¿Qué es spear phishing?

Los ataques de spear phishing (literalmente “pesca con arpón”), al igual que los de phishing en general, son estafas en las que se intenta engañar al destinatario para que revele al atacante información confidencial, tales como credenciales de sus cuentas. También se pueden utilizar vínculos y archivos adjuntos para que el destinatario descargue de forma involuntaria malware que puede darle al atacante acceso al ordenador del usuario y a otra información delicada. El spear phishing se diferencia del phishing más genérico en que es de naturaleza dirigida a un objetivo determinado.

Por lo general, los mensajes de spear phishing se personalizan según la información pública que el atacante haya encontrado acerca del destinatario. Eso puede incluir desde temas relacionados con el campo de especialización, la función en la organización, los intereses, la información residencial pública y también fiscal del destinatario, así como toda información que los atacantes recopilen en las redes sociales. Esos detalles específicos logran que el mensaje parezca ser más legítimo y aumentan la probabilidad de que el destinatario haga clic en algún vínculo o que descargue los archivos adjuntos.

El spear phishing es un ciberataque mucho más orientado que el phishing. Los correos electrónicos se personalizan para la víctima potencial. Por ejemplo, el atacante puede identificarse con una causa, suplantar a una persona conocida del destinatario o usar otras técnicas de ingeniería social para ganarse la confianza de la víctima.

En el 2019, se reportó que un grupo de ciberatacantes vinculados con Corea del Norte llamado Thalium usó más de 50 dominios web en ataques de spear phishing. Los objetivos de Thalium comprendían empleados gubernamentales, grupos de expertos, empleados universitarios, miembros de organizaciones enfocadas en la paz mundial y en derechos humanos, así como personas que trabajan con temas de no proliferación nuclear. La mayoría de los objetivos estaban ubicados en Japón, Corea del Sur y los EE. UU.^[1] Los atacantes de Thalium se ganaban la confianza de sus objetivos apoyando a sus esfuerzos contra la proliferación de armas nucleares.

Un ejemplo de un ataque de spear phishing podría ser algo sencillo como: “Wade, debido a tu interés en las primicias de este año, te sugiero que visites Dominio Maléfico [sitio web falsificado o afectado], el cual le encantó a Bob. Visita la tienda digital”. Este ejemplo de spear phishing puede llegar a ser muy eficaz si la información pública de Wade indica que le encanta el vino y que a su amigo Bob también es entusiasta del vino, y el mensaje procede de una conexión de Facebook por medio de un mensaje de correo electrónico falsificado.

En el ejemplo anterior, el atacante personaliza el correo electrónico según los intereses y la personalidad de la víctima objetivo. Este tipo de personalización es lo que diferencia al spear phishing del phishing común. Esta diferencia también hace que el spear phishing sea más complicado de realizar para el atacante, pero también es altamente eficaz.

El spear phishing y el phishing común tienen similitudes, pero también diferencias. En ambos se engaña a los usuarios objetivo para convencerlos de que divulguen información delicada, pero el spear phishing requiere de mucho más esfuerzo por parte del atacante. El spear phishing requiere de investigación y de una comprensión del usuario objetivo para que los correos electrónicos contengan la cantidad de información necesaria como para que luzcan realmente como si proviniesen de un remitente legítimo.

Primero, hablemos un poco del phishing normal para identificar las diferencias. En general, las campañas de phishing no tienen un objetivo específico. Por ejemplo, el atacante podría crear un mensaje de correo electrónico que use el logotipo de PayPal y contenidos que luzcan como si los hubiese escrito un representante real de PayPal. El correo electrónico típicamente no contiene el nombre del usuario, y el atacante ni siquiera sabe si el destinatario tiene una cuenta de PayPal. El mensaje podría simplemente pedirle al usuario objetivo que responda o haga clic en una página web malintencionada.

Un atacante podría enviar miles de correos electrónicos de phishing a una lista de contactos de correo electrónico. En algunos ataques, el nombre del dominio utilizado para enviar mensajes malintencionados luce similar al oficial. Por ejemplo, un atacante podría registrar el dominio “payypal.com” y usarlo para que el remitente luzca oficial. Otra estrategia de phishing se basa en el spoofing de correo electrónico. En el spoofing se usan servidores abiertos de correo electrónico para manipular en dominio del remitente hacia “paypal.com”, a pesar de que el mensaje no proviene realmente de un empleado de PayPal. DMARC (acrónimo de “Domain-based Message Authentication, Reporting, & Conformance”; en español: “Autenticación de Mensajes Basada en Dominios, Informes y Conformidad”) es una estrategia de ciberseguridad para correo electrónico más novedosa, en la que se detectan y bloquean mensajes de correo electrónico suplantados, de modo que el spoofing ya no es una amenaza tan grave como en el pasado, siempre que el servidor de correo electrónico del destinatario use DMARC, claro.

Ya con un mensaje redactado y una lista de destinatarios, los atacantes pueden enviar sus mensajes malintencionados. Los atacantes saben que algunos mensajes simplemente no entrarán. Los filtros de ciberseguridad bloquean a otras personas en el servidor de correo electrónico del destinatario, y algunos mensajes se borran automáticamente cuando ciertos usuarios específicos se dan cuenta de que el mensaje es de phishing. Sin embargo, hay siempre un grupo de usuarios que reciben el correo electrónico de phishing y envían al atacante la información delicada que les piden. Los objetivos específicos no necesariamente serán para un correo electrónico masivo orientado a miles de usuarios, porque los atacantes saben que muchos de los destinatarios se convertirán en víctimas.

