Spear Phishing vs. Phishing | EasyDMARC

Spear Phishing vs. Phishing

9 min de lectura
Laptop image on a blue background

Los piratas informáticos usan varias tácticas de ingeniería social para comprometer datos y manipular a sus víctimas, haciendo que revelen información confidencial. El phishing y el spear phishing son ejemplos claros de este tipo de tácticas utilizadas por los criminales informáticos.

Cabe preguntarse entonces: ¿cuál es la diferencia entre estos dos tipos de estafas por correo electrónico? ¿Cómo puedes proteger tu negocio y los datos confidenciales contra este tipo de eventos? Sigue leyendo este blog y podrás obtener información que ofrece información precisa sobre el phishing selectivo y el phishing regular, las diferencias entre ambos y algunos consejos de seguridad para mantener tu organización y tus datos seguros.

¿Qué es el phishing?

El phishing es una forma de ataque por medio de la cual un pirata informático se hace pasar por una organización legítima con el fin de robar información confidencial, tales como números de tarjetas de crédito, credenciales de inicio de sesión y otros datos confidenciales. En los ataques de phishing, el criminal cibernético lanza una amplia red de ataques enviando miles de correos electrónicos falsos a una gran cantidad de destinatarios al azar, con la esperanza de que una pequeña proporción de estos responda al creer que el mensaje que reciben es auténtico.

Los ataques de phishing generalmente involucra el envío de un correo que contiene un enlace malicioso que es usado con el fin de redirigir a los usuarios que hacen clic sobre éste a una página de inicio de sesión que simula ser un servicio o marca conocida, tal como tu banco o cuentas de redes sociales, (Facebook, Instagram, LinkedIn). La página de inicio de sesión falsa está diseñada para atraer a sus víctimas haciéndoles creer que el inicio de sesión que realizan es legítimo, para así poder recolectar sus credenciales.

Los correos electrónicos estándar de phishing pueden incluir ofertas atractivas como un descuento en un producto, o puedes recibir un mensaje con un anuncio tal como “Su cuenta está bloqueada. Haga clic aquí para actualizar su contraseña o datos bancarios”, además de los ataques por correo electrónico, los phishers también pueden contactar a sus víctimas a través de mensajes de texto (smishing) o llamadas telefónicas (vishing).

¿Qué es el spear phishing?

A diferencia de un ataque de phishing normal, donde se envían correos electrónicos falsos en masa, el spear phishing o phishing selectivo, es un ataque muy específico que afecta a una sola persona u organización; este tipo de ataque tiende a ser más personal, ya que requiere información detallada sobre la víctima.

Un ataque común de spear phishing son los ataques a correos electrónicos corporativos (conocido en inglés como Business Email Compromise (BEC) o CEO Fraud), donde los atacantes cibernéticos se hacen pasar por empleados senior o de nivel C dentro de una organización para engañar a los empleados junior y hacer que estos aprueben transferencias electrónicas. BEC es uno de los ataques más costosos en el mundo de la seguridad cibernética; de acuerdo a indicadores del FBI, hasta la fecha se han perdido más de $43 mil millones a causa de delitos BEC desde mediados del año 2016 hasta el presente, está de más señalar que esta sola estadística referente a los ataques de phishing es sumamente aterradora.

Un phisher selectivo puede elegir a un director ejecutivo en una empresa de renombre y luego obtener información sobre ellos en plataformas de redes sociales como Facebook o Linkedln. Después de eso, el delincuente crea una cuenta de correo electrónico para hacerse pasar por el objetivo elegido y espera el momento adecuado para atacar.

Por ejemplo, mientras el director ejecutivo real está de gira o de viaje de negocios, el atacante envía un correo electrónico al empleado fingiendo ser el director ejecutivo y solicitando una transferencia bancaria sustancial a un socio comercial, generalmente con instrucciones adicionales que se desvían del procedimiento usual y citando una contingencia o emergencia.

Otra forma de spear phishing es un ataque ballenero, bajo el cual el atacante se dirige a altos ejecutivos con acceso a información confidencial.

Spear Phishing vs. Phishing

Si bien ambas técnicas son esencialmente ataques por correo electrónico, existen diferencias puntuales entre ambos; una distinción importante entre el phishing selectivo y el phishing regular radica en el enfoque del delincuente informático para llevar a cabo sus ataques. 

El spear phishing es un ataque personalizado, dirigido de forma específica a un grupo, individuo o negocio específico, mientras que los ataques de phishing regulares implican el envío masivo de mensajes falsos a un amplio grupo de víctimas potenciales.

Los ataques de phishing selectivo requieren tiempo para investigar a las víctimas a nivel personal, mientras que los ataques de phishing regulares no requieren ninguna información personal; debido a la naturaleza hiper dirigida de los ataques de phishing selectivo, este causa más daño que el ataque de phishing tradicional, ya que el phishing selectivo usa información personal de la víctima, lo que hace que este sea más difícil de detectar para los usuarios promedio.

