¿Qué es el spear phishing? Ejemplos, tácticas y técnicas

Definición del spear phishing

El spear phishing es un ataque dirigido por correo electrónico que se hace pasar por un remitente de confianza.

En los ataques de spear phishing, los atacantes suelen utilizar información obtenida por medio de la investigación para tranquilizar al destinatario. El objetivo final es infectar los dispositivos con software maliciosos con el fin de convencer al destinatario para que haga clic en un enlace o descargue un archivo adjunto, o engañar al destinatario para que realice alguna otra acción que beneficie al atacante, normalmente la entrega de información o dinero.

Los mensajes de spear phishing suelen estar elaborados con esmero mediante perniciosas técnicas de ingeniería social y es difícil defenderse con meros medios técnicos.

«Lo que es importante saber sobre el spear phishing es que el individuo que está siendo víctima de él no suele ser el verdadero objetivo», afirma J.R. Cunningham, CSO de Nuspire, un proveedor de servicios gestionados de seguridad con sede en Michigan. «Más bien, su entorno corporativo es muy probablemente el objetivo final del atacante».

Phishing, spear phishing y whaling

El phishing, el spear phishing y el whaling son todos tipos de ataques por correo electrónico, siendo el phishing una categoría más amplia de ataque informático que abarca casi cualquier uso del correo electrónico o de otro tipo de mensajería electrónica para engañar a la gente, y el spear phishing y el whaling son solo dos de varios tipos de ataques de phishing diferentes.

La mayoría de los ataques de phishing son mensajes genéricos enviados automáticamente a miles de destinatarios. Están redactados para resultar tentadores: el archivo adjunto puede tener un nombre como «informe salarial», o el enlace puede ser un sitio falso para ganar la lotería. Sin embargo, no se intenta que el contenido del mensaje corresponda a un destinatario en particular. El nombre deriva de «fishing» (la «ph» es parte de la tradición de la ortografía de los hackers), y la analogía es la de un pescador que lanza un anzuelo con cebo (el correo electrónico de phishing) y espera que alguna víctima nade y pique.

El spear phishing, como su nombre en inglés lo indica, consiste en intentar pescar un pez específico. Un correo electrónico de spear phishing incluye información específica para el destinatario con el fin de convencerlo de que realice la acción que el atacante quiere que haga. Comienza con el nombre del destinatario y puede incluir información sobre su trabajo o su vida personal que los atacantes pueden obtener de diversas fuentes.

Otro término que puede surgir en este contexto es «whaling», que es un tipo específico de phishing con arpón, específicamente uno que va tras peces realmente grandes. «El whaling es un tipo de spear phishing que se centra en figuras públicas, altos ejecutivos u otros objetivos importantes, de ahí su nombre poco halagador», explica Jacob Ansari, defensor de la seguridad y analista de cibertendencias emergentes de Schellman. «Todo el spear phishing tiene un objetivo, pero a veces se centra en objetivos menos prominentes con una función importante: alguien de TI o finanzas que tiene una función fundamental, como brindar acceso a los usuarios o aprobar facturas.»

Cómo funcionan los ataques de spear phishing

La forma en que los atacantes obtienen la información personal que necesitan para elaborar un correo electrónico de spear phishing es una técnica de spear phishing clave, ya que todo el proceso del ataque depende de que los mensajes sean creíbles para el destinatario.

Hay varias maneras en que un atacante puede lograr esto. Uno de ellos consiste en comprometer un sistema de correo electrónico o de mensajería a través de otros medios, por ejemplo, a través del phishing común o a través de una vulnerabilidad en la infraestructura del correo electrónico. Pero ese es solo el primer paso del proceso. «El correo electrónico de alguien dentro de la organización atacada se ve comprometido, y el atacante monitorea la red durante un tiempo y rastrea conversaciones interesantes», explica Ori Arbel, CTO de CYREBRO, un proveedor de plataformas de operaciones de seguridad con sede en Tel Aviv. «Cuando llega el momento, envían un correo electrónico al objetivo utilizando un contexto creíble con información privilegiada, como sacar a relucir conversaciones pasadas o hacer referencia a cantidades específicas de una transferencia de dinero anterior».

