Sus credenciales de usuario son una mina de oro de datos. Cualquier agente malicioso puede explotarlas. Google recibe alrededor de 100 millones de correos electrónicos al día, más del 48 % de los cuales son mensajes de spam. Más de una quinta parte de estos correos electrónicos proceden de Rusia. Los usuarios de Internet de la generación millennial y la generación Z se enfrentan a las consecuencias de diversas estafas de phishing en 2024. La mayoría de los ataques de phishing se llevan a cabo a través de correos electrónicos, pero algunos adoptan la forma de sitios web maliciosos.
Cada día se filtran 16,5 correos electrónicos por cada 100 usuarios de Internet, y hay casos de bases de datos pirateadas que se venden en la web oscura. Los ciberdelincuentes pueden vender estas bases de datos, subastarlas en línea o utilizarlas para recopilar información adicional con el fin de llevar a cabo estafas de phishing más sofisticadas. Las empresas deben tomarse en serio la ciberseguridad, especialmente en sectores altamente regulados como el financiero, el jurídico, el comercio electrónico y otros ámbitos.
En 2024, los nombres de dominio más comunes son .com, .org, .top, .net y .eu. Una sola filtración de datos puede costarle a una organización más de 10 millones de registros, lo que se traduce en unas pérdidas económicas astronómicas de 4,88 millones de dólares o más. El phishing se dirige a las masas, pero el spear-phishing elige a sus víctimas y las ataca de forma selectiva.lt;/p>
No se puede defenderse de estas amenazas si no se es consciente de ellas. Es necesario comprender cómo funcionan.
En esta guía, analizaremos la diferencia entre el spear phishing y el phishing y destacaremos sus riesgos, estrategias de prevención, ejemplos y mucho más.
¿Qué es el phishing?
El phishing es un ataque clásico basado en el correo electrónico que es genérico por naturaleza. La mejor manera de explicar cómo funciona el phishing es pensar en él como un correo electrónico enviado a todo el mundo. Este correo electrónico no se dirige a una persona específica, sino a todos los miembros de la organización.
Por ejemplo, imagina que una empresa va a celebrar un evento esta semana. Todos sus compañeros de equipo esperan recibir un correo electrónico con el anuncio. Están esperando las fechas, los horarios y otros detalles del evento. El atacante puede hacerse pasar por la empresa y enviar un correo electrónico falso desde un dominio falso para engañar a todo el mundo. Es posible que se les pida que hagan clic en los enlaces del correo electrónico para confirmar su asistencia. Nadie sospechará nada.
Un correo electrónico típico de phishing puede contener archivos adjuntos maliciosos, páginas de inicio de sesión falsas, formularios web y otros elementos. Algunos correos electrónicos infunden una sensación de urgencia y requieren una respuesta inmediata, mientras que otros instan al usuario a compartir rápidamente datos confidenciales.
¿Qué es el spear phishing?
El spear phishing es muy específico, y el atacante conocerá muchos detalles sobre usted. El spear phishing no está dirigido a los miembros generales de la organización; el atacante elaborará un perfil de la víctima durante varios meses y la estudiará. Redactará correos electrónicos muy personalizados e incluirá detalles que corroboran los datos que presenta en dichos correos. De este modo, la víctima se convence de que los correos proceden de fuentes auténticas y acaba interactuando con ellos.
¿Qué hace que el spear phishing sea tan aterrador? Puede aprovechar rasgos humanos generales, como la voluntad de ayudar; los correos electrónicos de spear phishing pueden presentarse con un tono positivo o animar al lector a actuar de forma que le beneficie de alguna manera. Puede despertar la curiosidad de los lectores por explorar recursos adicionales. Los esquemas de ataque son astutos, ya que los lectores son guiados a través de varias capas de sofisticación. El objetivo principal del spear phishing es conseguir que las víctimas compartan datos confidenciales después de que los atacantes les hagan sentir seguros de su identidad como personas ajenas a la empresa. Por lo tanto, el spear phishing no es un correo electrónico cualquiera; no se puede identificar de improviso. Estos correos electrónicos están muy bien elaborados y no se ven venir.
Riesgos asociados al spear phishing frente al phishing
Estos son los riesgos asociados al phishing frente al spear phishing:
Riesgos del phishing
Las organizaciones son vulnerables a los siguientes riesgos con los ataques de phishing:
- Los estafadores pueden robar información de tarjetas de crédito y utilizarla para realizar compras en terminales de punto de venta
- Los correos electrónicos auténticos de su propia empresa pueden llegar a la bandeja de entrada del atacante
- Las organizaciones pueden ver su nombre involucrado en incidentes de fraude financiero
- Los atacantes pueden secuestrar números de la seguridad social y utilizarlos para abrir cuentas fraudulentas. Pueden obtener acceso no autorizado a servicios bancarios, gubernamentales y sanitarios exclusivos.
