Tips de seguridad
spear phishing

Spear phishing: un ataque a tu medida

A veces, el phishing tiene objetivos muy concretos; los cibercriminales quieren atacar a una persona, grupo u organización específicos mediante correo electrónico. A este tipo de ataque, que va un paso más allá del phishing clásico, se le denomina spear phishing o phishing dirigido. Su objetivo eres tú.

Tras un estudio previo de la víctima, que marca la diferencia con el phishing tradicional, los atacantes suplantan a una fuente de confianza para obtener sus credenciales o infectar su equipo con malware. Para ello buscarán datos e información personal y profesional real, como hábitos diarios, gustos, planes… detalles minuciosos para tener más credibilidad. Así lograron engañar a una directiva de la Empresa Municipal de Transportes de Valencia (EMT) y robar 4 millones de euros, en uno de los mayores ataques tipo Fraude del CEO ocurridos en España.

¿Podría pasarte a ti? ¡Claro que sí! El Fraude del CEO es un ejemplo típico de spear phishing. En vez de enviar el mismo correo a millones de usuarios, pidiéndoles que hagan clic en un enlace para hacerse con sus datos, el fraude del CEO está personalizado, hecho a tu medida: saben que tu jefe ha salido de viaje y no está en la oficina.

Aprovechan esa información para enviarte un email en su nombre, pidiéndote algo: pagar una factura urgente, hacer una transferencia, enviarle un informe confidencial… Todo muy urgente, solo tú puedes ayudarle, te pide ese favor. ¿Cómo negarte? ¿Se te ocurriría comprobar si es quien dice ser? Así funciona el fraude del CEO, con un superior impostor que te engaña para que hagas lo que te pide. Aquí puedes ver varios ejemplos.

El spear phishing va a por ti. Sigue estos consejos para evitar que te atrape:

Revisa el remitente del correo electrónico hasta el último detalle: ¿Es manoloo@mmoda.es, de la empresa Mi moda, quien te envía el mensaje, o el remitente debería ser manolo@mimoda.es? Fíjate en todos los campos del remitente (nombre, cargo si aparece, dirección de correo). Si hay pequeños cambios de orden en las letras, o bien un nombre o un dominio extraño en la dirección, elimínalo inmediatamente y no hagas nada de lo que pide.

No confíes en un mensaje, carta o llamada telefónica solo porque se dirijan a ti por tu nombre y apellidos o incluyan detalles personales. Hoy en día, que lo sepan todo de ti es motivo para sospechar, no para confiar.

No abras correos de desconocidos o con asuntos que no estés esperando: elimínalos. Recuerda que son el principal método de comunicación del phishing, aunque no el único, tal como explica esta guía.

Revisa los enlaces incluidos en el mensaje: verifica que www.bankia.es conduce a la web oficial de la entidad. Si ves un enlace como www.bankiä.es, sospecha, no conduce a la web auténtica. Si desconfías de una página web, analiza así su URL antes de acceder a ella o hacer clic.

Consulta con tus superiores: Si recibes un correo de un compañero o de un directivo pidiéndote que pagues una factura o realices una transferencia de forma urgente, detente y pregunta a tus superiores. Verifica si el nombre de la empresa, sus datos y la petición de pago/transferencia son correctos. “Perder” un poco de tiempo puede evitarte muchos problemas. No hagas caso de las peticiones urgentes, quieren que actúes con prisa para que no tengas tiempo de reflexionar. Antes de contestar o pagar, calma y precaución. La urgencia es una de las señales del phishing.

Extrema la precaución ante enlaces o archivos adjuntos: si dudas, mejor no hacer clic ni descargarlos.

A más vulnerabilidad, más cuidado: departamentos como Recursos Humanos o Administración están especialmente expuestos a ataques, debido a la gran cantidad de información confidencial que gestionan. Si trabajas en áreas críticas debes estar especialmente alerta.

¿Redacción extraña? Revisa las faltas de ortografía y la gramática, ya que pueden delatar un posible phishing. A veces estos ataques están traducidos automáticamente al español y hay pequeños errores o frases extrañas que los delatan, aunque no siempre es así; los malos aprenden rápido y la redacción va mejorando con las nuevas herramientas y la inteligencia artificial.

Infórmate sobre ataques: saber cómo pueden estafar a tu empresa es una buena manera de detectarlos a tiempo. Busca ejemplos de casos en Internet.

Todo. Siempre. Actualizado: con la prudencia humana no basta, las medidas técnicas son esenciales para evitar vulnerabilidades: ten actualizado el antivirus, navegador, extensiones, sistema operativo y todos los programas y aplicaciones que utilices. Revisa estos consejos básicos para la seguridad de tu equipo.

El correo corporativo es únicamente corporativo: no uses tus credenciales profesionales para cuentas privadas, por ejemplo, de Amazon, eBay, LinkedIn u otros servicios de uso personal. Limítate a usar esos datos en el ámbito profesional.

Navega con seguridad: el “candado” que aparece en la barra del navegador, te evitará conexiones fraudulentas. Aunque hay sitios maliciosos que pueden obtener este certificado de seguridad, saber diferenciar con este simple icono o eligiendo direcciones que empiecen por HTTPS te evitará caer en algunas trampas.

Usa contraseñas seguras, de al menos 12 caracteres, que combinen números y letras formando frases o reglas nemotécnicas. No uses ninguna palabra que pueda ser encontrada en un diccionario ni conceptos que tengan relación contigo, como nombres de familiares, fechas significativas, nombres de mascotas… Utiliza contraseñas diferentes para cada cuenta o servicio, no las compartas, cámbialas cada cierto tiempo y ten en cuenta estos consejos.

Desactiva otras funciones: desactivar la vista HTML o la vista previa puede evitar la ejecución de posible código malicioso entre el HTML. El uso de la vista previa comporta los mismos riesgos que abrir el correo malicioso.

• Si recibes una llamada de teléfono sospechosa en la que te piden información, no reveles ningún dato, aunque no te parezca confidencial. Cuelga el teléfono y verifica la identidad de la persona que te llama. Este tipo de estafa se llama vishing y un caso habitual es la falsa llamada de Microsoft.

Sé prudente con la información que publicas en redes sociales. Nunca compartas datos sensibles como tu correo profesional o personal, la dirección de tu casa, número de teléfono, fechas de viajes o ausencias… cuanta más información publiques en las redes sociales, más pistas les das a los atacantes.

concienciaT más
Microcurso de seguridad en el correo electrónico
Guía de seguridad en el teletrabajo