Todos quieren mantener su información segura.

En la era actual de internet, mantener toda tu información privada segura y alejada de los hackers requiere un esfuerzo serio. Tu información personal parece ser de dominio público. Todos tus datos, detalles de inicio de sesión e información privada están en riesgo ahora más que nunca. Además, hay muchas estafas por correo electrónico circulando por la web que pueden engañarte para que entregues tu información sensible.

Phishing y spear phishing son dos de los tipos más comunes de ciberataques. Para el propósito de este artículo, necesitaremos definir el último.

No importa si tus datos son personales o relacionados con el negocio, mantener una mentalidad de 'mejor prevenir que lamentar' es la mejor manera de protegerte a ti y a tu negocio. Cuando se trata de seguridad de datos, es importante ser proactivo antes de tener que ser reactivo. Implementar un plan de ciberseguridad completo es un gran ejemplo de cómo protegerte antes de que ocurran ataques.

Spear phishing vs. phishing

Los términos phishing y spear phishing a menudo se usan indistintamente, pero esto es incorrecto. Hay una diferencia entre los dos, aunque sea leve. La razón por la que estos dos términos se confunden tan a menudo es porque ambos tienen el propósito de adquirir información sensible de los usuarios.

Para ser claros, aunque los dos términos son diferentes, el spear phishing es técnicamente un subconjunto del phishing. Podrías llamar a un ataque de spear phishing un ataque de phishing, pero no al revés.

Ataques de phishing

El phishing es un término más amplio que encapsula cualquier intento de estafar a las víctimas para que entreguen su información sensible. Por lo general, no se necesita mucha experiencia para ejecutar una gran campaña de phishing. La mayoría de los ataques de phishing son asuntos de una sola vez, con la esperanza de engañarte para que entregues información como tus datos de tarjeta de crédito o nombres de usuario y contraseñas. Van tras un gran número de objetivos de bajo rendimiento y, por lo general, son menos dañinos que los ataques de spear phishing.

Los ataques de phishing no están personalizados para un usuario específico. Más bien, el atacante enviará un correo electrónico a una gran cantidad de personas al mismo tiempo. Los ataques de phishing pueden tener un par de objetivos diferentes. Los atacantes pueden estar tras información personal como números de seguridad social o detalles bancarios para cometer robo de identidad. Pueden tener como objetivo extraer datos comerciales para obtener acceso a cuentas y credenciales confidenciales. Por último, pueden usar malware o virus para corromper tu computadora y robar tus datos personales.

Ataques de spear phishing

El spear phishing, por otro lado, es un método de phishing que apunta a un individuo específico, empresa o grupo de empleados dentro de esa empresa. A diferencia de los ataques de phishing, los ataques de spear phishing requieren mucho más pensamiento y tiempo para lograrse. Requieren habilidades de hacking altamente avanzadas y detalles profundos sobre la(s) víctima(s) objetivo.

Los atacantes buscan reunir la mayor cantidad de información personal sobre sus víctimas como sea posible para que su mensaje parezca más convincente. Es por eso que lleva mucho más tiempo elaborar un correo electrónico de spear phishing. Cuanta más información pueda descubrir un atacante sobre la víctima, más convincente puede ser en el mensaje de spear phishing.

De esta sola estadística, está claro que los usuarios de correo electrónico son el principal objetivo, así como el eslabón más débil cuando se trata de seguridad en tecnología de la información.

Estos mensajes están escritos para dirigirse específicamente a la víctima individual y a nadie más. El atacante se disfraza como una entidad confiable, a menudo alguien que la víctima conoce personalmente, en un intento de aumentar sus posibilidades de obtener información personal de la víctima. Esta técnica suele buscar datos más confidenciales como procesos empresariales, información de identidad personal, secretos de la empresa o detalles financieros de la empresa.

Aunque los ataques de phishing comenzaron a mediados de la década de 1990 como estafas de príncipes nigerianos, con el tiempo han evolucionado en campañas increíblemente detalladas y dirigidas que son altamente efectivas y difíciles de detener.

Una forma de protegerte es implementar software de prevención de pérdida de datos (DLP). Este software se utiliza para asegurar el control y garantizar el cumplimiento de la información empresarial sensible. Un componente clave de las soluciones DLP es el control de distribución, que asegura que los usuarios no envíen información privada fuera de las redes empresariales corporativas.

