El spear phishing es un intento dirigido a robar información confidencial mediante correos electrónicos engañosos. Esta guía explora cómo funciona el spear phishing, sus tácticas y los riesgos que supone para las personas y las organizaciones.
Conozca estrategias eficaces para su detección y prevención. Comprender el spear phishing es fundamental para proteger los datos personales y de las organizaciones.
Este artículo analiza en profundidad el spear phishing: cómo suelen funcionar estos ataques, cómo identificarlos, las diferencias entre el spear phishing y otros ataques de phishing, y cómo pueden defenderse las organizaciones contra ellos.
¿Qué es el spear phishing?
El spear phishing es un ataque de ingeniería social dirigido a personas u organizaciones específicas, normalmente a través de correos electrónicos maliciosos. El autor de la amenaza investiga cuidadosamente al objetivo para que el correo electrónico parezca provenir de un remitente de confianza.
Los correos electrónicos de spear phishing suelen utilizar diversas técnicas de ingeniería social para convencer al destinatario de que abra un enlace o archivo adjunto malicioso. Una vez que el objetivo cumple, el atacante puede lograr su objetivo inicial.
Al igual que los ataques de phishing, los ataques de spear phishing suelen tener como objetivo:
- Obtener información personal: Algunos correos electrónicos de spear phishing solicitan información personal a los destinatarios, como credenciales de inicio de sesión, información bancaria o números de tarjetas de crédito.
- Instalar malware: Otros correos electrónicos de spear phishing envían malware a los destinatarios con la esperanza de que lo descarguen en sus dispositivos.
A diferencia de las estafas de phishing, que lanzan una amplia red, el spear phishing es más sofisticado y coordinado. Estos ataques suelen basarse en el uso de información familiar y personalizada para infiltrarse en las organizaciones con trampas personalizadas.
Ejemplos de ataques de spear phishing
El spear phishing es un tipo de ciberataque especialmente eficaz, ya que se basa en técnicas de ingeniería social para engañar a las víctimas y que revelen información confidencial o realicen acciones que permitan a los hackers acceder a sus sistemas.
Un ejemplo de ataque de spear phishing es el ataque de 2021 dirigido a agencias gubernamentales y ONG ucranianas. Un grupo de ciberespionaje vinculado al Gobierno ruso conocido como Gamaredon se hizo pasar por contactos de confianza y utilizó correos electrónicos de spear phishing que contenían archivos adjuntos con macros infectadas con malware. Los correos electrónicos también incluían un "web bug" de rastreo para controlar si se abrían los mensajes. Aunque aún se desconoce el objetivo final de este ataque de spear phishing, la familia de malware utilizada se atribuye a menudo a la exfiltración de datos de hosts comprometidos.
Otro ejemplo de ataque de spear phishing es el que se dirigió contra organismos gubernamentales puertorriqueños en 2020. Un agente malicioso pirateó el ordenador de un empleado del Sistema de Jubilación de Empleados y envió correos electrónicos a varias agencias gubernamentales alegando un cambio en las cuentas bancarias. Un empleado de la Compañía de Fomento Industrial de Puerto Rico envió 2,6 millones de dólares a una cuenta extranjera creyendo que se trataba de una cuenta bancaria legítima.
¿Cómo funciona el spear phishing?
Los actores maliciosos se basan en técnicas de reconocimiento en sus investigaciones para aumentar las probabilidades de éxito de un ataque. Como resultado, los correos electrónicos de spear phishing suelen ser difíciles de detectar.
Los autores de spear phishing pueden frecuentar redes sociales como Facebook o LinkedIn para recopilar información personal sobre su objetivo. Algunos incluso trazan un mapa de la red de contactos personales y profesionales de su objetivo para obtener contexto adicional a la hora de elaborar un mensaje "fiable". Los atacantes más sofisticados incluso utilizan algoritmos de aprendizaje automático (ML) para escanear grandes cantidades de datos e identificar objetivos potencialmente lucrativos.
