Los ataques de spear phishing (literalmente “pesca con arpón”), al igual que los de phishing en general, son estafas en las que se intenta engañar al destinatario para que revele al atacante información confidencial, tales como credenciales de sus cuentas. También se pueden utilizar vínculos y archivos adjuntos para que el destinatario descargue de forma involuntaria malware que puede darle al atacante acceso al ordenador del usuario y a otra información delicada. El spear phishing se diferencia del phishing más genérico en que es de naturaleza dirigida a un objetivo determinado.

Por lo general, los mensajes de spear phishing se personalizan según la información pública que el atacante haya encontrado acerca del destinatario. Eso puede incluir desde temas relacionados con el campo de especialización, la función en la organización, los intereses, la información residencial pública y también fiscal del destinatario, así como toda información que los atacantes recopilen en las redes sociales. Esos detalles específicos logran que el mensaje parezca ser más legítimo y aumentan la probabilidad de que el destinatario haga clic en algún vínculo o que descargue los archivos adjuntos.

Cómo funciona el spear phishing

El spear phishing es un ciberataque mucho más orientado que el phishing. Los correos electrónicos se personalizan para la víctima potencial. Por ejemplo, el atacante puede identificarse con una causa, suplantar a una persona conocida del destinatario o usar otras técnicas de ingeniería social para ganarse la confianza de la víctima.

En el 2019, se reportó que un grupo de ciberatacantes vinculados con Corea del Norte llamado Thalium usó más de 50 dominios web en ataques de spear phishing. Los objetivos de Thalium comprendían empleados gubernamentales, grupos de expertos, empleados universitarios, miembros de organizaciones enfocadas en la paz mundial y en derechos humanos, así como personas que trabajan con temas de no proliferación nuclear. La mayoría de los objetivos estaban ubicados en Japón, Corea del Sur y los EE. UU.[1] Los atacantes de Thalium se ganaban la confianza de sus objetivos apoyando a sus esfuerzos contra la proliferación de armas nucleares.

Un ejemplo de un ataque de spear phishing podría ser algo sencillo como: “Wade, debido a tu interés en las primicias de este año, te sugiero que visites Dominio Maléfico [sitio web falsificado o afectado], el cual le encantó a Bob. Visita la tienda digital”. Este ejemplo de spear phishing puede llegar a ser muy eficaz si la información pública de Wade indica que le encanta el vino y que a su amigo Bob también es entusiasta del vino, y el mensaje procede de una conexión de Facebook por medio de un mensaje de correo electrónico falsificado.

En el ejemplo anterior, el atacante personaliza el correo electrónico según los intereses y la personalidad de la víctima objetivo. Este tipo de personalización es lo que diferencia al spear phishing del phishing común. Esta diferencia también hace que el spear phishing sea más complicado de realizar para el atacante, pero también es altamente eficaz.

Spear phishing vs. phishing

El spear phishing y el phishing común tienen similitudes, pero también diferencias. En ambos se engaña a los usuarios objetivo para convencerlos de que divulguen información delicada, pero el spear phishing requiere de mucho más esfuerzo por parte del atacante. El spear phishing requiere de investigación y de una comprensión del usuario objetivo para que los correos electrónicos contengan la cantidad de información necesaria como para que luzcan realmente como si proviniesen de un remitente legítimo.

Primero, hablemos un poco del phishing normal para identificar las diferencias. En general, las campañas de phishing no tienen un objetivo específico. Por ejemplo, el atacante podría crear un mensaje de correo electrónico que use el logotipo de PayPal y contenidos que luzcan como si los hubiese escrito un representante real de PayPal. El correo electrónico típicamente no contiene el nombre del usuario, y el atacante ni siquiera sabe si el destinatario tiene una cuenta de PayPal. El mensaje podría simplemente pedirle al usuario objetivo que responda o haga clic en una página web malintencionada.

Un atacante podría enviar miles de correos electrónicos de phishing a una lista de contactos de correo electrónico. En algunos ataques, el nombre del dominio utilizado para enviar mensajes malintencionados luce similar al oficial. Por ejemplo, un atacante podría registrar el dominio “payypal.com” y usarlo para que el remitente luzca oficial. Otra estrategia de phishing se basa en el spoofing de correo electrónico. En el spoofing se usan servidores abiertos de correo electrónico para manipular en dominio del remitente hacia “paypal.com”, a pesar de que el mensaje no proviene realmente de un empleado de PayPal. DMARC (acrónimo de “Domain-based Message Authentication, Reporting, & Conformance”; en español: “Autenticación de Mensajes Basada en Dominios, Informes y Conformidad”) es una estrategia de ciberseguridad para correo electrónico más novedosa, en la que se detectan y bloquean mensajes de correo electrónico suplantados, de modo que el spoofing ya no es una amenaza tan grave como en el pasado, siempre que el servidor de correo electrónico del destinatario use DMARC, claro.