En el caso de no poder hackear el sistema de comunicaciones, un atacante también podría recurrir a la inteligencia de código abierto (OSINT), explorando las redes sociales o las comunicaciones corporativas para formar una idea de su objetivo. Jorge Rey, socio de seguridad informática y cumplimiento de Kaufman Rossin, una empresa de asesoramiento con sede en Nueva York, explica un vector de ataque común que ha visto. «Cuando las personas hacen un cambio en su perfil de LinkedIn e indican que se han unido a Kaufman Rossin, en cuestión de horas, o incluso minutos, reciben un correo electrónico de nuestro director ejecutivo, no desde su correo electrónico de Kaufman Rossin, sino de un correo de gmail.com, en el que se les pide que compren tarjetas de regalo y cosas así». Por supuesto, este correo electrónico no procede del director ejecutivo, sino de un atacante que espera pillar desprevenido a un nuevo empleado. «Todos estos bots están monitoreando LinkedIn, monitoreando todo a través de scripts, y envían información con la esperanza de que alguien caiga en la trampa», explica.

Si los atacantes pueden averiguar información personal de su presencia en línea, también intentarán utilizarla para su beneficio. Cunningham, de Nuspire, da un ejemplo de un cliente conocedor de los métodos de seguridad que, aun así, estuvo a punto de caer en una trampa de spear phishing. «Recibió un correo electrónico, supuestamente de su compañía de seguros, en el que se le informaba que había una actualización en su reclamación de seguro de automóvil e hizo clic en el enlace. Al hacerlo, se dio cuenta enseguida de que se trataba de un ataque de phishing», afirma. «Resulta que este individuo había tenido recientemente un accidente de automóvil y había publicado fotos del siniestro en las redes sociales, junto con un comentario de que su proveedor de seguros (al que nombró) fue muy rápido en responder a la reclamación. Esto le proporcionó al atacante información sobre el proveedor de seguros de la víctima, que fue utilizada para elaborar el spear phish».

Señales de spear phishing

Los estafadores se centran en los nuevos empleados porque todavía tienen que acomodarse a un nuevo entorno corporativo. Una de las principales señales de un correo electrónico de spear phishing (suponiendo que el atacante haya obtenido toda su información personal correctamente) es que le pedirá que haga algo inusual o fuera de los canales corporativos. Al fin y al cabo, es la única manera de quitarle su dinero (o del de su empresa). A los empleados nuevos les puede costar darse cuenta de que las peticiones son inusuales, pero en la medida en que pueda, debe hacer caso a su instinto.

«Se envió un correo electrónico a varias personas de una empresa para la que trabajaba desde un remitente desconocido que imitaba al director ejecutivo», cuenta Wojciech Syrkiewicz-Trepiak, ingeniero de seguridad de spacelift.io, un proveedor de plataformas de gestión de infraestructura programable con sede en Redwood City, California. «Como utilizaron una dirección de correo electrónico real, pasaron todos los mecanismos de seguridad. Sin embargo, el dominio de la dirección de correo electrónico era Gmail (no el dominio de la empresa), y nos pedían que hiciéramos tareas con urgencia, saltándonos todas las políticas de la empresa y presionando al destinatario para que cometiera un error».

La urgencia en este caso es otra señal de alarma. Sí, en un entorno profesional, a menudo recibimos peticiones legítimas para actuar con rapidez; pero cuando alguien intenta que se precipite a hacer algo, es señal de que no le está dando la oportunidad de detenerse a pensar. «Mi experiencia personal viene de la campaña de spear phishing de estafas con tarjetas de regalo», dice Massimo Marini, analista principal de Seguridad y Cumplimiento de la consultora Kuma LLC, con sede en Virginia. «Esta estafa requiere que la persona objetivo compre tarjetas de regalo bajo la supuesta dirección de su supervisor. La persona objetivo compra las tarjetas de regalo y luego, a través de un correo electrónico de seguimiento, da el código al atacante. He visto que esto le ocurrió a una asistente ejecutiva que se sintió presionada por su «jefe» para comprar rápidamente las tarjetas para un regalo secreto. Ese evento llegó a su fin a último momento, cuando se le ocurrió hablar con su jefe real, que por supuesto no sabía nada al respecto».

