Así, adopta los modismos de la empresa para la que trabaja, su lenguaje, las imágenes y elementos dispersos en un mensaje de comunicación interna para simular ser, o bien un área administrativa de la compañía, como así un colega superior que necesita de su ayuda.
Debido a la gran cantidad de información que las personas publican en internet sin pensar en cómo esto perjudicaría su vida privada, los ciberdelincuentes pueden encontrar datos de la víctima sin navegar tan profundo en la web. Según la consultora Omdia, a los atacantes de spear phishing les toma un promedio de 100 minutos de búsqueda en Google conseguir información privada de sus víctimas y crear un correo electrónico para suplantar la identidad de la empresa donde trabajan.
Redactar y enviar el mensaje fraudulento
Una vez establecido el objetivo y tras identificar a las víctimas e investigar su vida privada; el hacker debe redactar un mensaje de spear phishing que resulte confiable para la persona que lo recibirá. Tan solo en perfiles públicos de sitios como LinkedIn, el atacante puede encontrar conexiones entre empleados de una misma compañía, conocer los roles, las tareas que realizan, direcciones de correo electrónico; y utilizar todos estos detalles para escribir un mensaje creíble con la firma de un jefe o departamento interno.
Los mensajes suelen incluir huellas que refuerzan la veracidad de su procedencia:
- Utilizar el mismo dominio que los correos electrónicos de la compañía;
- Adoptar el logotipo de la empresa al dorso de su firma;
- Incorporar una foto de perfil para suplantar la identidad de alguien;
- Redactar el mensaje con un lenguaje que es familiar para la víctima;
- Simular que el mensaje ha sido enviado con copia a directivos y superiores.
Incluso, algunos estafadores pueden hackear previamente el correo electrónico de un superior para así infiltrarse en él, suplantar su identidad y solicitar información a individuos por debajo de su escala de jerarquía con total autenticidad.
Impacto y prevalencia del spear phishing
El impacto que causa el spear phishing puede ser muy variado, dependiendo del nivel de violación que la empresa haya sufrido a raíz de esta infiltración. Entre los casos más comunes, podemos encontrar las siguientes aflicciones:
- Hurto de contraseñas;
- Pérdida de acceso a correos, redes sociales o sitios web;
- Perjuicios económicos, en el peor de los casos.
De todas formas, el robo de identidad en el spear phishing y sus consecuencias dependen de la información que el delincuente haya obtenido y cómo la utilizará. Si consideramos los diferentes métodos de phishing que existen en la actualidad, resulta complejo determinar con exactitud las pérdidas ocasionadas, aunque indudablemente son significativas.
Caso Facebook y Google de spear phishing
Se supone que las compañías pequeñas o de menor infraestructura son más propensas a ser víctimas de spear phishing debido a la falta de conocimiento, seguridad y capacitación de sus empleados. Sin embargo, en 2017 los gigantes tecnológicos Facebook y Google cayeron en la trampa. ¡Los departamentos de contabilidad de estas dos empresas realizaron transferencias por más de 100 millones de dólares a cuentas extranjeras controladas por un hacker!
Utilizar la emoción y la urgencia para el spear phishing
Durante el Mundial de Fútbol de la FIFA en 2018, Rusia, los casos de spear phishing aumentaron a nivel mundial. Los delincuentes de la red hicieron uso del entusiasmo general por conseguir entradas a los partidos más importantes, alojamientos de última hora e incluso merchandising oficial a bajo costo para hacerse de un gran número de víctimas unidas por una misma urgencia y dispuestas a transferir y pagar dinero a un desconocido con tal de conseguir lo que busca.
¿Qué fue la operación Phish Phry?
La operación Phish Phry, que comenzó en 2007, fue la investigación más extensa del FBI acerca de ciberdelitos; donde una organización criminal utilizó correos electrónicos y sitios web falsos para persuadir a sus víctimas y obtener sus números de cuenta, contraseñas y códigos PIN. Al concluir la investigación, el FBI anunció que los delincuentes habían logrado transferir un millón y medio de dólares a sus cuentas y cerca de 100 personas provenientes de Norteamérica y Egipto fueron llevadas a juicio.
Técnicas utilizadas en los ataques de spear phishing
Tan solo en 2022, el Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) bloqueó más de 9 millones de ciberataques y relevó un total de 26 621 tickets sobre incidentes de vulnerabilidad en empresas públicas y privadas. El aumento de trabajadores remotos y el traslado de las actividades laborales hacia lo digital genera un contexto muy favorable para el spear phishing.
Los ciberatacantes estudian a su víctima mediante técnicas conocidas como Social Engineering hasta dar con su cometido ¿cómo lo logran?
