El es una variante de phishing que consiste en un ataque dirigido a un usuario o grupo limitado de usuarios. Por medio de técnicas de ingeniería social, los atacantes buscan hacerse de información confidencial a través de correos electrónicos muy personalizados, que presentan datos muy precisos capaces de engañar al destinatario. Por eso, se dice que es más ingenioso que el conocido phishing.
Generalmente, está dirigido a las pequeñas y medianas empresas, y a grandes organizaciones, con el objetivo de sustraer información sensible de las mismas. Por lo que se vuelve fundamental dar a conocer de qué se trata este tipo de ataques y cuáles pueden ser sus consecuencias para que las compañías puedan estar preparadas para hacerle frente.
Por lo general, el atacante cuenta con información de la persona a la que va a atacar y utiliza eso para personalizar el ataque. A menudo, se convierten en blancos por la información misma que se hace pública (en redes sociales, amigos en común, publicaciones recientes, etc.). De este modo, Facebook, Twitter, Linkedin, entre otras redes sociales, se convierten en vidrieras excepcionales para los «malechores».
Más allá de las sutiles diferencias que presenta con el phishing, ambas modalidades delictivas tienen la característica de efectuar el ataque por medio de un correo electrónico que aparenta ser de una persona o empresa conocida, con lo cual la fuente parece confiable. Por eso, los ciberatacantes se ven obligados a investigar a sus objetivos.
Todo esto convierte al spear phishing en una amenaza mucho más peligrosa que los simples ataques de phishing. Esto hace que no solo aumente las posibilidades de éxito de los atacantes, sino que también los vuelve más difíciles de detectar.
¿Cómo pueden protegerse las empresas?
· Lograr que los empleados tomen conciencia de las características del spear phishing. Una medida muy eficaz puede ser simular de vez en cuando ataques ficticios, a partir de una práctica comúnmente conocida en el ámbito de la Seguridad Informática: el Penetration Test.
· Restringir el acceso remoto a la red de la empresa.
· Regular el uso del correo electrónico personal en el trabajo. Los webmail personales son el blanco del spear phishing.
· Crear contraseñas complejas y hacer más común el uso de segundos factores de autenticación.
¿Cómo pueden protegerse los usuarios particulares?
· Efectuar un mejor control de su identidad digital, limitando la información pública que se comparte en las redes sociales. Recordemos que los spear phishing toman frecuentemente datos personales en línea a fin de personalizar sus ataques.
· Evitar hacer clic en una URL acortada. Es importante, siempre, examinar atentamente las URL contenidas en los correos sospechosos.
· Verificar siempre los mensajes, más aún cuando un correo electrónico pide abrir un archivo adjunto o hacer clic en un vínculo sospechoso.
Lee Hecht Harrison es líder de la industria y por eso su meta es brindar nuevas y mejores oportunidades de empleo a más gente. Haga click aquí para más información.