Si bien el phishing estándar es eficaz para pagos más pequeños, el spear phishing precisa de un enfoque mejor orientado para obtener mayores beneficios. Normalmente se orientan a usuarios de alto nivel de privilegios dentro de una organización, como contadores, empleados de recursos humanos y miembros de la directiva. Estos ataques requieren de mucha más investigación hacia la organización objetivo para comprender qué mensajes funcionan mejor. El spear phishing también se puede usar en combinación con la ingeniería social para ser más eficaz.

El spear phishing emplea mensajes que son mucho más convincentes que los de los ataques normales. Por ejemplo, un atacante que afirma ser el director general (CEO) podría engañar a los ejecutivos de finanzas para que envíen dinero a su cuenta bancaria. Se podrían usar facturas falsas para lograr que los empleados de cuentas por pagar envíen dinero al atacante. Para robar credenciales, un atacante podría crear mensajes que parezcan provenir del departamento de TI, en los que se solicita información. Para engañar a los usuarios, los mensajes deben lucir como si proviniesen de una persona real que el destinatario conoce, con lo que es muy posible que se use la ingeniería social.

Como el spear phishing es mucho más orientado, menos usuarios reciben mensajes. Un atacante investiga la organización y crea mensajes para los pocos usuarios de alto privilegio que han sido seleccionados como objetivos. Los usuarios elegidos suelen provenir de los organigramas presentes en la página de la organización o haciendo investigación en LinkedIn.

Los atacantes que emplean estrategias de spear phishing podrían engañar a la organización para que les enviasen millones de dólares a una cuenta bancaria en otro país, o también credenciales clave de la red. Las transferencias bancarias a una cuenta controlada por el atacante son devastadoras, pero las credenciales de red robadas podrían ser aún más dañinas. La autenticación de dos factores y los sistemas de detección de intrusiones ayudan a evitar daños mayores después de un ataque de phishing exitoso, pero un actor de amenaza suele servirse de otros métodos para robar datos. Las inyecciones de malware en la red o la exfiltración de datos usando las credenciales robadas son otras opciones posibles.

Con las credenciales robadas, un atacante puede mantener una presencia en la red de la víctima durante meses antes de que se le pueda detectar. Durante este período, el atacante puede exfiltrar terabytes de datos sin que nadie pueda detectarlo. Una vez detectado, la organización debe contener la amenaza y determinar la vulnerabilidad que se aprovechó para el ataque.

Un ataque de spear phishing se orienta a personas específicas, pero el término “whaling” se refiere a cuando un atacante se enfoca en uno o más ejecutivos de nivel directivo. El término hace referencia a los permisos de red de alto nivel de privilegio que tiene un ejecutivo, así como su capacidad de acceso a cuentas financieras. Los ejecutivos tienen una mucho mayor probabilidad de resultar víctimas de un ataque de spear phishing, así que es un “emprendimiento” muy lucrativo para un actor de amenaza que haya hecho una investigación previa concienzuda.

Tanto empresas grandes como pequeñas pueden ser objetivos para actores de amenazas y para spear phishing. Las estrategias de whaling también implican a la ingeniería social en grandes ataques. Por ejemplo, el atacante podría trabajar con un socio que contacta al ejecutivo para que la amenaza sea más creíble para el usuario objetivo. Empresas como Home Depot, Anthem, Target y JP Morgan han sufrido ataques de whaling y de spear phishing. Epsilon perdió 4.000 millones USD a causa de un ataque de spear phishing orientado a proveedores de correo electrónico. El daño fue tan severo, que el coste combinado de recuperación de los daños y las demandas legales lo convirtieron en uno de los ciberataques más caros hasta la fecha.

• El remitente del correo electrónico afirma ser un cliente y se queja acerca de una compra reciente. El atacante vincula al usuario con una página web que luce como la página oficial, en donde a un empleado objetivo se le solicita autenticación.
• Un mensaje de texto o correo electrónico le notifica de que su cuenta bancaria fue comprometida y le vincula a una página en donde se le solicita autenticación.
• El remitente del correo electrónico afirma ser un proveedor legítimo, que le indica que la cuenta está a punto de vencer y que el destinatario debe hacer clic en un enlace para autenticar.

• El recibir solicitudes para donar o enviar dinero a un grupo específico suele indicar que usted ha sido objetivo del spear phishing.
• Valide siempre sus facturas antes de pagarlas. Los atacantes usan a proveedores reales con proveedores falsos para engañar a las organizaciones.

Desde el 2020, los casos reportados de phishing y spear phishing se han incrementado dramáticamente. El Data Breach investigations Report (DBIR) de Verizon (en español: “Informe de investigaciones acerca de violaciones de datos”) indica que el 74% de las organizaciones en los Estados Unidos sufrieron al menos un ataque de phishing exitoso. El 96% de estos ataques se realizaron por correo electrónico, lo que lo convierte en el vector más común para el spear phishing.

El spear phishing tiene una orientación mucho más específica, así que los grupos activos de atacantes se basan en esto para el robo de credenciales, ransomware y otros tipos de beneficios financieros. Estos grupos usaron el spear phishing el 65% del tiempo. Otros informes sugieren que el spear phishing se está volviendo cada vez más popular que el phishing estándar. Los informes de Proofpoint indican que el 64% de los profesionales de seguridad y el 88% de las organizaciones han sufrido sofisticados ataques de spear phishing. Muchos de estos ataques pretendían comprometer cuentas, inyectar malware (p. ej. ransomware) y cometer robo de datos.

[1] Tom Burt, Microsoft. Microsoft emprende acciones legales contra el cuarto grupo de cibercrimen de una nación-estado
[2] Nuevos métodos para resolver el phishing, el compromiso de correos electrónicos empresariales, secuestros de cuentas y otras amenazas de seguridad. Libro blanco de Osterman Research