- Los correos electrónicos de phishing pueden enviar ransomware a los destinatarios. Una vez que abran e instalen estos archivos adjuntos, serán víctimas de ataques de ransomware.
- Las personas que lanzan campañas de phishing pueden incrustar spyware o keyloggers para supervisar las actividades en los sistemas. Pueden robar datos adicionales con el tiempo y causar daños que arruinen la reputación de una empresa o la confianza de los clientes.
Riesgos del spear phishing
Los ataques de spear phishing están bien elaborados, son sofisticados y tienen un nivel de detalle superior al de los ataques de phishing tradicionales. Los atacantes hacen sus deberes con antelación y saben exactamente cómo engañar a las víctimas. Estos son sus riesgos más comunes:
- Los correos electrónicos de spear phishing no solo se dirigen a los empleados de la empresa. También pueden dirigirse a sus amigos, colegas y compañeros de trabajo. Estos correos parecen provenir de fuentes fiables, por lo que las víctimas no sospechan nada.
- Los correos electrónicos de spear phishing pueden ofrecer incentivos a cambio de revelar datos confidenciales. Piden contraseñas, datos bancarios, números de tarjetas de crédito y otros datos financieros. Estos correos también pueden añadir miedo a estos correos. Por ejemplo, un correo electrónico clásico de spear phishing puede decir que se le ha bloqueado el acceso a su cuenta a menos que comparta estos datos y la desbloquee inmediatamente.
- Las empresas pueden perder sus secretos comerciales si no tienen cuidado con los ataques de spear phishing. También pueden comprometer sus operaciones comerciales, sufrir largos periodos de inactividad y enfrentarse a paradas operativas. Un ataque de spear phishing medio puede bloquear datos críticos, corromper archivos o incluso destruir hardware.
- Sus clientes y compañeros de trabajo pueden cuestionar sus prácticas de seguridad si es víctima de un ataque de spear phishing. Esto se debe a que no son habituales, sino impredecibles y altamente personalizados. El daño que causan a la reputación de una empresa es extremo y puede afectar directamente al crecimiento de sus ingresos y a sus oportunidades de negocio futuras. Una vez que se pierde la confianza de sus clientes, puede llevar años o incluso décadas recuperarla.
- El spear phishing da miedo porque los atacantes le investigan muy bien. Pueden utilizar información sobre su cargo, sus relaciones en el trabajo, sus aficiones y otras peculiaridades de su estilo de vida. A veces, las víctimas no pueden adivinar que el remitente es un atacante. Caen víctimas de los esquemas de spear phishing, que acaban convirtiéndose en robos financieros o espionaje corporativo en toda regla.
- Los ataques de spear phishing pueden hacer que las empresas incumplan la normativa y se enfrenten a cargos por incumplimiento. También pueden enfrentarse a problemas legales por no gestionar adecuadamente los datos confidenciales de los consumidores, lo que, si no se protegen adecuadamente, puede dar lugar a multas y costosos pleitos.
Mejore su inteligencia sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónSpear phishing frente a phishing: ejemplos
El spear phishing suele aparecer como un ataque de ataque de compromiso del correo electrónico empresarial (BEC). Es lo menos esperable. El atacante se hará pasar por un proveedor conocido, una persona o un miembro de confianza de la organización. El phishing es más genérico y se envía a grupos o masas. Echa un vistazo a estos ejemplos de spear phishing y phishing por correo electrónico:
Táctica de phishing 1: el ataque masivo
Recibes un correo electrónico que parece provenir de tu banco, en el que se te informa de que hay un problema con tu cuenta y que debes "verificar tu identidad". El correo electrónico contiene un enlace a un sitio que se parece a la página de inicio de sesión de su banco, pero en realidad es un sitio falso diseñado para robar sus credenciales de inicio de sesión.
Cómo funciona:
- El correo electrónico se envía a miles de personas a la vez.
- Sus mensajes son genéricos, sin detalles personales.
- El atacante confía en el volumen, con la esperanza de que alguien caiga en la trampa.
- No se utiliza ningún conocimiento específico sobre usted o su trabajo, solo una estafa típica.