Una vez que disponen de suficiente información personal sobre su objetivo, los spear phishers pueden crear un correo electrónico aparentemente legítimo que capte la atención del objetivo. Además de estar personalizados, los correos electrónicos de spear phishing suelen emplear un tono de voz urgente. Esta peligrosa combinación puede hacer que los destinatarios bajen la guardia.
Estos son los pasos típicos que suelen seguir los ataques de spear phishing:
1. Recopilación de información (cebo)
Encontrar información personal en Internet puede requerir muy poco esfuerzo. En muchos sentidos, la popularidad de las redes sociales ha contribuido al éxito de los ataques de spear phishing en los últimos años.
Por ejemplo, los perfiles de LinkedIn pueden contener lugares de trabajo y listas de compañeros de trabajo. Incluso si un perfil de LinkedIn no muestra públicamente una dirección de correo electrónico, puede facilitar a los actores maliciosos la búsqueda de esa información.
Otros actores maliciosos pueden utilizar scripts para recopilar direcciones de correo electrónico de motores de búsqueda destacados o plataformas de generación de clientes potenciales con el fin de encontrar las direcciones de correo electrónico que utilizan los empleados para trabajar. En algunos casos, los actores maliciosos pueden simplemente intentar adivinar las direcciones de correo electrónico utilizando convenciones estándar de correo electrónico laboral, como [email protected].<.Además de la dirección de correo electrónico del objetivo, los actores maliciosos también investigarán la organización del objetivo e intentarán averiguar qué software pueden utilizar.
2. La solicitud (gancho)
Una vez que el atacante obtiene la información necesaria sobre su objetivo, puede utilizarla como cebo para realizar la acción deseada (por ejemplo, hacer clic en un enlace malicioso o descargar un archivo malicioso).
Para que un correo electrónico de spear phishing llegue a la bandeja de entrada del objetivo, primero debe pasar por cualquier software antivirus. Una búsqueda rápida de la organización del objetivo puede proporcionar suficiente información sobre qué antivirus y qué versión utiliza el empleador. Con esta información en mano, los actores maliciosos pueden eludir las defensas de ciberseguridad.Una táctica de solicitud común consiste en utilizar facturas falsas. En este escenario, un agente malicioso puede enviar un correo electrónico desde una fuente "de confianza" que indica que hay un problema con una factura. Pueden proporcionar un enlace a un formulario digital y pedir al objetivo que añada la información correcta.
Aunque la factura digital no es legítima, puede parecer idéntica a la que el objetivo suele utilizar para introducir información financiera. Una vez que el actor malicioso tiene la información de pago de la factura, puede utilizarla para robar fondos o vender esa información en la dark web.
3. El ataque (captura)
Los actores maliciosos están listos para atacar una vez que su cebo y su anzuelo han tenido éxito. Supongamos que el destinatario proporciona información confidencial (por ejemplo, credenciales de inicio de sesión o información de pago). En este caso, los atacantes pueden utilizarla para acceder a redes y sistemas, elevar privilegios, robar o comprometer datos adicionales, o incluso vender información confidencial en la dark web.
Si el destinatario instala malware, los atacantes pueden utilizarlo para capturar pulsaciones de teclas, bloquear el acceso a archivos o extraer datos y retenerlos para pedir un rescate.
Mejore su inteligencia sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónSpear phishing, phishing y whaling
Aunque el spear phishing, el phishing y el whaling se basan en técnicas de ingeniería social similares para tener éxito, existen algunas diferencias esenciales entre cada tipo de ataque.
Phishing
Al igual que el spear phishing, los ataques de phishing tienen como objetivo engañar a las víctimas para que revelen información confidencial, como nombres de usuario y contraseñas, información de cuentas bancarias, números de tarjetas de crédito o números de la Seguridad Social. Estos ataques suelen priorizar la cantidad sobre la calidad y suelen tener una barrera de entrada menor que otros tipos de ataques de ingeniería social.
