“Spear-phishing, ¿qué lo diferencia de un phishing normal y cuáles son sus riesgos?”

Al mismo tiempo que nos vamos concienciando sobre cómo protegernos de todos los posibles ciberataques que podemos recibir, los ciberdelincuentes se van sofisticando cada vez más, de manera que son capaces de burlar nuestra seguridad y la de nuestros dispositivos.

Es ahí donde aparece el spear-phishing, una nueva modalidad de phishing personalizado que busca obtener nuestras credenciales y hacerse con nuestra información.

¿Qué es el spear-phishing?

Como sabes, los ciberdelincuentes tienen diversas vías para atacarnos: Email, mensaje de SMS, mensajes de voz, WhatsApp…

Sin embargo, han descubierto que pueden aumentar significativamente el éxito de sus ataques si los dirigen contra víctimas concretas. Algunos ejemplos de estos ataques dirigidos son el Fraude del CEO, whaling o el spear-phishing.

El spear-phishing es una nueva modalidad de phishing especializado y personalizado hacia cada víctima. Es decir, es una estafa recibida por correo electrónico con el objetivo de conseguir sus credenciales, que autoricen pagos fraudulentos o que se descarguen algún programa que les permita acceder a sus archivos. De esta forma, aumentan las probabilidades de que la víctima caiga en el engaño.

 ¿Qué diferencias hay entre un ataque de phishing y uno de spear-phishing?

1. Objetivo: Mientras que el phishing convencional va dirigido a una gran masa de víctimas aleatorias, el spear-phishing selecciona de forma específica al usuario al que va a ir dirigida la estafa.
2. Personalización: en los mensajes de phishing convencionales, los ciberatacantes se refieren a las víctimas con términos genéricos, como “Estimado usuario”, mientras que, en el spear-phishing, se incluye el nombre de la víctima o datos personales.
3. Contenido: al tratarse de una estafa dirigida, el cuerpo del correo contiene información personal sobre la víctima, con detalles específicos sobre sus gustos o actividades recientes.
4. Esfuerzo: los ciberatacantes dedican una mayor cantidad de tiempo a confeccionar los spear-phishing, debido a que requieren de una búsqueda previa de información sobre la víctima.
5. Efectividad: la tasa de éxito de estos ataques dirigidos aumenta significativamente debido a su similitud con mensajes enviados por fuentes legítimas y a su personalización.

Ahora que conocemos las diferencias que tiene con un ataque de phishing convencional, veamos los riesgos a los que podemos estar expuestos si caemos en este tipo de estafas:

• Robo de credenciales e información: si el mensaje contiene un enlace en el que se nos solicita que facilitemos nuestros datos, el ciberatacante podrá acceder a nuestras cuentas y a la información almacenada en ellas.
• Instalación de malware: las estafas de spear-phishing pueden contener un archivo adjunto que, una vez descargado, nos instale un malware en nuestro dispositivo capaz de cifrar nuestros archivos.
• Pérdidas económicas y de reputación: este tipo de estafa puede utilizarse para que la víctima realice una transferencia bancaria, resultando en pérdidas económicas que, de hacerse en un entorno corporativo, pueden dañar la reputación de la compañía.

Los ciberdelincuentes se encuentran en constante evolución, por ello debemos estar siempre alerta ante posibles estafas de las que podamos ser víctimas.