{"id":395134,"date":"2024-12-18T14:52:35","date_gmt":"2024-12-18T14:52:35","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=content_hub&p=395134"},"modified":"2024-12-18T14:53:58","modified_gmt":"2024-12-18T14:53:58","slug":"spear-phishing","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-security\/spear-phishing\/","title":{"rendered":"Qu\u00e9 es el spear phishing: definici\u00f3n, ejemplos y prevenci\u00f3n"},"content":{"rendered":"

El phishing es una forma de ingenier\u00eda social que enga\u00f1a a los usuarios para que hagan clic en enlaces maliciosos o naveguen por sitios web falsos con el fin de obtener informaci\u00f3n personal (Cybersecurity & Infrastructure Security Agency<\/a>). Aunque existen muchas formas de phishing, el spear phishing es una de las m\u00e1s peligrosas.<\/p>\n

A diferencia de otras formas de phishing, el spear phishing<\/strong> es un ataque dirigido a una persona, normalmente en forma de correo electr\u00f3nico supuestamente de un remitente de confianza. Un ataque de phishing dirigido tiene como objetivo infectar un dispositivo con malware<\/a> o enga\u00f1ar al destinatario para que realice alguna otra acci\u00f3n que beneficie al atacante, como divulgar informaci\u00f3n personal o transferir dinero a una cuenta bancaria falsa.<\/p>\n

El spear fishing puede llevar m\u00e1s tiempo a los ciberdelincuentes, pero tambi\u00e9n es la m\u00e1s lucrativa. Por ejemplo, la Comisi\u00f3n Federal de Comercio<\/a> anunci\u00f3 recientemente que las estafas de inversi\u00f3n a escala nacional en 2023 alcanzaron la friolera de 10.000 millones de d\u00f3lares, un 14% m\u00e1s<\/strong> que en 2022. Los expertos descubrieron que las estafas de impostores, como los correos electr\u00f3nicos de spear phishing, contribuyeron al aumento. Por desgracia, se prev\u00e9 que esta cifra no har\u00e1 sino aumentar en los pr\u00f3ximos a\u00f1os.<\/p>\n

Esto ha desempe\u00f1ado un papel importante en la reafirmaci\u00f3n por parte de la Casa Blanca de su compromiso por crear un \u00abecosistema digital defendible, resiliente y alineado con sus valores\u00bb para el gobierno estadounidense y todas las empresas privadas (Informe sobre la postura de ciberseguridad de Estados Unidos en 2024<\/a>). Una de sus principales iniciativas es mejorar la protecci\u00f3n contra los ciberataques, como el spear phishing.<\/p>\n

Conoce las principales vulnerabilidades que afectan a las empresas de TI en la actualidad.<\/p>\n

Desc\u00e1rgate la gu\u00eda hoy mismo<\/a>.<\/p>\n<\/div>\n

\u00bfQu\u00e9 es el spear phishing?<\/h2>\n

El spear phishing es un ciberataque altamente personalizado y calculado que se dirige a particulares o empresas. Normalmente, estos ataques se llevan a cabo a trav\u00e9s de correos electr\u00f3nicos de phishing que parecen leg\u00edtimos y animan al destinatario a compartir informaci\u00f3n sensible con el remitente. La mayor\u00eda de los correos electr\u00f3nicos de phishing selectivo est\u00e1n dise\u00f1ados para robar informaci\u00f3n financiera, como datos de tarjetas de cr\u00e9dito.<\/p>\n

Sin embargo, con el panorama geopol\u00edtico en constante evoluci\u00f3n, los ataques de spear phishing incluyen ahora la infecci\u00f3n de dispositivos con malware, la perpetuaci\u00f3n del robo de identidades o incluso la comisi\u00f3n de fraudes financieros. A continuaci\u00f3n, la informaci\u00f3n robada se revende en el mercado negro o se utiliza como cebo para que se le pague al delincuente.<\/p>\n

Phishing vs. spear phishing vs. whaling<\/h2>\n

El phishing, el spear phishing y el whaling son tipos comunes de ciberataques<\/a>, pero existen algunas diferencias.<\/p>\n

Phishing<\/h3>\n

El phishing utiliza correos electr\u00f3nicos, SMS o sitios web fraudulentos para inducir a las personas a divulgar informaci\u00f3n confidencial. Comparado con el spear phishing y el whaling, el phishing es el menos sofisticado, ya que prioriza la cantidad sobre la calidad. Los ataques de phishing suelen ser incre\u00edblemente gen\u00e9ricos y se env\u00edan a muchas personas simult\u00e1neamente. Una buena forma de detectar un correo electr\u00f3nico de phishing es comprobar el saludo. Si se dirigen a ti simplemente como \u00ab\u00a1Hola, usuario!<\/em>\u00bb o \u00ab\u00a1Hola, cliente!<\/em>\u00ab, es mejor andarse con cuidado.<\/p>\n