Táctica de spear phishing 1: ataque dirigido a ejecutivos
Usted es el director financiero de una prestigiosa empresa de ciberseguridad. El atacante tiene acceso al sitio web de su empresa y ha revisado su perfil de LinkedIn. Un día, recibe un correo electrónico en el que se le pide que revise un informe crítico sobre ciberseguridad. Contiene un enlace que, al hacer clic en él, infecta su dispositivo con malware.
Cómo funciona:
- El atacante ha investigado sobre usted y su empresa.
- El correo electrónico está muy personalizado y menciona funciones, nombres y detalles específicos sobre su empresa.
- El mensaje parece auténtico porque proviene de su director general.
- Es menos probable que lo ponga en duda porque parece legítimo, lo que aumenta las posibilidades de éxito.
Táctica de phishing 2: el servicio de suscripción falso:
Recibes un correo electrónico que dice provenir de un conocido servicio de streaming online. Dice que tu suscripción ha sido suspendida debido a problemas de pago. Se le indica que actualice su información de facturación a través del enlace adjunto para restablecer el acceso.
Cómo funciona:
- Se envía un correo electrónico a una amplia audiencia utilizando una plantilla de correo electrónico genérica.
- La URL parece sospechosa, pero incluye palabras comunes como "cuenta" o "actualizar".
- Se trata de un ataque rápido y de bajo esfuerzo, que se basa en la esperanza de que alguien haga clic sin pensar.
Táctica de spear phishing 2: estafas de pago a proveedores
Este intento de spear phishing tiene como objetivo al director financiero de una empresa. El atacante ha obtenido información sobre una relación comercial en curso con un proveedor externo, que está disponible públicamente en Internet. Un correo electrónico que se hace pasar por el departamento financiero del proveedor solicita una transferencia urgente a un nuevo número de cuenta.
Cómo funciona:
- El correo electrónico está personalizado con datos específicos del proveedor, como números de factura e historial de pagos anteriores. El atacante utiliza datos públicos para que la solicitud parezca legítima.
- Se engaña al director financiero para que autorice el pago, pensando que se trata de una operación rutinaria; los fondos se transfieren a una cuenta controlada por el atacante, lo que provoca pérdidas económicas.
Táctica de phishing 3: ofertas de trabajo falsas
Recibes un correo electrónico de phishing en tu bandeja de entrada que te promete una nueva y fantástica oportunidad laboral. Te pide datos personales y una copia de tu currículum para continuar con la solicitud. Una vez enviados, tus datos se utilizan para acceder a otras cuentas o cometer un robo de identidad.
Cómo funciona:
- Se envía un correo electrónico a un gran número de personas. Está diseñado para atraer a personas que buscan empleo utilizando un logotipo de empresa falso o un nombre de prestigio.
- No se ha realizado ninguna investigación real sobre los destinatarios. Se trata simplemente de un ataque masivo.
Táctica de spear phishing 4: simulación de amenaza interna
Un atacante se hace pasar por un miembro del personal interno y envía un correo electrónico al administrador de TI de una institución financiera. El correo electrónico habla de un restablecimiento urgente de la contraseña y solicita acceso al sistema interno de la empresa. Parece legítimo porque imita un proceso interno estándar con enlaces al sistema de TI e información de los empleados.
Cómo funciona:
- Se dirige explícitamente al administrador de TI estudiando los flujos de trabajo internos de la empresa.
- Está redactado utilizando el lenguaje interno de la empresa, lo que hace que parezca que proviene de una fuente fiable.
Táctica de phishing 4: Descarga gratuita de software
Recibes un correo electrónico que dice ser de una empresa de software y que ofrece una "actualización gratuita" a la última versión de una herramienta popular que utilizas. Se incluye un enlace de descarga. Contiene malware que se activa automáticamente al hacer clic en él.
Cómo funciona:
- Se trata de un ataque sencillo y automatizado que se envía a muchos usuarios a la vez.
- La oferta parece demasiado buena como para dejarla pasar, lo que hace que las personas sean más propensas a hacer clic.
- No se utiliza información personalizada.
Táctica de spear phishing n.º 4: el compromiso de la cuenta en la nube
Un atacante envía un correo electrónico al administrador de la nube de una empresa, afirmando ser el equipo de soporte del proveedor de la nube. El correo electrónico habla de los servicios en la nube a los que se ha enfrentado recientemente la empresa. Solicita la verificación inmediata de las credenciales de usuario. Probablemente hará clic en él e interactuará como administrador de sistemas en la nube. No lo cuestionará, ya que los problemas mencionados en el correo electrónico son los que está afrontando actualmente.