Sin embargo, los mensajes de los correos electrónicos de phishing suelen ser bastante genéricos. Los autores de las amenazas suelen enviar correos electrónicos de phishing a un gran grupo de personas u organizaciones aleatorias para aumentar las posibilidades de que al menos uno de los destinatarios caiga víctima de la estafa.
Aunque potencialmente menos lucrativos que el spear phishing, todos los tipos de ataques de phishing pueden resultar extremadamente costosos para las víctimas. Otros tipos de phishing pueden ser el smishing, el vishing, el clone phishing, el domain spoofing, el URL phishing, el watering hole phishing y el evil twin phishing.
Whaling
Los ataques de whaling son aún más específicos que los ataques de spear phishing. Estos ataques se dirigen a personas de alto perfil, es decir, a los "peces gordos" de una empresa. Los ataques de whaling se dirigen a personas con acceso a datos más sensibles, como ejecutivos de alto nivel, miembros de la junta directiva o incluso celebridades.
Dado que los ataques de whaling se dirigen a víctimas de gran valor, a menudo producen resultados de gran valor. Este tipo de ataque elimina eficazmente a los intermediarios, ya que los objetivos de los ataques de whaling suelen tener la capacidad de realizar transferencias bancarias directas. Esto puede eliminar cualquier paso adicional que el atacante pueda dar para alcanzar su objetivo, lo que reduce sus posibilidades de ser detectado.
Los ataques de whaling también pueden tener consecuencias más significativas para los objetivos individuales. En muchos casos, las "ballenas" que han sido arponeadas con éxito por un atacante pueden ser despedidas u obligadas a dimitir por descuido.
Tipos y ejemplos de spear phishing
Un análisis más detallado de los ejemplos de spear phishing puede ayudar a ilustrar cómo los actores maliciosos suelen implementar los pasos anteriores.
Solicitudes falsas
Los actores maliciosos pueden enviar correos electrónicos que contengan una solicitud directa de información o fondos. Estas solicitudes también pueden incluir enlaces o archivos adjuntos, pero el objetivo de estos correos electrónicos es obtener información confidencial directamente del destinatario.
Por ejemplo, la ciudad de Franklin, Massachusetts, desvió accidentalmente un pago de 522 000 dólares estadounidenses en 2020 después de que los autores de la amenaza convencieran a un empleado para que les proporcionara información de inicio de sesión segura.
Sitios web falsos
Los autores de las amenazas también pueden enviar correos electrónicos que contengan enlaces a sitios web falsos. El sitio web falsificado puede imitar el diseño de un sitio de confianza para engañar al objetivo y que divulgue información confidencial, como credenciales de cuenta o información financiera. A continuación, el actor malicioso puede utilizar esa información para robar directamente al objetivo, utilizar las credenciales del objetivo para acceder a redes o sistemas empresariales, o vender esa información en la web oscura.
Por ejemplo, desde la introducción de PayPal, se ha producido un fuerte aumento en mensajes de correo electrónico fraudulentos que alertan a los usuarios de que alguien ha comprado algo con su cuenta de PayPal. Al hacer clic en el enlace de estos correos electrónicos, el destinatario suele ser redirigido a un sitio web falso de PayPal, donde los autores de la amenaza pueden robar cualquier información de inicio de sesión que se introduzca.
Archivos adjuntos falsos
Los archivos adjuntos con malware suelen presentarse en forma de facturas o notificaciones de entrega falsas. El atacante puede instar al destinatario a que lo abra lo antes posible para evitar consecuencias negativas. Una vez que el destinatario abre el archivo adjunto, este puede enviar malware al dispositivo del objetivo, que luego se propagará a la red y a otros dispositivos.