Spear phishing<\/h3>\n

El spear phishing se centra en la calidad, enviando correos electr\u00f3nicos muy personalizados a personas concretas. Debido a la cantidad de investigaci\u00f3n necesaria para llevar a cabo un ataque con \u00e9xito, el spear phishing es menos com\u00fan pero, posiblemente, m\u00e1s eficaz.<\/p>\n

Whaling<\/h3>\n

El whaling utiliza la misma estrategia personalizada que los ataques de spear phishing, pero s\u00f3lo se dirige a directivos y ejecutivos de alto nivel. Existe cierto debate sobre si el whaling es lo mismo que el spear phishing y, a efectos de este art\u00edculo, agruparemos el whaling y el spear phishing.<\/p>\n

\u00bfPor qu\u00e9 es tan peligroso el spear phishing?<\/h2>\n

Al principio, el spear phishing parece f\u00e1cil de detectar. \u00bfUn correo electr\u00f3nico sospechoso? \u00a1Fuera! \u00bfAlguien que pide informaci\u00f3n personal? Pff, bloquear inmediatamente.<\/p>\n

Pero lo cierto es que los ataques de spear phishing son mucho m\u00e1s sofisticados que eso. Los ciberdelincuentes llevan a cabo una investigaci\u00f3n exhaustiva sobre ti y tu empresa. Utilizando cualquier informaci\u00f3n que puedan encontrar (incluso de tus cuentas p\u00fablicas en las redes sociales), pueden crear un ataque excepcionalmente bien elaborado y adaptado para hacerte creer que lo que est\u00e1s leyendo procede de una fuente leg\u00edtima.<\/p>\n

Como resultado, incluso altos directivos y ejecutivos pueden abrir correos electr\u00f3nicos que consideran seguros.<\/p>\n

\u00bfC\u00f3mo funcionan los ataques de spear phishing?<\/h2>\n

Hay cuatro pasos para crear una estafa de spear phishing.<\/p>\n

\"Gr\u00e1fico<\/p>\n

 <\/p>\n

En primer lugar, los ciberdelincuentes definen su ataque. Esto implica saber qu\u00e9 informaci\u00f3n necesitan y c\u00f3mo crear el correo electr\u00f3nico para obtener estos datos. Por ejemplo, si el atacante quiere la informaci\u00f3n de tu tarjeta de cr\u00e9dito, necesita determinar la mejor forma de obtenerla, quiz\u00e1s haci\u00e9ndose pasar por tu banco.<\/p>\n

A partir de ah\u00ed, crean una lista de posibles objetivos y empiezan a reducirla hasta llegar al de mayor valor. Vale la pena se\u00f1alar que el t\u00e9rmino \u00abvalor\u00bb aqu\u00ed puede significar cosas diferentes. No se trata s\u00f3lo de una persona con mucho que perder (aunque es un factor considerable), sino que es un blanco que puede ser f\u00e1cilmente manipulado y enga\u00f1ado para realizar la acci\u00f3n deseada. Ten en cuenta que los ciberdelincuentes buscan la forma m\u00e1s f\u00e1cil de ganar, a menos que la recompensa econ\u00f3mica sea demasiado buena para rechazarla.<\/p>\n

El tercer paso es la investigaci\u00f3n, que es la parte m\u00e1s larga del proceso. Los ciberdelincuentes dedican un tiempo desmesurado a investigar todo lo relacionado contigo, desde tu trabajo hasta tu mascota e incluso el compa\u00f1ero de juegos de preescolar del primo de tu amigo. Se recopilar\u00e1 cualquier cosa que pueda utilizarse para hacerte creer la legitimidad de la estafa. Esta informaci\u00f3n se utilizar\u00e1 en el cuarto paso: la creaci\u00f3n del correo electr\u00f3nico de spear phishing.<\/p>\n

El correo electr\u00f3nico se redactar\u00e1 cuidadosamente para que suene lo m\u00e1s aut\u00e9ntico posible. Asimismo, transmitir\u00e1 una sensaci\u00f3n de urgencia para que respondas inmediatamente con ciertos detalles o descargues un archivo espec\u00edfico. Algunos correos electr\u00f3nicos de phishing pueden llevarte a un sitio web falso de tu banco, donde se te pedir\u00e1 que inicie sesi\u00f3n con tu nombre de usuario y contrase\u00f1a correctos.<\/p>\n

