Pesca submarina: ¿qué es y cómo evitarla?

Un día como otro cualquiera, Juliette, responsable de recursos humanos de una PYME tecnológica, recibe un correo electrónico del director general solicitándole urgentemente las nóminas de dos empleados. La dirección parecía legítima, el tono familiar. Sin pensárselo dos veces, envía los archivos. Salvo que... no era el director general. Era un hacker que se había tomado el tiempo de estudiar la estructura de la empresa, las funciones de cada uno, y que había imitado a la perfección los códigos internos. Es lo que se conoce como un ataque de spear phishing.

Este tipo de ciberataque selectivo es una de las amenazas más temidas a las que se enfrentan las empresas hoy en día. ¿Y por qué? Porque se aprovecha del eslabón más vulnerable del sistema: el ser humano. Este artículo resume todo lo que necesitas saber sobre la pesca submarina para evitarla en la medida de lo posible.

Comprender el phishing selectivo: definición de spear phishing

El spear phishing es una forma avanzada de phishing en la que el autor o autores se dirigen a un individuo o grupo específico dentro de una organización.

A diferencia del phishing tradicional, que consiste en el envío masivo de correos electrónicos con la esperanza de que la víctima pique el anzuelo, el spear phishing es personalizado y se prepara cuidadosamente.

El atacante recopila información sobre el objetivo de antemano (a través de LinkedIn, redes sociales, el sitio web de la empresa o filtraciones de datos anteriores) para que el mensaje resulte creíble. A continuación, se hace pasar por un colega, superior, socio o proveedor. Su objetivo: recuperar datos sensibles, acceder a un sistema u obtener una transferencia fraudulenta.

Un ataque de phishing dirigido con éxito puede costar a una empresa cientos de miles de euros, o incluso más. Estos ataques ya no sólo se dirigen a las grandes organizaciones. Las PYME se ven cada vez más afectadas, porque a menudo están peor preparadas para hacerles frente.

Técnicas utilizadas en el spear phishing

El spear phishing se basa esencialmente en laingeniería social. En otras palabras, el arte de manipular a las personas para que divulguen información confidencial o realicen acciones comprometedoras. Los métodos más comunes son los siguientes:

1. Suplantación de direcciones de correo electrónico

El atacante modifica el nombre mostrado o utiliza un dominio muy similar al de la empresa (por ejemplo, contact@rzilient.com → contact@rzilient.co). En los dispositivos móviles, solo es visible el nombre, lo que hace aún más creíble el engaño.

2. La falsa sensación de urgencia

El correo electrónico suele contener un mensaje de urgencia: "Necesito que te ocupes de esto inmediatamente", "Estoy en una reunión, ¿puedes ocuparte de esto ahora? El objetivo es cortocircuitar el espíritu crítico.

3. Firmas "móviles

El atacante firma con "Enviado desde mi iPhone" o "escrito sobre la marcha" para justificar errores o un correo electrónico inusual.

4. El archivo adjunto o enlace malicioso

A veces, el objetivo es instalar programas espía. A continuación, el correo electrónico anima al usuario a hacer clic en un enlace o abrir un archivo adjunto para infiltrarse en el sistema de información.

5. El pretexto bien elaborado

También se conoce como pretexting: una historia falsa y creíble que incita al objetivo a cooperar. Puede tratarse de una contratación ficticia, una licitación o una auditoría de seguridad supuestamente iniciada por el CIO.

Algunos ejemplos concretos de spear phishing

El falso director general y las tarjetas regalo

Un clásico. Un contable recibe un correo electrónico del director general en el que se le insta a comprar 10 tarjetas regalo de Amazon para "motivar al equipo". Las paga, envía los códigos y más tarde descubre que el mensaje era falso.

El proveedor ficticio

Un departamento de compras recibe una solicitud de cambio de número de cuenta bancaria de un "proveedor habitual". El correo electrónico estaba bien falsificado y la factura parecía legítima. El resultado: varias decenas de miles de euros enviados a la cuenta equivocada.

Recursos humanos específicos

Un correo electrónico supuestamente enviado por el director financiero solicitaba las nóminas de varios empleados "para actualizar los archivos". El archivo Excel se envió... y también los datos sensibles.