Cómo te hackean:
- El correo electrónico utiliza detalles precisos sobre el entorno en la nube y el proveedor.
- Las solicitudes de credenciales parecen urgentes; incitan al administrador a actuar rápidamente sin dudar.
- Secuestra y obtiene acceso a los recursos críticos en la nube y a los datos confidenciales de su empresa.
Phishing y spear phishing: resumen
El spear phishing y el phishing difieren en la forma en que se acercan a las víctimas para robar información. A continuación se resumen sus similitudes y diferencias:
1. Público objetivo
Un correo electrónico de phishing se dirige a toda la empresa. No es detallado ni específico. El spear phishing es más detallado y requiere un profundo conocimiento de la víctima. En el phishing, el ataque se dirige a todo el mundo. Sin embargo, el spear phishing se limita a una persona específica.
2. Contenido y esfuerzo
Los correos electrónicos de phishing requieren poco esfuerzo y pueden contener errores gramaticales. Puede haber errores ortográficos y faltar puntuación, y se notarán claros signos de información mal presentada. Estos correos electrónicos son evidentes.
Pero el spear phishing es diferente. Crear un correo electrónico de spear phishing requiere semanas o meses de elaboración del perfil de la víctima. La información genérica no es suficiente. Se necesita más esfuerzo, y por eso se investiga a fondo. El atacante conocerá muy bien a su víctima antes de redactar estos correos electrónicos.
3. Tácticas de ingeniería social
La forma en que los atacantes elaborarán su perfil en un ataque de spear phishing frente a uno de phishing también variará. En el caso de los correos electrónicos de phishing, recopilan información genérica sobre su empresa. Pero en el spear phishing, intentarán averiguar todo lo posible sobre usted.
Los titulares de los correos de phishing también son muy genéricos, como: "Su cuenta ha sido suspendida", "Vamos a cancelar sus servicios próximamente" o "¡Enhorabuena! Haga clic aquí para reclamar su premio". Su objetivo es infundir miedo, urgencia o codicia y provocar una respuesta emocional o una acción por parte del destinatario. En el spear phishing, el atacante intentará bajarle la guardia y hacerle sentir relajado o confiado. Poco a poco se ganará su confianza y, finalmente, violará sus sistemas después de recopilar suficiente información por etapas.
Spear phishing frente a phishing: diferencias clave
Estas son las diferencias fundamentales entre el phishing y el spear phishing.
| Característica | Spear phishing | Phishing |
|---|---|---|
| Objetivo | Obtener acceso no autorizado a información confidencial, a menudo con fines económicos o políticos. | Robar credenciales, datos personales o instalar malware. |
| Víctima | Personas o grupos muy específicos, como ejecutivos o departamentos concretos. | Personas aleatorias o un público amplio y generalizado. |
| Técnica de ataque | Personalizan correos electrónicos o mensajes que parecen provenir de fuentes verificadas. El atacante puede secuestrar una cuenta verificada y lanzar estas amenazas. | Correos electrónicos o mensajes genéricos enviados a una audiencia amplia, a menudo solicitando una acción urgente. Por lo general, terminan en la bandeja de correo no deseado. |
| Estrategias comunes | Suplantar la identidad de un colega personal o aprovechar comunicaciones internas recientes puede implicar el uso de datos de redes sociales e inteligencia de otras fuentes. | Distribuye masivamente sitios web o correos electrónicos falsos que imitan a empresas o instituciones conocidas. Utiliza tácticas comunes como la verificación de cuentas falsas, premios gratuitos y loterías. |
Conclusión
La mejor manera de luchar contra el spear phishing y el phishing es ser consciente de su nivel de detalle. No dé por sentado ningún mensaje; examine cuidadosamente el contenido antes de hacer clic o interactuar con él. Forme a sus empleados y miembros del equipo para que sean conscientes de estas amenazas. Puede realizar pruebas de phishing y spear phishing periódicamente para evaluarlos.
"FAQs
Los ataques de phishing tienen como objetivo incitar a las víctimas a compartir información personal o hacer que descarguen contenido malicioso.
Habilite la autenticación multifactor, evite hacer clic en enlaces sospechosos y manténgase alerta. Además, entrene a su equipo y a usted mismo para reconocer los signos comunes del phishing.
Los correos electrónicos de spear phishing suelen dirigirse a usted personalmente y pueden hacer referencia a detalles como su puesto de trabajo o su lugar de trabajo.
No haga clic en ningún enlace. Informe del correo electrónico a su equipo de TI o utilice las herramientas disponibles para marcarlo como phishing.
