El phishing genérico hace referencia al envío generalizado e indiscriminado de correos electrónicos a una lista de direcciones, sin un destinatario concreto. Por contra, el phishing dirigido (en inglés, spear phishing) es un tipo de ataque muy específico, pensado y personalizado para un individuo, grupo u organización en concreto, a los que se quiere atacar de manera focalizada. Aunque el objetivo principal del ataque es robar datos para fines maliciosos, los ciberdelincuentes también pueden tratar de instalar malware en el sistema de la víctima.
En general, el proceso consta de las siguientes etapas: la víctima recibe un correo electrónico, aparentemente de un remitente de su confianza, su redacción es correcta y suele contener información personalizada de la víctima, lo que los hace aún más creíbles. En su contenido, el mensaje puede incluir varias clases de “trampas”, desde enlaces a sitios web falsos hasta archivos adjuntos infectados con algún tipo de malware. A veces no hay adjuntos ni enlaces maliciosos, pero el correo incluye instrucciones para que el destinatario las siga; esto los hace aún más difíciles de detectar con los filtros de seguridad de correo electrónico.
Es importante tener en cuenta que este tipo de phishing requiere una investigación previa y cierto conocimiento de la víctima elegida como objetivo. En muchas ocasiones, estos ataques son lanzados por delincuentes y activistas con el fin de revender datos confidenciales a gobiernos y empresas privadas. Los cibercriminales envían los mensajes con enfoques individualizados, con lo cual la víctima los puede considerar legítimos. Como resultado, incluso objetivos de alto nivel dentro de las organizaciones, como altos ejecutivos, pueden leer dichos correos pensando que son verídicos y seguros. Basta un mínimo descuido, solo un clic o abrir un archivo, para que los cibercriminales roben la información que necesitan para atacar el sistema, o consigan que la víctima realice una transferencia bancaria saltándose el procedimiento habitual.
Datos recientes sitúan el phishing dirigido como una de las principales amenazas para personas, empresas y organizaciones de todo el mundo.
Para protegerse de este phishing “a medida”, como ocurre con la mayoría de los ataques de ingeniería social, no bastan las medidas de seguridad tradicionales. Son ataques muy pensados, bien elaborados y personalizados de forma muy inteligente, casi indistinguibles de un correo legítimo y se están volviendo mucho más difíciles de detectar. Por tanto, debemos aplicar medidas de precaución adicionales:
- Formación: evitar que nos engañen con un ataque de phishing empieza por una formación eficaz, entendiendo qué es el phishing dirigido, las pistas habituales a observar en los correos y las medidas a seguir.
- Concienciación en seguridad y simulación de phishing: igual que ocurre en los simulacros de incendio, el entrenamiento con simulaciones de phishing dirigido permite poner a prueba el comportamiento real de los usuarios y conocer el verdadero nivel de riesgo en la organización. A su vez, la experiencia con las simulaciones permite identificar y contrarrestar aquellos hábitos de los usuarios que puedan considerarse irregulares. Hoy en día, para cualquier empresa u organización resulta esencial la concienciación y capacitación de los empleados en buenas prácticas de ciberseguridad y seguridad de la información.
- Concienciación continuada: incluir el phishing dirigido en las comunicaciones o recordatorios periódicos sobre ciberseguridad dentro de la organización.
- Política de accesos: limitar el acceso a información sensible a través de los permisos adecuados para cada usuario.
- Software actualizado: asegurar que todo el sistema se actualiza periódicamente, tanto sistemas operativos como aplicaciones.
- Instalación de antivirus.
También te interesa: phishing, ingeniería social