Por ejemplo, el Grupo Lazarus de Corea del Norte tiene una campaña en curso en la que utiliza señuelos para puestos vacantes en Crypto.com con el fin de distribuir malware para macOS.
Cómo identificar un ataque de spear phishing
La mejor manera de prevenir un ataque de spear phishing es identificar un correo electrónico de spear phishing antes de hacer clic en cualquier enlace o abrir cualquier archivo adjunto. Familiarizarse con los indicadores de un intento de spear phishing puede ayudar a las organizaciones y a sus empleados a evitar las consecuencias de un ataque exitoso.
A continuación se indican algunas señales de alerta comunes que pueden indicar un ataque de spear phishing:
Remitente
Examine los correos electrónicos entrantes para determinar si provienen de remitentes legítimos. Las señales comunes de que el remitente puede estar realizando un ataque de spear phishing incluyen:
- Una dirección de correo electrónico o un remitente no reconocido.
- Una dirección de correo electrónico fuera de la organización del destinatario.
- Una dirección de correo electrónico de un remitente dentro de la organización con el que el destinatario no suele comunicarse.
- Una dirección de correo electrónico de un dominio sospechoso.
Destinatarios
A continuación, compruebe quién más figura en la lista de destinatarios. Los indicadores de un correo electrónico de spear phishing pueden incluir:
- Una lista de destinatarios que contiene otras direcciones de correo electrónico desconocidas.
- Una lista de destinatarios con una combinación inusual de personas (por ejemplo, un grupo aleatorio de destinatarios o un grupo de destinatarios cuyos apellidos comienzan todos con la misma letra).
Fecha y hora
Comprueba cuándo envió el remitente el correo electrónico. Los indicios de un correo electrónico de spear phishing podrían incluir:
- Un correo electrónico enviado en una fecha inusual (por ejemplo, un fin de semana o un día festivo).
- Un correo electrónico enviado a una hora inusual (es decir, fuera del horario laboral habitual).
Asunto
El asunto de un correo electrónico puede dar mucha información al destinatario sobre si el correo es falso o no. Los correos electrónicos de spear phishing pueden contener lo siguiente:
- Un asunto inusualmente urgente.
- Un asunto irrelevante o que no coincide con el resto del correo electrónico.
- Una respuesta a algo que nunca se ha enviado ni solicitado.
Hipervínculos y archivos adjuntos
Antes de hacer clic en enlaces o descargar archivos adjuntos en correos electrónicos, busque signos comunes de spear phishing, entre ellos:
- Un hipervínculo que muestra la dirección de otro sitio web cuando se pasa el ratón por encima.
- Un hipervínculo largo sin más instrucciones.
- Un hipervínculo con errores tipográficos que no son evidentes a primera vista.
- Un archivo adjunto de correo electrónico inesperado o que no tiene sentido en el contexto del contenido del correo electrónico.
- Un archivo adjunto con un tipo de archivo posiblemente peligroso.
- Un archivo adjunto sin más instrucciones.
Contenido
Si todo lo demás está en orden, fíjese bien en el contenido del correo electrónico. Los correos electrónicos de spear phishing suelen estar muy bien elaborados y, dado que también son personalizados, puede resultar difícil identificarlos basándose únicamente en el contenido.
Sin embargo, tenga en cuenta los siguientes indicadores de un correo electrónico de spear phishing cuando lea el cuerpo del mensaje:
- El correo electrónico tiene un sentido de urgencia inusual.
- El correo electrónico solicita información confidencial.
- El correo electrónico pide al destinatario que haga clic en un enlace o abra un archivo adjunto para obtener algo valioso o evitar una consecuencia negativa.
- El correo electrónico contiene errores ortográficos o gramaticales.
- El correo electrónico contiene enlaces o archivos adjuntos no solicitados.
- El correo electrónico intenta provocar pánico en el destinatario.