Ya con un mensaje redactado y una lista de destinatarios, los atacantes pueden enviar sus mensajes malintencionados. Los atacantes saben que algunos mensajes simplemente no entrarán. Los filtros de ciberseguridad bloquean a otras personas en el servidor de correo electrónico del destinatario, y algunos mensajes se borran automáticamente cuando ciertos usuarios específicos se dan cuenta de que el mensaje es de phishing. Sin embargo, hay siempre un grupo de usuarios que reciben el correo electrónico de phishing y envían al atacante la información delicada que les piden. Los objetivos específicos no necesariamente serán para un correo electrónico masivo orientado a miles de usuarios, porque los atacantes saben que muchos de los destinatarios se convertirán en víctimas.

Si bien el phishing estándar es eficaz para pagos más pequeños, el spear phishing precisa de un enfoque mejor orientado para obtener mayores beneficios. Normalmente se orientan a usuarios de alto nivel de privilegios dentro de una organización, como contadores, empleados de recursos humanos y miembros de la directiva. Estos ataques requieren de mucha más investigación hacia la organización objetivo para comprender qué mensajes funcionan mejor. El spear phishing también se puede usar en combinación con la ingeniería social para ser más eficaz.

El spear phishing emplea mensajes que son mucho más convincentes que los de los ataques normales. Por ejemplo, un atacante que afirma ser el director general (CEO) podría engañar a los ejecutivos de finanzas para que envíen dinero a su cuenta bancaria. Se podrían usar facturas falsas para lograr que los empleados de cuentas por pagar envíen dinero al atacante. Para robar credenciales, un atacante podría crear mensajes que parezcan provenir del departamento de TI, en los que se solicita información. Para engañar a los usuarios, los mensajes deben lucir como si proviniesen de una persona real que el destinatario conoce, con lo que es muy posible que se use la ingeniería social.

Como el spear phishing es mucho más orientado, menos usuarios reciben mensajes. Un atacante investiga la organización y crea mensajes para los pocos usuarios de alto privilegio que han sido seleccionados como objetivos. Los usuarios elegidos suelen provenir de los organigramas presentes en la página de la organización o haciendo investigación en LinkedIn.

Los atacantes que emplean estrategias de spear phishing podrían engañar a la organización para que les enviasen millones de dólares a una cuenta bancaria en otro país, o también credenciales clave de la red. Las transferencias bancarias a una cuenta controlada por el atacante son devastadoras, pero las credenciales de red robadas podrían ser aún más dañinas. La autenticación de dos factores y los sistemas de detección de intrusiones ayudan a evitar daños mayores después de un ataque de phishing exitoso, pero un actor de amenaza suele servirse de otros métodos para robar datos. Las inyecciones de malware en la red o la exfiltración de datos usando las credenciales robadas son otras opciones posibles.

Con las credenciales robadas, un atacante puede mantener una presencia en la red de la víctima durante meses antes de que se le pueda detectar. Durante este período, el atacante puede exfiltrar terabytes de datos sin que nadie pueda detectarlo. Una vez detectado, la organización debe contener la amenaza y determinar la vulnerabilidad que se aprovechó para el ataque.

Spear phishing y whaling

Un ataque de spear phishing se orienta a personas específicas, pero el término “whaling” se refiere a cuando un atacante se enfoca en uno o más ejecutivos de nivel directivo. El término hace referencia a los permisos de red de alto nivel de privilegio que tiene un ejecutivo, así como su capacidad de acceso a cuentas financieras. Los ejecutivos tienen una mucho mayor probabilidad de resultar víctimas de un ataque de spear phishing, así que es un “emprendimiento” muy lucrativo para un actor de amenaza que haya hecho una investigación previa concienzuda.