Ejemplos de spear phishing

Si le interesa saber cómo pueden ser los correos electrónicos de spear phishing, tenemos un par de ejemplos del mundo real para usted. El primero proviene de William Méndez, director general de Operaciones de la consultora neoyorquina CyZen. «Se trata de un correo electrónico dirigido a una empresa de contabilidad», dice. «Los atacantes hacen referencia a una tecnología ‘CCH’, que es comúnmente utilizada por dichas empresas».

«Este correo electrónico se programa durante la temporada de impuestos (que suele ser la época más ajetreada del año para las empresas de contabilidad), lo que implica que los usuarios están ocupados y no prestarán atención a los correos electrónicos recibidos», explica. «El correo electrónico también utiliza el miedo al afirmar que el acceso de la víctima se terminará a menos que tome algún tipo de acción. En este caso, la acción es hacer clic en un enlace, que muy probablemente dirigirá al usuario a un sitio en el que el atacante puede recopilar nombres de usuario y contraseñas u otra información confidencial.»

Tyler Moffitt, analista de seguridad senior de la consultora OpenText Security Solutions, con sede en Ontario, presenta otro ejemplo, que parece una alerta de seguridad de Twitter.

Este mensaje trata de hacer la clásica trampa de hacerte creer que estás asegurando tu cuenta y te engaña para que des tu contraseña en el proceso. «El individuo de este ejemplo, que es periodista, fue atacado específicamente, probablemente por su cobertura de los acontecimientos de Ucrania/Rusia», explica Moffitt. (La ubicación del supuesto inicio de sesión añade verosimilitud). «El mensaje informa al usuario que se ha accedido a su cuenta en Rusia y que debe restablecer su contraseña utilizando el enlace. Ese enlace lleva a un falso restablecimiento de la contraseña en el que solo recogerá las credenciales actuales y luego robará la cuenta».

Cuando reciba un mensaje como este, debe tener mucho cuidado y asegurarse de que la página web en la que acaba es el dominio real al que cree que va. En este caso, notará que intenta enviar a la víctima a «twitter-supported.com», que no es un dominio real que utilice Twitter.

Cómo prevenir el spear phishing

Sería estupendo que hubiera medidas técnicas para detener por completo los ataques de spear phishing. Hay algunas que pueden ayudar. «Cuando se trata de seguridad informática, el mismo principio de protección de la billetera física se aplica a la actividad en línea», explica Nick Santora, fundador del proveedor de formación en seguridad Curricula, con sede en Atlanta, Georgia. «Nadie quiere convertirse en víctima y por eso tenemos que explicar a todo el mundo por qué es importante hacer cosas como activar la autenticación de dos factores o multifactorial (2FA/MFA), usar contraseñas fuertes que sean únicas para cada cuenta y utilizar una bóveda de protección de contraseñas para contener las credenciales en línea».

Rey, de Kaufman Rossin, también cree que las soluciones técnicas son importantes: recomienda incorporar soluciones de seguridad para el correo electrónico y complementar lo que le proporciona su proveedor de correo electrónico con una solución de terceros que lo ayude a filtrar el spam y los archivos adjuntos dañinos. Sin embargo, la mejor defensa contra los ataques de ingeniería social, como el spear phishing, es la inteligencia humana, y eso requiere una formación que mantenga a los usuarios alerta.

«Una simulación de phishing supone una gran diferencia», afirma. «Una cosa es ir a un PowerPoint y mostrar un correo electrónico de phishing. Otra cosa es que reciba algo por correo, haga clic en él y lo envíe a la formación. Hemos visto que la gente mejora a la hora de reconocer los ataques, porque odian la sensación de hacer clic en un enlace y recibir un mensaje que dice: «Ha sido víctima de un ataque de phishing». Es mucho más impactante que una formación anual de cumplimiento». Como esperamos que este artículo haya dejado claro, es mejor pasar vergüenza en una simulación no anunciada que caer en una estafa real.

Al final, la mejor manera de prevenir el spear phishing es simplemente ser desconfiado. «Las estafas de phishing suelen provenir de contactos de confianza cuyas cuentas de correo electrónico han sido comprometidas o clonadas», afirma el analista de seguridad informática Eric Florence. «En cada ataque de phishing, se aprovechan de nuestro deseo de confiar en la gente, de creer que la mayoría de las personas son decentes. Ese deseo se debe suspender, al menos durante el horario de oficina».

Para leer el artículo completo, visite CSO en línea.