Utilizar múltiples vías de comunicación en el spear phishing
Tanto en actos de phishing como spear phishing, los atacantes pueden utilizar otras vías de contacto además del correo electrónico; tales como mensajes vía SMS, llamados telefónicos e incluso redes sociales. Para conseguir mayor efectividad en sus ataques, en ocasiones emplean más de una de ellas en un mismo individuo para así convencerlos de otorgar lo que necesitan:
Ejemplo: Combinando un mensaje de correo electrónico con un llamado de voz, los atacantes envían un mensaje personalizado a su víctima solicitando el pago de una factura atrasada. En el mensaje, instan al empleado a contactarse con el departamento de cuentas a través de un número telefónico atendido por el estafador. El damnificado procede a llamar por teléfono, hablar con el presunto proveedor y corroborar que la falsa deuda existe y procede a abonar.
Apelar a los sentimientos para cometer spear phishing
La presión psicológica es una táctica común de la ingeniería social, empleada por el spear phishing para cometer el delito. Así, manipulan al individuo para realizar acciones que no debería o que normalmente no haría; como brindar información sobre el número de una tarjeta de crédito o enviar documentación privada de la empresa. Los atacantes apelan al sentimiento, relatan una historia o crean la sensación de urgencia:
El atacante adopta la imagen de un funcionario de alto nivel en la compañía que se encuentra de viaje por negocios. Con este perfil, se envía un mensaje a un colega pidiendo que envíe el número y código de seguridad de la tarjeta corporativa para realizar un gasto de suma urgencia. Por temor a desacatar a una autoridad superior, a pesar de ser una orden fuera de lo común, el damnificado envía esa información y filtra los datos privados de la empresa.
Prevención del spear phishing: protocolo y pasos
En marzo de 2020, el Gobierno de Chile comenzó a registrar un aumento de intentos de spear phishing en algunos organismos ministeriales. Por lo tanto, tomó una de las primeras medidas a su alcance: capacitar a su personal en materia de ciberseguridad y, en mayor medida, sobre los métodos de phishing para robar información a los usuarios de la red. Así, la CSIRT entregó un protocolo para prevenir estas actividades tanto en el ámbito de lo público como privado.
Suplantación del nombre del remitente
Los atacantes de spear phishing suelen adoptar la identidad de otra persona a través de un correo electrónico que genere confianza a la víctima. Para prever estas acciones, se recomienda implementar en el servicio antispam un diccionario el cual contenga los nombres de las autoridades de los Ministerios y servicios del Gobierno:
- Revisar el nombre del correo electrónico y ver que coincida con alguien del diccionario;
- Bloquear el correo en caso de que coincida, ya que se trataría de una suplantación de identidad;
- Ubicar la regla de bloqueo debajo de las reglas permitidas del antispam, para no bloquear accidentalmente correos válidos.
Suplantación de la identidad del dominio
Otra herramienta que los ciberdelincuentes utilizan en búsqueda de fidelidades la adopción del dominio de una compañía, de modo que parezca que el correo electrónico proviene efectivamente de un colega de trabajo. En estos casos, se recomienda configurar los protocolos de autentificación SPF, DKIM y DMARK.
- Sender Policy Framework (SPF): Previene este tipo de ataque al añadir un registro en los DNS de los servidores de correo autorizados para enviar correos electrónicos;
- Domain Keys Identified Mail (DKIM): Utiliza técnicas criptográficas insertando una firma en el encabezado de todos los correos salientes. Esto permite que el contenido del mensaje no se manipule mientras es enrutado hacia su destinatario final;
- Domain-based Message Authentication, Reporting and Conformance (DMARK): Es un protocolo que precisa del SPF y DKIM en primera instancia para luego decir al servidor cómo tratar el correo electrónico entrante a través de su protocolo. Por ejemplo, marcar como SPAM o rechazar el correo en caso de no superar la autenticación SPF o DKIM.
Medidas de prevención y mitigación
Para mitigar los robos de activos digitales y económicos por spear phishing, la empresa multinacional Dell ofrece diez pautas indispensables para actuar de manera segura frente a la recepción de correos electrónicos sospechosos que podrían ser actos de vandalismo:
- No responder correos electrónicos que soliciten información personal y financiera;
- Visitar sitios web a través de la barra de URL del navegador, sin utilizar enlaces en un correo;
- Mantener un control regular de las cuentas personales y no utilizar las mismas contraseñas;
- Si un sitio web solicita información personal, asegurarse que cumpla con el protocolo HTTPS;
- Utilizar antivirus en la computadora para prevenir la descarga de malware;
- Evitar ingresar información sensible en ventanas Pop Up o emergentes;
- Actualizar el software del sistema operativo a diario;
- No descargar archivos adjuntos en correos electrónicos de procedencia extraña;
- Validar las credenciales o ponerse en contacto con la persona que envía un correo;
- Corroborar enlaces web para evitar confusiones con sitios falsos que imitan a los legítimos utilizando números por letras.