¿Cómo funciona el spear phishing?

El spear phishing generalmente apunta a empresas, ya que una gran mayoría de sus datos están disponibles en línea, lo que puede ser minado fácilmente y sin sospecha. Los atacantes pueden navegar por el sitio web de la empresa y encontrar su jerga, sus asociaciones, eventos a los que asisten y el software que utilizan. Por otro lado, los atacantes pueden encontrar detalles más personales como la ubicación de una víctima, sus responsabilidades laborales y sus colegas al mirar sus perfiles sociales.

El proceso de spear phishing

No importa si el atacante está tratando de robar la identidad de alguien o tratando de obtener acceso a datos comerciales, recopilan tanta información sobre su víctima como sea posible para ser lo más engañosos posible. Después de hacer la investigación, el atacante puede salpicar el mensaje con nombres, términos o lugares específicos para hacerlo más convincente. El spear phishing tiene tanto éxito porque se siente familiar.

Un correo electrónico de spear phishing será enviado desde una fuente familiar y confiable como Google o PayPal. Si un atacante descubre que su víctima usa regularmente PayPal para enviar dinero a amigos y familiares, puede disfrazarse como un bot de PayPal y pedirles que cambien su contraseña. Una víctima desprevenida no lo pensará dos veces y de repente, sus detalles de tarjeta de crédito están comprometidos.

Para empezar, los atacantes de spear phishing generalmente apuntan a personas que comparten voluntariamente información personal en internet. Solo con navegar por un perfil social, los atacantes pueden encontrar la dirección de correo electrónico de alguien, su ubicación geográfica, toda su red de conexiones profesionales y cualquier publicación sobre compras recientes que hayan hecho. Con estos detalles, los atacantes pueden actuar como un amigo o una marca familiar en la que la víctima confía y elaborar un correo electrónico personalizado que suena y parece inquietantemente auténtico.

Además, para aumentar la posibilidad de obtener información de la víctima, estos mensajes a menudo tendrán explicaciones urgentes sobre por qué necesitan esta información. Las víctimas objetivo pueden ser alentadas a hacer clic en un archivo adjunto malicioso o hacer clic en un enlace falso que los lleva a un sitio web falsificado donde se les puede pedir que ingresen contraseñas, nombres de usuario, números de cuenta o PINs. Estos sitios web también pueden contener malware que infiltrará la computadora de la víctima tan pronto como hagan clic en el enlace.

Un atacante que actúa como un amigo puede engañar a una víctima pidiéndole contraseñas sociales (por ejemplo, su contraseña de Facebook) para obtener acceso a ciertas fotos o videos. En realidad, cuando se le da la contraseña, el atacante la usará (y variaciones de ella) para intentar iniciar sesión en otros sitios web que contienen información sensible como números de tarjetas de crédito o registros de salud. Una vez que estos atacantes tienen una contraseña, es infinitamente más fácil acceder a otros sitios web y cuentas o incluso crear una identidad completamente nueva con la información de su víctima.

El proceso generalmente es así: Se recibe un correo electrónico, que parece ser de una fuente confiable. El mensaje es frenético, solicitando que envíes de vuelta información personal o incluso detalles de cuentas bancarias. Debido a que el atacante hizo su investigación e incluyó información como nombres de colegas o una ubicación frecuentemente visitada, el receptor creerá que el mensaje es de una persona de confianza. Si todo sale según lo planeado, el mensaje dirige a la víctima a un sitio web falsificado lleno de malware. El atacante está dentro y ahora tiene acceso a datos sensibles de la empresa.

¿Qué es el whaling?

Al tratar con correos electrónicos de spear phishing, puedes investigar un poco y encontrarte con el término 'whaling'. Los ataques de spear phishing que apuntan a ejecutivos de alto nivel, políticos o celebridades se conocen comúnmente como ataques de whaling. Estos correos electrónicos a menudo involucran al atacante haciéndose pasar por un CEO (u otro ejecutivo importante) con el objetivo de usar ese alto título para convencer a la víctima de compartir información confidencial, discutir secretos de la empresa o realizar pagos sin cuestionar.

