Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Spear phising: cuando un correo fraudulento va dirigido a una víctima concreta

Fecha de actualizacion 18/12/2024
Spear phising: cuando un correo fraudulento va dirigido a una víctima concreta

Los ataques de phishing están evolucionando hacia métodos cada vez más personalizados. ¿Alguna vez has recibido un correo electrónico cuya información se identificaba tanto contigo que parecía real? Presta atención a este artículo donde te explicamos más en detalle cómo operan los ciberdelincuentes para engañarte.

¿Qué es el spear phishing?

El spear phishing o phishing dirigido es un tipo de ciberataque que se caracteriza por ser altamente personalizado. A diferencia del método tradicional que utilizan los ciberdelincuentes, donde se envía de forma masiva un mensaje, el spear phishing se enfoca en individuos muy concretos. Los atacantes investigan a sus objetivos, utilizando su información personal para crear mensajes que parecen legítimos, engañando así a las víctimas para que revelen información personal o instalen un programa malicioso.

Los cibercriminales utilizan técnicas de ingeniería social para hacer que los correos electrónicos parezcan reales, aumentando su efectividad. Este tipo de ataques no solo busca robar datos personales, sino que también puede tener otros objetivos, como materializar estafas económicas, espionaje o el robo de información sensible.

¿Cómo se prepara este fraude?

Los ataques de spear phishing se planifican y ejecutan de la siguiente manera:

  1. Definición y selección de objetivos: los atacantes primero identifican a sus víctimas, centrándose en personas que puedan proporcionarles información confidencial o credenciales valiosas.
  2. Investigación de la víctima: a través de Internet, las filtraciones de datos y las redes sociales principalmente, se recopila información de la futura víctima. 
  3. Creación del mensaje personalizado: los atacantes utilizan la información recopilada para elaborar un mensaje que se ajusta al perfil de la víctima, aumentando las probabilidades de captar su atención y hacerlo parecer legítimo.

Estos correos suelen pedir datos urgentes o incluyen enlaces a sitios fraudulentos que imitan los reales. Al hacer clic, se podría revelar credenciales sensibles o por otro lado instalar malware en el dispositivo. Este malware puede ser usado para robar información o para integrar el dispositivo en una red de bots (botnet) para realizar ataques de otras características.

Es importante entender que el spear phishing requiere un esfuerzo significativo, por lo que los ciberdelincuentes se enfocan en objetivos de alto valor como pueden ser empleados con acceso a información confidencial, tales como directivos, personal de recursos humanos, o administradores de sistemas, quienes manejan datos sensibles o credenciales valiosas. También pueden ser objetivo de los ataques profesionales de sectores financieros, de salud o cualquier otro que almacene información crítica y pueda representar una ganancia considerable para los atacantes. Finalmente, cualquier usuario puede ser víctima de un ataque de estas características si el ciberdelincuente considera que su información puede tener valor o es candidato claro a caer en una estafa.

¿Cómo actúo en caso de ser víctima?

Si sospechas que has sido víctima de este tipo de ciberataque, debes actuar rápidamente para minimizar las consecuencias.

  1. Pasos inmediatos:
    Cambia tus contraseñas: si has proporcionado información sensible o sospechas que tus credenciales pueden haber sido comprometidas, cambia inmediatamente tus contraseñas, especialmente en cuentas bancarias, de correo electrónico y redes sociales.
    Notifica a las instituciones: informa a tu banco, proveedor de servicios en línea o cualquier otra entidad sobre el posible compromiso de tu cuenta. Muchas organizaciones pueden ofrecerte asistencia adicional, como el bloqueo temporal de cuentas o la supervisión de actividad sospechosa.
  2. Evaluación del daño causado:
    Revisa la información que haya podido filtrarse: nombre, email, DNI, dirección, etc.
    Revisa tus cuentas: no solamente las cuentas bancarias (movimientos, transferencias, etc.), sino todos los servicios en línea que hayan podido verse afectados: opciones de recuperación de la cuenta (email, teléfono), datos personales, opciones de privacidad, etc.
  3. Medidas a tomar:
    Denuncia la situación: si tras el engaño, se filtró información confidencial o datos de acceso a cuentas de usuario de cualquier servicio, denuncia el incidente a las autoridades.
    Consulta a un experto: en caso de que la información sea crítica, busca ayuda profesional para analizar el alcance del ataque y tomar medidas para prevenir futuros incidentes. No dudes en llamar al 017 de INCIBE para obtener consejos de expertos en ciberseguridad en función de la casuística concreta sufrida.

¿Cómo te puedes proteger de esta amenaza?

Las medidas tradicionales de ciberseguridad, como los antivirus o los cortafuegos, no siempre son suficientes para prevenir el spear phishing debido a que estos ataques están muy personalizados y se apoyan en técnicas de ingeniería social, por lo que en esta ocasión, el eslabón más débil de la cadena es la víctima, quien por engaño y manipulación, acaba realizando acciones que ponen en riesgo la información y seguridad del sistema o servicio. Por tanto, un simple error humano puede permitir que el ataque sea exitoso, lo que resalta la importancia de la concienciación.

Por otro lado, debes tener siempre en cuenta lo siguiente:

  • Verifica URLs y evita hacer clic directamente en los enlaces de correos electrónicos.
  • Mantén el software actualizado para evitar que se exploten posibles vulnerabilidades de tu dispositivo tras la descarga o ejecución de un fichero.
  • Utiliza contraseñas robustas y únicas para cada servicio online que utilices.
  • En caso de dudas, no accedas a las peticiones. Contrasta la información directamente con la persona o empresa que supuestamente te está contactando a través de otras vías.

De manera adicional:

  • Limita la información que compartes en línea: revisa la configuración de privacidad en tus redes sociales y comparte solo la información necesaria.
  • Desconfía de solicitudes inesperadas: verifica la autenticidad de mensajes o correos antes de responder. Más aún si supone facilitar datos personales, bancarios o cualquier otra información confidencial.
  • Activa la autenticación de dos factores, para una mayor protección de las cuentas.

Como se ha detallado a lo largo del contenido, el spear phishing es una amenaza cada vez más sofisticada que puede afectar a todos los usuarios de Internet. La personalización y el uso de ingeniería social lo convierten en un ataque difícil de detectar, lo que subraya la necesidad de estar siempre alerta. Implementar medidas tecnológicas y mantenerse informado son tareas esenciales. La combinación de estas acciones puede reducir significativamente el riesgo de caer en este tipo de engaños.

En caso de que tengas algún problema relacionado con esta temática o cualquier aspecto de la ciberseguridad, no dudes en ponerte en contacto con la Línea de Ayuda en Ciberseguridad de INCIBE. Puedes comunicarte de forma gratuita llamando al número 017, o a través de nuestras plataformas de mensajería instantánea, como WhatsApp (900 116 117) y Telegram (@INCIBE017).

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Etiquetas