Grandes Empresas

Spear phishing, el toque más personal a los ataques de phishing

Los ataques de phishing son una de las infracciones de ciberseguridad más conocidas, pero… ¿qué pasa con el spear phishing? Nos encontramos ante un concepto que implica ciertas mejoras y personalización a la hora de encontrar la brecha de seguridad a través de la que acceder a los datos deseados.

Vamos a ver qué es exactamente el spear phishing, en qué se diferencia del phishing “a secas” y cómo las empresas pueden defenderse ante estos posibles ataques.

Spear phishing vs. phishing

Según la definición que ofrece Kaspersky Lab, el spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar malware en el ordenador de la víctima”.  

Amenazas APT: ¿qué son y qué están haciendo las empresas para evitar estos ciberataques?

Así pues, el spear phishing tiene el mismo objetivo que el phishing normal, pero con la gran diferencia de que en este caso el atacante primero recopila información sobre el objetivo deseado con el fin de personalizar lo más posible el ataque, haciéndolo así más creíble. Esto es algo que no sucede siempre con el phishing, enviado también desde un destinatario fiable pero sin una personalización tan específica.

En el spear phishing, en lugar de enviar los correos electrónicos de suplantación de identidad a un gran grupo de personas, el atacante se dirige a un grupo selecto e incluso a una única persona. Al limitar los objetivos a los que va dirigido, es más fácil incluir información personal, como el nombre de la persona a la que va dirigida, incluso su puesto de trabajo. Así, consiguen que los correos electrónicos maliciosos parezcan creíbles.

Según el Instituto SANS, el 95% de los ataques a redes empresariales tiene que ver con ataques de phishing o spear phishing. Es más, un informe de 2017 de IRONSCALES asegura que el spear phishing es cada vez más concreto, con el 77% de los emails dirigidos a diez correos electrónicos o menos y un tercio a un solo buzón de entrada.

En la práctica, el destinatario recibirá un correo electrónico personalizado, que parece dirigido exclusivamente a él y de una fuente en la que confía completamente. Ahí se incluye un enlace que le redirigirá a una web falsa con malware o a un sitio web malicioso que está configurado para engañarle y que proporcione información confidencial como contraseñas, datos de cuentas o de tarjetas de crédito.

El spear phishing tiene el mismo objetivo que el phishing normal, pero con la gran diferencia de que el atacante primero recopila información sobre el objetivo deseado con el fin de personalizar lo más posible el ataque, haciéndolo así más creíble

Por eso, el éxito de un ataque de spear phishing depende de tres cosas:

  1. La fuente tiene que parecer de una persona o empresa 100% confiable para el receptor, para que no genere en él ningún tipo de duda a la hora de abrir ese correo electrónico o comunicación digital.
  2. Una vez abierto, en el interior encontrará información que reforzará esa confianza, que hará que no dude a la hora de atender a la petición que se le hace para clicar en un determinado sitio u ofrecer una determinada información.
  3. La solicitud que se le hace tiene una base completamente lógica.

Los objetivos más comunes del spear phishing

Esta tecnología avanzada tiene como principales objetivos o destinatarios grandes empresas, bancos o gobiernos. El objetivo es obtener determinados datos e información relevante, mientras que si se trata de empresas medianas la meta suele pasar por conseguir dinero.

Y lo hacen principalmente dirigiéndose a los responsables de la compañía y altos cargos, así como a todas aquellas personas que trabajan en departamentos relacionados con la información o el dinero que quieren conseguir.

Por ejemplo, los departamentos de contabilidad de cualquier gran empresa o banco son susceptibles de llamar su atención. También lo son los departamentos de ventas por los datos tan relevantes que manejan, así como Recursos Humanos por la facilidad de acceso al sistema a través de ellos: tengamos en cuenta que reciben muchísimos correos con currículums y otros accesos o archivos, por lo que su capacidad de infección es más alta.

Aun así, todos los empleados de cualquier pyme o gran empresa, banco o gobierno deberán estar formados y al tanto en lo que a ciberseguridad se refiere.

Cómo pueden protegerse las empresas

Teniendo en cuenta todo lo visto anteriormente es normal preguntarse: “¿Entonces cómo sé que no debo confiar en esos correos?”. Ahí está la cuestión. Muchos empleados han aprendido a ser desconfiados en sus empresas a la hora de abrir ciertos emails, a no responder a según qué tipo de solicitudes sospechosas, etc.

Pero no siempre es sencillo saber cómo protegerse, saber distinguir un correo infectado o malicioso cuando son tan personales y elaborados. Y es que detrás de los ataques de spear phishing no se esconden, desde luego, aficionados.