Los atacantes de whaling se disfrazarán con el título, posición o número de teléfono de un ejecutivo, que se pueden encontrar en cuentas de redes sociales, comunicados de prensa o el sitio web de la empresa.

Se realizó un experimento de whaling que apuntó solo a CEOs. Cuando todo estuvo dicho y hecho, una asombrosa tres cuartas partes de ellos fueron engañados por los mensajes simulados.

Otros términos que debes conocer incluyen smishing y vishing.

• Smishing: ataques enviados por mensajes de texto
• Vishing: ataques realizados a través de llamadas telefónicas

4 formas de identificar correos electrónicos de spear phishing

Aunque los correos electrónicos de spear phishing están extremadamente dirigidos y son convincentes, hay algunos factores clave que los diferenciarán de tu correo electrónico normal y corriente.

1. Dirección de correo electrónico incorrecta

La señal de alerta más obvia es una dirección de correo electrónico incorrecta (o una que está cerca de una dirección familiar, pero aún diferente). El truco aquí es que las direcciones de correo electrónico pueden ser falsificadas fácilmente o pueden no ser notablemente diferentes sin una inspección muy cercana. Normalmente, el correo electrónico tendrá un error tipográfico o una letra/número mal colocado que no destaca a primera vista. Por ejemplo, en lugar de una "L" minúscula, un atacante puede usar una "i" mayúscula.

2. Un sentido de urgencia

Otra señal de alerta común en los correos electrónicos de spear phishing es un sentido de urgencia. El remitente puede necesitar acceso instantáneo a una cuenta de la empresa afirmando algo como "Necesitaré acceso a la cuenta (x) antes de las 11 am de hoy. Si pudieras enviar los detalles de inicio de sesión, lo agradecería mucho."

Este sentido de urgencia a menudo se combina con el deseo de romper las reglas de la empresa. El remitente puede querer obtener acceso al software de la empresa y olvidar todas las políticas y procedimientos normales.

3. Infunden miedo

Los atacantes pueden tomar una ruta más maliciosa e infundir miedo en el corazón de su víctima usando un lenguaje emotivo. Pueden actuar como un ejecutivo de nivel C y decirte que necesitan credenciales para una cuenta determinada o dinero para un gasto comercial, y si no cumples, los estás decepcionando.

4. Terminología desconocida

Muchas empresas tienen terminología o jerga común que usan internamente. Ya sea una frase común en un departamento o el término que los empleados usan para dirigirse a la alta dirección, la jerga de la empresa es altamente personal y generalmente solo se usa en esa empresa.

Una forma útil de determinar si has recibido un correo electrónico de spear phishing es si esta jerga falta cuando normalmente estaría allí. Por supuesto, no todos los correos electrónicos comerciales contendrán terminología personalizada, pero si tu departamento siempre usa el término "estado de cuenta" y el remitente usa "estado financiero" en su lugar, no está de más ser cauteloso y verificar con el remitente.

Otro ejemplo de esto es cuando recibes un correo electrónico de toda la empresa del CEO. Si siempre se despiden con "Todo lo mejor" y de repente usan "Saludos", debería activar las alarmas.

Ejemplos de spear phishing

Un atacante podría estar tras una persona (como un CEO) o tras toda una empresa. Hay un puñado de tácticas que utiliza el spear phishing y algunas de las más comunes incluyen la suplantación de un CEO y la inclusión de un enlace malicioso. El primer ejemplo de spear phishing que veremos es un correo electrónico de fraude de CEO.

Fraude de CEO

Este empleado recibió un correo electrónico de un atacante que pretendía ser su CEO. A menudo, estos correos electrónicos están diseñados para engañar a los empleados para que entreguen datos u otra información sensible. El miedo que el empleado tiene de enfadar a alguien más alto en la empresa es lo que hace que esta estafa sea tan efectiva.

El tono profesional y la línea de asunto de este correo electrónico podrían engañar a cualquier empleado desprevenido. Si no tienen cuidado, el empleado lo habría enviado a su gerente o incluso al CFO y habría agravado el problema. Por eso es tan importante educar a tu equipo sobre los correos electrónicos de phishing.

