Escrito por: Jerónimo Corregido
El spear phishing supone un nivel más alto de riesgo que el phishing común, ya que no es una estafa genérica, sino que utiliza elementos particulares de la víctima. Puede afectar a personas o a empresas, y se caracteriza por la recolección de datos realizada por los delincuentes.
El spear phishing genera especial preocupación entre las ciberestafas.
Spear phishing: qué es y para qué lo usan
El spear phishing es el siguiente grado de sofisticación en las estafas digitales. Se trata de un ataque que utiliza información personal de la víctima para convencerla de un engaño y hacerla caer en algún tipo de trampa.
Las campañas de fraude online suelen ser masivas; en cambio, lo que caracteriza al spear phishing es la particularización del objetivo atacado. Los delincuentes pueden apuntar contra particulares o bien contra empresas e instituciones.
El paso previo a realizar el contacto es un proceso de investigación lo más exhaustivo posible. Esto involucra el rastreo de datos en internet, que pueden ser de acceso público, como los compartidos en redes sociales. Pero también hay datos más específicos que pueden provenir del mercado negro, es decir, de bases robadas.
Con esto los atacantes generan un mensaje a medida de la víctima, que puede implicar desde una falsa oferta de trabajo hasta una solicitud de contacto personal. Este discurso tiende a generar un apoyo de confianza, y garantiza que se le prestará atención al texto.
En el mismo mensaje suele incluirse un link, que se indica como fuente informativa o con otros fines, por ejemplo para hacer aportes. Si este mismo link desconocido apareciera en un mensaje general, enviado a amplias bases de usuarios, probablemente poca gente ingresaría. Pero cuando se trata de una comunicación personalizada, el engaño se vuelve más difícil de percibir.
Al entrar en esa página, la víctima deja su información expuesta al atacante. Dependiendo de la naturaleza de la estafa, puede involucrar la cuenta bancaria y los registros financieros.
Spear phishing vs phishing: cuál es la diferencia
El phishing es el clásico ataque general. Los delincuentes envían mensajes a nutridas bases de datos, como números de teléfono, si el ataque es por SMS, o correos electrónicos, si es por internet. Incluso hay phishing por carta.
Por lo común, los estafadores suplantan la identidad de una tercera parte, como una empresa o una entidad pública. Pueden hacerse pasar por un banco, por un prestador de servicios o por un agente estatal. La diferencia entre las comunicaciones reales y las falsas es cada vez más difícil de distinguir.
Anteriormente, las campañas de phishing eran más obvias. Había errores en los logotipos, faltas de ortografía, los remitentes eran sumamente sospechosos… Hoy en día, estas comunicaciones maliciosas son mucho más creíbles.
El peligro aumenta cuando el mensaje no es general, sino que lleva el nombre y el apellido de la víctima, señala sus referencias y contiene implicaciones que sean de su interés. En ese caso estamos frente al spear phishing.
Qué hacer para no caer en el spear phishing
El hecho de que el spear phishing sea altamente personalizado no quiere decir que sea infalible. De hecho, las normas para evitar caer en la trampa se ajustan a las prerrogativas del sentido común: no confiar en remitentes extraños, no ingresar en enlaces desconocidos, no compartir nunca datos de tarjeta ni cuenta bancaria.
Otras recomendaciones son más técnicas: mantener el software actualizado para evitar ataques, utilizar contraseñas seguras, corroborar la URL de cada sitio al que se ingresa. Sobre todo, si la comunicación tiene un llamado a la acción urgente, ofrece recompensas o contiene promesas, hay material más que suficiente para sospechar.
En caso de haber sido víctima de la estafa, hay que cambiar las contraseñas y activar la autenticación en dos dispositivos. Asimismo, si hay datos de tarjeta involucrados, es necesario contactar con el banco lo antes posible para que bloquee la cuenta. También es posible comunicarse con el Instituto Nacional de Ciberseguridad (INCIBE) para colocar una denuncia y tomar medidas.