Por eso en una empresa lo más importante es la capacitación en seguridad para empleados y ejecutivos, ambos grupos por igual. Una capacitación que ayuda a trabajadores y directivos a aprender a detectar correos electrónicos sospechosos, ya sea por el dominio desde el que viene, por el tipo de enlace incluido, la redacción del mismo o a sospechar de la información que se solicita.

Para una empresa lo más importante es la capacitación en seguridad que que ayuda a trabajadores y directivos a detectar correos electrónicos sospechosos, ya sea por el dominio desde el que viene, por el tipo de enlace incluido, la redacción del mismo o a sospechar de la información que se solicita

Desde Kaspersky nos ofrecen diferentes soluciones para disminuir nuestros riesgos al máximo:

  • Los empleados deben ser conscientes de las posibles amenazas que pueden sufrir.
  • Contar con tecnología centrada en el correo electrónico: si es posible, evitar que este tipo de mensajes ni siquiera lleguen a la bandeja de entrada. ¿Cómo? Con soluciones de seguridad especialmente destinadas a este cometido.
  • Sistemas de seguridad a varios niveles, también en las aplicaciones de mensajería instantánea. Los atacantes siempre quieren ir un paso por delante.
  • Verificar los enlaces antes de abrirlos: si tienen faltas de ortografía, por ejemplo, pueden ser una señal importante a tener en cuenta.
  • No importa el origen de ese mail: un amigo, organizaciones oficiales como bancos, agencias de impuestos, tiendas online, agencias de viajes, aerolíneas o tu propia oficina. Si no se esperaba o se solicita algún tipo de interacción que parezca sospechosa, ¡cuidado!

Ejemplos de spear phishing

Para terminar, queríamos recordar algunos de los casos más conocidos de spear phishing en el mundo. Por ejemplo, en el año 2015, el investigador de seguridad y periodista independiente Brian Krebs publicó que la empresa Ubiquiti Networks había perdido la friolera de 47 millones de dólares debido a un ataque de este tipo. Los piratas informáticos se hicieron pasar por el comité ejecutivo de la empresa de redes y realizaron transferencias bancarias internacionales no autorizadas.

También en 2015 unos ciberdelincuentes utilizaron la Electronic Frontier Foundation (EFF) para dirigir a las víctimas a un sitio web falso: electronicfrontierfoundation.org. Este sitio se usó para distribuir keyloggers y otros programas maliciosos, pero la EFF supo volver a tomar el control de este dominio. De hecho, ahora mismo redirige a una publicación del blog de la EFF que detalla la estafa.

También el ejército chino ha sido acusado de múltiples intentos de spear phishing con el fin de robar secretos comerciales de compañías de armas estadounidenses. En 2008, se informó que uno de estos se dirigía a la empresa de aluminio Alcoa. Los piratas informáticos contactaron a 19 empleados senior de Alcoa por correo electrónico, haciéndose pasar por un miembro de la junta directiva de la compañía. Una vez abierto, el correo instaló malware en los ordenadores de los destinatarios, lo que provocó el robo de casi 3.000 correos electrónicos y más de 800 archivos adjuntos.

Pero sin duda uno de los casos que mejor sirven para ilustrar este tipo de ataques (recogido por la fuente Search Security) es el conocido como “Efecto Coronel”. Todo empezó cuando el profesor de la Academia Militar de Estados Unidos y funcionario de la Agencia de Seguridad Nacional Aaron Ferguson envió un email a 500 cadetes, pidiéndoles que hicieran clic en un enlace para verificar sus calificaciones.

El mensaje de Ferguson parecía provenir de un coronel llamado Robert Melville de West Point, así que más del 80% de los destinatarios hizo clic en el enlace del mensaje. En respuesta, recibieron una notificación de que habían sido engañados y una advertencia de que su comportamiento podría haber provocado descargas de software espía, troyanos u otro malware.

Estos ejemplos sirven para comprender el funcionamiento de un tipo de ataque que se ha popularizado en los últimos meses, y que evidencia la importancia de la capa de sofisticación que los ciberdelincuentes están añadiendo para lograr su objetivo. Ahora lo importante es que las empresas y los empleados que las conforman conozcan su existencia y recuerden seguir todos los consejos de seguridad necesarios para que tanto el phising como el spear phising pasen a mejor vida.

Imágenes / iStock/jauhari1 / iStock/solarseven  / iStock/scyther5  / iStock/monkeybusinessimages / iStock/NicoElNino

Subir