Ejemplos de correos electr\u00f3nicos de spear phishing<\/h2>\n

Hay algunos ejemplos de correos electr\u00f3nicos de phishing<\/a> que deben tenerse en cuenta.<\/p>\n

1. Correos electr\u00f3nicos empresariales comprometidos<\/h3>\n

Seg\u00fan el Informe sobre Delitos en Internet del FBI<\/a>, las p\u00e9rdidas potenciales debidas a la delincuencia en Internet superaron los 12.500 millones de d\u00f3lares en 2023 y se espera que sean a\u00fan m\u00e1s significativas en 2024. En Estados Unidos, el delito m\u00e1s denunciado fue el phishing, siendo el tipo m\u00e1s com\u00fan alg\u00fan tipo de correo electr\u00f3nico empresarial comprometido.<\/p>\n

En este tipo de ataque, un hacker se hace pasar por alguien del trabajo (tal vez un colega, jefe o proveedor) y te pide que realices una acci\u00f3n, como transferir dinero o cambiar los datos de una cuenta bancaria. Esto tambi\u00e9n se conoce como suplantaci\u00f3n de correo electr\u00f3nico<\/a>.<\/p>\n

Un ejemplo real: Uno de los ejemplos m\u00e1s famosos es el de<\/em>Evaldas Rimasauskas<\/em><\/a>, que manipul\u00f3 a grandes empresas (entre ellas Facebook y Google) para que pagaran unos 121 millones de d\u00f3lares en facturas falsas.\u00a0<\/em><\/p>\n

2. Whaling<\/h3>\n

El whaling ataca a empleados de alto nivel para obtener informaci\u00f3n sensible sobre una empresa o manipularlos para que env\u00eden transferencias de alto valor. Cabe se\u00f1alar que, si bien todos los ataques de spear phishing tienen un objetivo, el whaling se centra en figuras prominentes con funciones esenciales, como el CEO o el COO.<\/p>\n

Un ejemplo real: Etiquetado como uno de los<\/em>mayores fraudes cibern\u00e9ticos en Pune<\/em><\/a>, una empresa inmobiliaria india perdi\u00f3 alrededor de 4 millones de rupias (unos 600.000 d\u00f3lares) a trav\u00e9s del whaling.<\/em><\/p>\n

3. Fraude del CEO<\/h3>\n

Tambi\u00e9n conocido como phishing ejecutivo, el fraude del CEO se hace pasar por un ejecutivo de alto nivel para enga\u00f1ar a los miembros del equipo y que realicen transferencias no autorizadas o compartan datos confidenciales con el hacker. A diferencia del whaling, cuyo objetivo es el ejecutivo de nivel C, el fraude del CEO se dirige a empleados de nivel inferior para que act\u00faen bajo la presunci\u00f3n de autoridad.<\/p>\n

Un ejemplo real: Un empleado del sector financiero<\/em>transfiri\u00f3 25 millones de d\u00f3lares<\/em><\/a>a una cuenta fraudulenta despu\u00e9s de que el COO se lo \u00abordenara\u00bb. Resulta que el COO era una IA falsificada.\u00a0<\/em><\/p>\n

C\u00f3mo identificar un ataque de spear phishing<\/h2>\n

La mejor manera de prevenir un ataque de phishing selectivo es leer el correo electr\u00f3nico antes de hacer clic en cualquier enlace o abrir cualquier archivo adjunto. Por desgracia, muchos usuarios dan por hecho que un correo electr\u00f3nico es seguro sin comprobar la validez o el contenido del remitente. Esto es especialmente cierto si el correo electr\u00f3nico procede supuestamente de un funcionario de alto rango. Los hackers utilizan esto en su beneficio: dan por sentado que no cuestionar\u00e1s un correo electr\u00f3nico personalizado u oficial.<\/p>\n

Dicho esto, no existe una \u00fanica forma de detectar un ataque de phishing selectivo. Siempre es mejor confiar en tu criterio propio. Si crees que algo no est\u00e1 bien, no hay nada malo en preguntar a su director, supervisor o a quien supuestamente te envi\u00f3 ese correo electr\u00f3nico si la informaci\u00f3n facilitada es correcta.<\/p>\n

Algunas de las se\u00f1ales de alarma a las que hay que prestar atenci\u00f3n son las siguientes:<\/p>\n