Cómo proteger a su organización contra el phishing y el phishing selectivo

Aunque el phishing selectivo puede causar daños más graves que las estafas de phishing tradicionales, es necesario proteger tu negocio de ambos tipos de estafas por correo, razón por la cual te mostramos varios pasos que puedes seguir para prevenir todas las formas de ataques de phishing.

Educar a su personal

Los humanos son los eslabones de seguridad más débiles, por lo que deben ser conscientes de los riesgos asociados a estos y otros ciberataques. Realice programas regulares de concientización sobre seguridad para educar a sus empleados sobre el phishing selectivo frente a los ataques de phishing.

Realiza pruebas de penetración periódicas

La educación por sí sola no detiene los ataques de phishing, aunque no deja de ser crucial que tus empleados sepan cómo identificar este tipo de ataques, es por esta razón que es necesario realizar pruebas de penetración periódicas para simular ataques de phishing reales y ataques de phishing selectivo, lo cual te ayuda a identificar cualquier debilidad en tu infraestructura IT; estos esfuerzos deben ir a la par de tus jornadas de formación para que tus empleados sepan cómo identificar y manejar dichas amenazas.

Auténtica tus correos electrónicos

La autenticación de tu correo electrónico es esencial para evitar que los piratas informáticos falsifiquen tu dominio; puedes proteger tu infraestructura de correo implementando las políticas SPF, DKIM y DMARC, de esta forma, sólo será posible enviar mensajes de correo legítimos desde tu dominio a todos los destinatarios dentro y fuera de tu empresa u organización.

Usa sistemas de autenticación multifactor

Esta es una de las mejores maneras de garantizar la máxima protección de seguridad para tus correos electrónicos, ya que los atacantes necesitarán más que tus credenciales de inicio de sesión para infiltrarse en tus cuentas y comprometer sus datos. Estos factores adicionales de seguridad pueden incluir el uso de tu huella digital, un pin enviado a tu teléfono, Face ID, o un escaneo de retina; dado que estas capas adicionales de acceso requieren una interacción directa con tus dispositivos, los piratas informáticos no podrán penetrar tus defensas de autenticación.

Nunca hagas clic en enlaces o URL sospechosos

Los piratas informáticos a menudo adjuntan enlaces a los mensajes para dirigir a sus víctimas a sitios web fraudulentos o para descargar malware en tus sistemas; es mejor prevenir que lamentar, por lo cual, si no estás 100% seguro del origen de un enlace en tus mensajes, es mejor no hacer clic en este; si aún tienes dudas, verifica el enlace con una herramienta de seguridad. 

Incluso si estás familiarizado con el remitente, la mejor medida que puedes poner en práctica es verificar el enlace un par de veces antes de abrir el archivo adjunto, para lo cual puedes usar nuestro verificador de URL anti phishing para determinar si el enlace con el cual estás lidiando es malicioso o legítimo.

Actualiza regularmente tu software

Las aplicaciones desactualizadas ofrecen rutas de fácil acceso para que los piratas informáticos comprometan tu red, razón por la cual siempre es preferible mantener actualizadas todas tus aplicaciones y software, así puedes mantener alejados a los malos actores, también ocúpate de instalar soluciones anti-spam y de implementar una solución anti-phishing en tus dispositivos.

Utiliza una contraseña segura

No uses la misma contraseña en diferentes cuentas, ya que esto representa una amenaza para la seguridad de tus datos confidenciales, optar por el uso de contraseñas sólidas y largas en varias cuentas hace que sea significativamente más difícil para los piratas informáticos infiltrarse en tus sistemas y robar tus datos. Una contraseña segura combina números, letras mayúsculas y minúsculas y caracteres especiales, también puedes usar un administrador de contraseñas para almacenar y monitorear tus credenciales y no verte en la obligación de recordar múltiples claves de acceso.

Asegura tu correo electrónico comercial contra filtraciones con DMARC

Las organizaciones están mejor protegidas cuando implementan políticas DMARC sólidas para fortalecer la seguridad de sus correos electrónicos. DMARC, o los informes de conformidad y autenticación de mensajes de dominio, es un protocolo de autenticación de correo que aprovecha los protocolos de autenticación existentes, tales como SPF y DKIM y garantiza que solo los remitentes autorizados puedan enviar correos desde tu dominio.

DMARC es la forma más efectiva de proteger tu correo electrónico y evitar ataques de phishing selectivo y phishing regular; este protocolo de autenticación también está diseñado para mejorar la reputación de tu marca y aumentar las tasas de entregabilidad de tus correos electrónicos.

Si te estás iniciando con la implementación de DMARC, puedes confiar en EasyDMARC para que te ayuden con una transición sin inconvenientes en tu camino a la aplicación de DMARC en tus sistemas.