Cómo defenderse de los ataques de spear phishing
A continuación se ofrecen algunos consejos sobre spear phishing que las organizaciones pueden utilizar para reforzar sus defensas de ciberseguridad.
Reconocer las señales del spear phishing
La mejor manera de prevenir cualquier ataque de phishing es identificar un correo electrónico de phishing antes de que alguien haga clic en un enlace, descargue un archivo adjunto o realice cualquier otra acción solicitada.
Si el primer instinto de la víctima es que un correo electrónico es falso o que se trata de una estafa, probablemente tenga razón. Empiece por comprobar la legitimidad del remitente. A continuación, intente verificar las afirmaciones del correo electrónico directamente con la fuente. A continuación, examine el contenido del correo electrónico y busque los indicios de spear phishing (enumerados en la sección anterior). Si tras un examen más detallado el correo electrónico parece falso, denúncielo a los miembros del equipo correspondientes.
Impartir formación en materia de seguridad
Recordar examinar detenidamente cada correo electrónico para reconocer los indicios de spear phishing puede llevar tiempo y esfuerzo. Impartir formación sobre concienciación en materia de seguridad a los empleados puede ayudarles a desarrollar las habilidades necesarias para detectar, evitar y denunciar los correos electrónicos de phishing con regularidad.
Estos programas son fundamentales, ya que cada vez son más los empleados que trabajan desde casa. Sin embargo, incluso los empleados mejor formados y más conscientes de la seguridad pueden caer en la trampa de los correos electrónicos de phishing si tienen prisa o si el correo electrónico es persuasivo. Las simulaciones de phishing pueden ayudar a los empleados a poner en práctica lo que han aprendido durante la formación en materia de seguridad. Este ejercicio también ayudará a las organizaciones a evaluar el grado de comprensión de sus empleados sobre los ataques de phishing para mejorar sus cursos de formación.
Realizar investigaciones periódicas
Las investigaciones proactivas pueden ayudar a las organizaciones a identificar los correos electrónicos sospechosos con contenido comúnmente utilizado por los atacantes (por ejemplo, líneas de asunto que hacen referencia a cambios de contraseña). Las empresas pueden aplicar parches periódicamente, configurar adecuadamente e integrar servicios remotos, VPN y soluciones de autenticación multifactorial.autenticación multifactorial.
Las organizaciones también pueden analizar las propiedades de los mensajes de correo electrónico recibidos (incluida la propiedad Detalles del archivo adjunto) en busca de tipos de archivos adjuntos relacionados con malware y enviarlos automáticamente para que se analicen en busca de indicadores adicionales de malware.
Implementar herramientas de seguridad para ayudar
Afortunadamente, existen herramientas que ayudan a evitar que los correos electrónicos de spear phishing lleguen a la bandeja de entrada del destinatario. Aunque los proveedores de correo electrónico pueden incorporar algunas de estas herramientas en su plataforma, es probable que algunos correos electrónicos de phishing lleguen a los empleados sin una seguridad adicional que elimine las brechas de seguridad.
Una plataforma de detección y respuesta extendida (XDR)detección y respuesta extendida (XDR) puede supervisar activamente todas las capas de una red para detectar el malware antes de que cause daños.
Prevenir los ataques de spear phishing con SentinelOne
Con Singularity XDR, las organizaciones pueden eliminar los puntos ciegos para que los equipos de seguridad puedan ver los datos recopilados por soluciones de seguridad dispares de todas las plataformas en un único panel de control.
El motor de comportamiento de SentinelOne realiza un seguimiento de todas las actividades del sistema en todos los entornos, detectando técnicas y tácticas que indican un comportamiento malicioso y correlacionando automáticamente las actividades relacionadas en alertas unificadas.
Singularity XDR, una plataforma única y unificada para la detección, investigación, respuesta y búsqueda de amenazas ampliadas, ofrece:
- Una única fuente de alertas priorizadas que recopila y estandariza datos de múltiples fuentes
- Una vista consolidada única para comprender rápidamente la progresión de los ataques a través de las capas de seguridad.