Buenas prácticas para prevenir el spear phishing

Nunca podremos evitar totalmente los intentos de pesca submarina. Pero podemos reducir enormemente los riesgos aplicando los reflejos y las herramientas adecuadas dentro de la organización.

1. Sensibilización de los trabajadores

Formar a los equipos para que reconozcan las señales de un ataque es la primera línea de defensa. Los talleres periódicos, los cuestionarios de ciberseguridad y los ataques simulados son formas eficaces de hacerlo.

2. Establecer un sistema de mensajería segura

Utilizar herramientas de seguridad avanzadas: filtrado de remitentes, verificación de dominios, detección de archivos adjuntos sospechosos, etc. Algunas soluciones incluso utilizanIA para detectar comportamientos inusuales.

3. Comprobación sistemática de las solicitudes sensibles

Ninguna solicitud de transferencia, de datos personales o de cambio de contraseña debe validarse sin una doble comprobación: una llamada, un mensaje interno o una validación por parte de la jerarquía.

4. Limitar la exposición de los datos

Cuanta menos información confidencial compartan sus empleados en línea, menor será la superficie de ataque. Fomente perfiles profesionales sobrios en LinkedIn y limite las menciones públicas innecesarias.

5. Apoyarse en una plataforma informática fiable

En rzilient, ofrecemos una plataforma todo en uno que centraliza la gestión de usuarios, automatiza el acceso y facilita el seguimiento de actividades inusuales. Gracias a nuestro agente informático inteligente, los comportamientos anómalos pueden notificarse automáticamente, junto con sus herramientas de RRHH y finanzas.

¿Cuáles son las diferencias entre el spear phishing y el phishing?

Spear phishing y phishing son dos términos que a menudo se confunden, pero en realidad se refieren a enfoques muy diferentes de los ataques de phishing. La principal diferencia radica en el nivel de personalización y el objetivo previsto.

El phishing clásico se basa en una estrategia masiva. Los atacantes envían el mismo mensaje genérico a miles o incluso millones de direcciones de correo electrónico, con la esperanza de que un pequeño porcentaje de víctimas caiga en la trampa. El mensaje puede hacerse pasar por un banco, un servicio público o una plataforma conocida (como Netflix o PayPal), y su objetivo es que el usuario haga clic en un enlace malicioso o introduzca sus credenciales en un sitio falso.

En cambio, el spear phishing se basa en un enfoque quirúrgico. El atacante identifica a una persona específica dentro de una empresa (a menudo un empleado con acceso a datos sensibles o funciones críticas) y desarrolla un mensaje personalizado para ganarse la confianza de esa persona. El correo electrónico se elabora cuidadosamente, con detalles sobre la función, los contactos, los hábitos y los proyectos actuales de la víctima. Todo está diseñado para que la solicitud parezca legítima.

En resumen, el phishing intenta atrapar a todo el mundo con un único señuelo. El spear phishing, en cambio, se dirige a un individuo concreto con un señuelo hecho a medida. Esta sofisticación hace que sea más difícil de detectar. Y a menudo mucho más costoso si tiene éxito.

¿Diferencias y similitudes entre la caza de ballenas y el spear phishing?

En cierto modo, el whaling es una subcategoría del spear phishing. Pero aquí el objetivo es aún más específico: los altos ejecutivos de la empresa (CEO, CFO, COO, etc.). Por tanto, el nivel de preparación de los piratas informáticos suele ser más avanzado. Los daños potenciales son importantes (falsificación de firmas, fugas estratégicas, transferencias importantes, etc.).

Conclusión

La pesca submarina es una amenaza muy real, sutil y cada vez más común. No es un problema de software antivirus o cortafuegos, es un problema de vigilancia humana, procesos y cultura digital.

En _rzilient, ayudamos a las empresas a crear un sistema informático más seguro, sencillo y automatizado. Gracias a nuestra plataforma todo en uno, sus accesos están mejor controlados, sus equipos mejor respaldados y sus datos mejor protegidos.

¿Necesitaevaluar sus riesgos o reforzar su seguridad contra el spear phishing? Nuestros expertos estarán encantados de hacerle una demostración de nuestra herramienta.

‍

‍