Tanto empresas grandes como pequeñas pueden ser objetivos para actores de amenazas y para spear phishing. Las estrategias de whaling también implican a la ingeniería social en grandes ataques. Por ejemplo, el atacante podría trabajar con un socio que contacta al ejecutivo para que la amenaza sea más creíble para el usuario objetivo. Empresas como Home Depot, Anthem, Target y JP Morgan han sufrido ataques de whaling y de spear phishing. Epsilon perdió 4.000 millones USD a causa de un ataque de spear phishing orientado a proveedores de correo electrónico. El daño fue tan severo, que el coste combinado de recuperación de los daños y las demandas legales lo convirtieron en uno de los ciberataques más caros hasta la fecha.

Ejemplos de spear phishing

Usar ejemplos de ataques de spear phishing le ayudará a entrenar a los usuarios y a identificarlos cuando su organización sea el objetivo. No asuma que su organización no será un objetivo por el mero hecho de ser muy pequeña. Los atacantes saben que las pequeñas empresas tienen menos recursos de ciberseguridad que las grandes, así que las pequeñas empresas también son objetivos deseables. Una empresa de cualquier tamaño puede ser objeto de ataques de whaling y spear phishing.

Los actores de amenazas suelen usar los nombres de empresas bien conocidas para aumentar su probabilidad de éxito y brindarles a los usuarios objetivo un sentido de confianza. PayPal, Amazon, Google y Microsoft son cuatro marcas muy grandes y conocidas que se emplean en ataques de spear phishing. Estas marcas les brindan a los usuarios una sensación de confianza y tienen millones de clientes a los cuales se les puede engañar para que hagan clic en un correo electrónico.

Otro ejemplo de spear phishing emplea a Google y a Microsoft para convencer a los usuarios de que envíen dinero a la cuenta bancaria de un atacante. El correo electrónico afirma que el usuario ha ganado dinero con Google o con Microsoft, y que para recibirlo debe enviar una pequeña cantidad de dinero para cubrir los costes postales. Si bien Gmail es bueno filtrando este tipo de mensajes, los usuarios los encuentran en la bandeja de entrada de correo no deseado y los responden. Estos mensajes nunca deberían llegarle al destinatario previsto en un entorno empresarial y deberían ponerse en cuarentena en lugar de llegar a una bandeja de entrada de correo no deseado.

Ejemplos de estrategias de spear phishing:

  • El remitente del correo electrónico afirma ser un cliente y se queja acerca de una compra reciente. El atacante vincula al usuario con una página web que luce como la página oficial, en donde a un empleado objetivo se le solicita autenticación.
  • Un mensaje de texto o correo electrónico le notifica de que su cuenta bancaria fue comprometida y le vincula a una página en donde se le solicita autenticación.
  • El remitente del correo electrónico afirma ser un proveedor legítimo, que le indica que la cuenta está a punto de vencer y que el destinatario debe hacer clic en un enlace para autenticar.
  • El recibir solicitudes para donar o enviar dinero a un grupo específico suele indicar que usted ha sido objetivo del spear phishing.
  • Valide siempre sus facturas antes de pagarlas. Los atacantes usan a proveedores reales con proveedores falsos para engañar a las organizaciones.

Estadísticas del spear phishing

Desde el 2020, los casos reportados de phishing y spear phishing se han incrementado dramáticamente. El Data Breach investigations Report (DBIR) de Verizon (en español: “Informe de investigaciones acerca de violaciones de datos”) indica que el 74% de las organizaciones en los Estados Unidos sufrieron al menos un ataque de phishing exitoso. El 96% de estos ataques se realizaron por correo electrónico, lo que lo convierte en el vector más común para el spear phishing.

El spear phishing tiene una orientación mucho más específica, así que los grupos activos de atacantes se basan en esto para el robo de credenciales, ransomware y otros tipos de beneficios financieros. Estos grupos usaron el spear phishing el 65% del tiempo. Otros informes sugieren que el spear phishing se está volviendo cada vez más popular que el phishing estándar. Los informes de Proofpoint indican que el 64% de los profesionales de seguridad y el 88% de las organizaciones han sufrido sofisticados ataques de spear phishing. Muchos de estos ataques pretendían comprometer cuentas, inyectar malware (p. ej. ransomware) y cometer robo de datos.

¿Cómo puedo protegerme contra el spear phishing?

Busque soluciones de protección de correo electrónico que usan análisis para detectar correos electrónicos sospechosos. El análisis dinámico de malware puede analizar las páginas web de destino en busca de comportamientos malintencionados para simular un sistema de usuario real y así contrarrestar las técnicas de evasión del malware, haciendo que este se delate a sí mismo en un entorno de pruebas. El uso de entornos de prueba al momento de la entrega de correos electrónicos sospechosos y cuando los usuarios hacen clic en una URL tiene una mayor probabilidad resultar en un mayor nivel de detección de estas amenazas altamente orientadas.

