¿Qué es el Spear-Phishing?
En un ataque de spear-phishing, los actores de la amenaza se dirigen a individuos específicos dentro de una organización de interés. Este ataque de ingeniería social se emplea para robar información confidencial, como credenciales de inicio de sesión, o infectar el dispositivo del objetivo con malware, comprometiendo así la seguridad de la red y causando pérdidas financieras y de datos. Mientras que las tácticas comunes de phishing consisten en enviar correos electrónicos masivos a personas al azar, el spear-phishing se centra en objetivos específicos basados en la investigación.
Al igual que los de otros ataques de phishing, los mensajes de spear-phishing parecen proceder de fuentes de confianza, como empresas conocidas, una persona con autoridad o un sitio web con una gran base de usuarios. Desgraciadamente, muchas personas bajan la guardia debido al toque personalizado de estos mensajes. Como resultado, no verifican la autenticidad del mensaje antes de hacer clic en un enlace o descargar un archivo adjunto.
Los actores de amenazas aprovechan el spear-phishing en campañas de ataques dirigidos para acceder a la cuenta de un usuario específico y suplantar su identidad. Para lanzar con éxito una campaña de spear-phishing, los ciberdelincuentes realizan un reconocimiento de la red de contactos personales del objetivo, lo que les permite crear un mensaje fiable.
Los actores de las amenazas recopilan información sobre objetivos potenciales de fuentes públicas, como chats de blogs y sitios de redes sociales. Los atacantes sofisticados escanean fuentes de cantidades masivas de datos para identificar a las personas que quieren comprometer. A continuación, elaboran un mensaje personalizado de apariencia legítima para convencer a su objetivo de que responda a solicitudes maliciosas. El éxito del intento de phishing depende de la familiaridad con la fuente, de la información que respalde su validez y de la base lógica de la solicitud.
Ejemplos de incidentes de Spear-Phishing
El 91% de las violaciones de datos que tienen éxito comienzan con un ataque de spear-phishing. Si un solo empleado de una organización cae en la trampa del spear-phisher, el atacante puede hacerse pasar por esa persona y utilizar técnicas de ingeniería social para acceder a más datos sensibles.
El ataque de spear-phishing de diciembre de 2020 contra el proveedor sanitario estadounidense Elara Caring comprometió más de 100.000 datos pertenecientes a pacientes. El ciberataque comenzó con una intrusión informática no autorizada dirigida a dos empleados. Utilizó estas cuentas de empleados para obtener nombres, información bancaria, números de la seguridad social, permisos de conducir e información sobre seguros.
En 2015, actores de amenazas rusos lanzaron un ataque de spear-phishing contra una central eléctrica ucraniana. Los atacantes utilizaron correos electrónicos de spear-phishing para obtener la entrada inicial en el sistema. Pasaron desapercibidos durante más de seis meses y utilizaron malware para robar credenciales y otras técnicas en las fases posteriores.
Pesca submarina frente a caza de ballenas
Los ataques de spear-phishing suelen tener múltiples objetivos, mientras que los de whaling se dirigen únicamente a los responsables de alto nivel de una organización, es decir, a personas con acceso a información valiosa, incluidos secretos comerciales y contraseñas de cuentas administrativas de la empresa. Mientras que los atacantes que emplean el spear-phishing conocen algunos aspectos de la identidad del objetivo, como el nombre de un empleado de una organización específica o de un cliente fiel, los atacantes de whaling requieren un conocimiento más detallado y un mensaje muy personalizado para parecer auténticos.
En un ataque de spear-phishing, el actor de la amenaza busca acceder a activos disponibles para un grupo concreto de víctimas, como propiedad intelectual o credenciales de usuario. Por otro lado, el motivo de los ataques de whaling es principalmente financiero, ya que los atacantes intentan persuadir al objetivo para que se desprenda de grandes sumas de dinero. Además, los daños de un ataque whaling con éxito suelen ser mucho mayores que los de un ataque spear-phishing.
Cómo detectar y prevenir el spear phishing
Las amenazas actuales son más sofisticadas que nunca. Infunden atributos altamente personalizados a sus campañas de spear-phishing, haciéndolas más engañosas y peligrosas. Y a pesar del auge de las soluciones de seguridad antiphishing, muchas campañas de spear-phishing siguen eludiendo la detección.
Para detectar y combatir el spear-phishing, una organización debe aprovechar las soluciones de ciberseguridad que utilizan capacidades avanzadas de aprendizaje automático que realizan simulaciones de phishing e investigaciones proactivas para descubrir contenido cuestionable, como archivos adjuntos relacionados con malware. También es necesario configurar, integrar y parchear todos los servicios críticos y desplegar capacidades de autenticación multifactor para proteger los datos y sistemas sensibles.
Por encima de todo, la formación continua y sólida en materia de seguridad es fundamental para reforzar una buena higiene de seguridad y garantizar que los empleados estén informados sobre la naturaleza cambiante de las tácticas, técnicas y procedimientos del spear-phishing.
Recursos relacionados:
Prevención de pérdida de datos (DLP)
Seguridad de puntos finales
Plataformas de protección de puntos finales (EPP)
Detección y respuesta a puntos finales (EDR)
Detección y respuesta ampliadas (XDR)
Gestión de identidades y accesos (IAM)
Detección y respuesta gestionadas
XDR gestionado
Marco ATT&CK de MITRE
Defensa frente a amenazas móviles (MTD)
Análisis del comportamiento de usuarios y entidades (UEBA)
Arquitectura de confianza cero
Acceso a la red de confianza cero (ZTNA)
Seguridad de confianza cero
Gestión de eventos e información de seguridad (SIEM)
Servicio de Acceso Seguro Edge (SASE)