- Una única plataforma para responder rápidamente y buscar amenazas de forma proactiva.
Descubra cómo SentinelOne protege a algunas de las organizaciones líderes del sector en todo el mundo frente a los ataques de spear phishing y regístrese para obtener una demostración hoy mismo.
"Preguntas frecuentes sobre spear phishing
El spear phishing es un tipo de estafa por correo electrónico dirigida a una persona o grupo específico con el fin de robar datos confidenciales o instalar malware. Los atacantes investigan a sus víctimas, utilizando perfiles públicos o sitios web de empresas, para crear mensajes que parezcan provenir de una fuente fiable. Estos correos electrónicos suelen hacer referencia a proyectos o contactos reales para generar confianza. Cuando la víctima hace clic en un enlace o abre un archivo adjunto, sus credenciales o el acceso al sistema pueden verse comprometidos.
Los atacantes personalizan los correos electrónicos utilizando datos de las redes sociales o los sitios web de las empresas, lo que hace que los mensajes parezcan familiares. A menudo utilizan un lenguaje urgente o amenazante, como el bloqueo falso de una cuenta, para incitar a una acción rápida, falsifican las direcciones de los remitentes para imitar a los compañeros de trabajo e incluyen archivos adjuntos maliciosos o enlaces ocultos detrás de un texto de apariencia legítima.
Son habituales las solicitudes inusuales de contraseñas o transferencias de fondos. Algunos también utilizan llamadas telefónicas o mensajes de texto para reforzar la estafa.
En 2015, Ubiquiti Networks perdió más de 40 millones de dólares cuando sus empleados obedecieron correos electrónicos falsos de transferencias bancarias que suplantaban a altos ejecutivos. El grupo "HeartSender" utilizó kits de phishing entre 2020 y 2025 para robar alrededor de 3 millones de dólares a víctimas estadounidenses mediante estafas BEC personalizadas dirigidas a equipos financieros.
En 2024, el grupo iraní APT35 envió correos electrónicos de whaling con enlaces maliciosos a un funcionario de la campaña presidencial estadounidense, con el fin de obtener información bajo la apariencia de comunicaciones legítimas de la campaña.
Presta atención a pequeños errores ortográficos en la dirección del remitente o a nombres que no coinciden con el correo electrónico real. Las líneas de asunto urgentes o alarmantes que instan a actuar de inmediato, como una brecha de seguridad, son señales de alerta. Los archivos adjuntos o enlaces inesperados que solicitan la introducción de credenciales, especialmente cuando las URL no coinciden con el dominio declarado. Las solicitudes de datos confidenciales que no entran dentro de las tareas normales del trabajo también pueden indicar un intento de spear phishing.
Antes de hacer clic en enlaces o abrir archivos adjuntos, pase el cursor por encima de las URL para comprobar que coinciden con el dominio del remitente. Si un correo electrónico solicita credenciales o pagos, llame al remitente a un número conocido (no al que aparece en el mensaje) para confirmarlo. Revise los encabezados del correo electrónico para ver si hay direcciones de respuesta que no coincidan y consulte con el departamento de TI si no está seguro. En caso de duda, elimine el mensaje o denúncielo como phishing.
El vishing utiliza llamadas telefónicas o mensajes de voz para suplantar la identidad de figuras de confianza (bancos, soporte técnico o directivos de empresas) con el fin de obtener información personal o pagos. Las personas que llaman suelen crear una sensación de urgencia ("Su cuenta se cerrará si no actúa ahora") y falsifican los identificadores de llamadas para parecer legítimas. Pueden enviar correos electrónicos de phishing y pedir a las víctimas que devuelvan la llamada e introduzcan sus credenciales. Nunca facilite datos confidenciales en llamadas no solicitadas; verifique la identidad a través de los canales oficiales.