La capacitación para conciencia de seguridad juega un papel igual de crítico en la defensa anti spear phishing. La mayoría de los responsables de seguridad encuestados por Osterman Research apoyan la implementación de algún tipo de formación para la conciencia de seguridad y soluciones basadas en tecnologías, aunque el soporte varía según el tipo específico de amenaza. En el spear phishing, el 37% de los encuestados indicaron que la solución se enfoca principalmente en la capacitación, pero que las mejoras en la tecnología son muy útiles, mientras que el 44% afirmó que la capacitación y los procesos son igual de importantes.[2]

Sin importar cuál sea la mezcla, lo que es realmente importante es el adoptar un enfoque de seguridad anti spear phishing centrado en las personas. Los atacantes no ven al mundo en términos de un diagrama de red. Implemente una solución que le brinde visibilidad hacia quién está siendo atacado, cómo se está realizando este ataque y si han hecho clic. Considere el riesgo individual que representa cada usuario, incluyendo cómo se les identifica, a qué datos tienen acceso y si tienden a caer presa de ataques.

Capacite a los usuarios para que identifiquen y reporten correos electrónicos malintencionados. La capacitación constante y los ataques de phishing simulados pueden detener muchos ataques y ayudar a identificar a los individuos más vulnerables. Las mejores simulaciones imitan a las técnicas de ataque del mundo real. Busque soluciones que se integren en las tendencias actuales y en la inteligencia de amenazas más reciente.

A la vez, asuma que los usuarios eventualmente harán clic en algunas amenazas. Los atacantes siempre encuentran nuevas maneras de aprovecharse de la naturaleza humana. Por lo tanto, es necesario encontrar una solución que identifique y bloquee las amenazas de correo electrónico entrante orientado a los empleados, antes de que este llegue a la bandeja de entrada. Y así detener a las amenazas externas que usen su dominio para identificar a los clientes y socios en ataques de spear phishing.

Algunas otras maneras de protección anti spear phishing son:

  • Para administradores, establecer reglas de DMARC en el servidor de correo electrónico para evitar que los mensajes de phishing logren llegar a los destinatarios deseados.
  • Cualquier mensaje en el que se soliciten transacciones financieras debe ser verificado, incluso si el remitente luce como un empleado o proveedor legítimo.
  • No haga clic en enlaces presentes en mensajes de correo electrónico. En lugar de eso, escriba el dominio en el navegador para comprobar cuál es la página web oficial.
  • Sospeche de cualquier mensaje que afirme que es urgente obtener una respuesta o realizar una transacción financiera para mantener activa una cuenta.
  • Capacite a sus empleados para que puedan identificar las señales de un ataque de phishing y notificar a los administradores cuando se reciba cualquier mensaje sospechoso.
  • Incluso después de una llamada telefónica, asegúrese de que un mensaje proviene de un remitente legítimo. La ingeniería social se suele emplear en los ataques de whaling y de spear phishing.
  • Capacite a los usuarios para que nunca compartan sus credenciales en llamadas telefónicas. Los administradores de redes nunca deben pedirle las contraseñas a ningún empleado dentro de la organización.


 

[1] Tom Burt, Microsoft. Microsoft emprende acciones legales contra el cuarto grupo de cibercrimen de una nación-estado
[2] Nuevos métodos para resolver el phishing, el compromiso de correos electrónicos empresariales, secuestros de cuentas y otras amenazas de seguridad. Libro blanco de Osterman Research

¿Qué es el smishing?

El smishing o fraude por mensaje de texto, es un variante del phishing en la que un atacante usa un atractivo mensaje de SMS para convencer al destinatario de que haga clic en un enlace, que le envía al atacante información privada o descarga programas malintencionados a un teléfono móvil o smartphone.

¿Qué es la ingeniería social?

El eslabón más débil en las estrategias de ciberseguridad siempre somos los seres humanos, y la ingeniería social se aprovecha de la incapacidad de un usuario objetivo de detectar un ataque.

Ebook: Más que formación de concienciación

La mayoría de los líderes de ciberseguridad saben que las personas conforman la mayor superficie de ataque dinámica de sus organizaciones. La mayoría de los programas de formación carecen de capacidad de permanencia y no estimulan cambios de comportamiento duraderos.