Enlace de correo electrónico malicioso

La mayoría de los correos electrónicos de phishing contienen un enlace malicioso. En este ejemplo, un empleado recibió un correo electrónico de un atacante que se hacía pasar por alguien del departamento de TI de su empresa. El atacante hizo una investigación exhaustiva y pudo descubrir qué servicios usan y cómo mejor hacerse pasar por "Amy Lee".

A primera vista, la dirección de correo electrónico parece legítima y el tono del mensaje es bastante profesional. El atacante le dice al empleado que la empresa transferirá datos de un programa a otro. Si hicieran clic en el enlace, el empleado sería dirigido a un sitio web falso donde se le pediría que creara una cuenta e ingresara información personal.

Al final del día, la mejor manera de evitar que los atacantes accedan a tu información sensible es abstenerse de hacer clic en cualquier enlace dentro de los correos electrónicos.

Cómo evitar el spear phishing

No importa si eres un asociado o el director financiero, los atacantes de spear phishing pueden elegirte como su próxima víctima para obtener acceso a tus datos personales o a la información sensible de tu empresa. Aquí hay algunos consejos principales para defenderte a ti y a tu empresa contra los ataques de spear phishing:

Ten cuidado antes de hacer clic

• Evita hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos desconocidos.
• Para estar seguro, siempre verifica el correo electrónico del remitente para confirmar que estás hablando con alguien en quien confías.
• Ten cuidado con los correos electrónicos (de colegas o extraños) que usan un tono urgente. Si deseas confirmar que el correo electrónico es de la persona correcta, llámala o envíale un mensaje en otra red social para verificar la validez del mensaje.
• Anima a todos los empleados a informar sobre cualquier posible correo electrónico de phishing o spear phishing para que tu equipo pueda detener los ataques en seco.
• Nunca envíes información personal (especialmente financiera o confidencial) por correo electrónico. Si te envían un correo electrónico pidiendo esta información, ahórrate el riesgo y ve directamente a la fuente para verificar que el mensaje sea real.

Prepárate de antemano

• Solicita la ayuda de la autenticación de dos factores. Al hacerlo, ayudarás a asegurar los inicios de sesión en aplicaciones sensibles exigiendo a los usuarios que ingresen dos piezas de datos en lugar de una. Esto suele ser la contraseña normal y un código que se envía al teléfono o computadora del usuario. Cuando usas 2FA, incluso si la contraseña de un empleado se ve comprometida, no será de utilidad para el atacante sin el segundo código que solo se enviará al empleado.
  
  Si buscas protección adicional contra posibles hackers, hacer copias de seguridad de tus datos con frecuencia es tu mejor opción. El software de respaldo ofrece protección para los datos empresariales al almacenar datos en caso de error del usuario, archivos corruptos o desastres físicos. Echa un vistazo a las mejores herramientas de software de respaldo y encuentra la mejor opción para las necesidades de tu empresa.
• Ten contraseñas inteligentes. Cada contraseña que crees (especialmente para cuentas comerciales) debe ser completamente diferente de las demás. Los atacantes pueden descifrar el código mucho más fácilmente si todos tus inicios de sesión son variaciones de una contraseña.

• Envía un mensaje a la empresa sobre los peligros de los correos electrónicos de phishing. Además, puedes realizar una sesión que explique qué se debe y qué no se debe compartir en línea para mantener la empresa lo más protegida posible.
• Implementa una herramienta de prevención de pérdida de datos para tu empresa.
• Instala seguridad de correo electrónico alojada y protección contra spam para establecer la primera línea de defensa.

No muerdas el anzuelo

La primera línea de defensa para protegerte contra estafadores y hackers es educarte sobre las mejores prácticas en ciberseguridad. Si eres un ejecutivo de nivel C, es especialmente importante que reconozcas las señales de advertencia, y rápidamente. Tu seguridad depende de tu dedicación a hacer tu propia investigación.

Si tu empresa es atacada, puede llevar meses, incluso años, recuperarse de un ciberataque. Ahora que has leído sobre qué es el spear phishing, has visto un par de ejemplos y has descubierto cómo puedes protegerte mejor, estás bien equipado para prevenir futuros ataques.

¿Quieres aprender más? Descubre las mejores prácticas que puedes usar para mejorar la seguridad de datos de tu empresa.