Nos referimos cómo "Spear-Phishing" a la técnica utilizada para robar información sensible de un objetivo seleccionado en búsqueda de credenciales, contraseñas o datos financieros de una víctima en especifico.

Usualmente, esto es logrado mediante la adquisición de datos personales acerca de la víctima, como sus amigos, ciudad origen, empleador, sitios que suele frecuentar, compras recientes en línea, entre otros.

De esta forma, un atacante puede tomar la identidad de un amigo o entidad confiable para adquirir la información, usualmente vía correo electrónico o en sistemas de mensajería en línea.

Siendo una de las formas más exitosas del robo de información confidencial en Internet, acumula el 91% de los ataques según Digital Guardian.

Comparación con "Phishing"

Aunque se suele confundir "Spear-Phishing" con la técnica tradicional de "Phishing" por su similitud en adquirir información confidencial, "Phishing" es utilizado de una manera más amplia donde se intenta engañar a múltiples víctimas para extraer contraseñas, tarjetas de crédito, entre otros, por medio de correos electrónicos, llamadas telefónicas e incluso mensajes de texto enviados de forma masiva a diferentes objetivos. Al ser un ataque masivo y más genérico no tiene ningún tipo de personalización específica, por lo que sus probabilidades de éxito suelen ser menores.

En cambio, "Spear-Phishing" requiere más preparación y tiempo, donde los atacantes tratan de obtener toda la información posible de una victima en concreto, logrando que sus correos o mensajes se vean auténticos y así aumentar el éxito del ataque.

"Spear-Phishing" considera toda la información que un objetivo ha publicado en línea, especialmente los perfiles en las redes sociales, donde se puede encontrar detalles como correo electrónico, lista de amigos, posición geográfica y publicaciones de alguna compra reciente.

Soló con esta información, un atacante podría actuar como un amigo o familiar, y enviar un convincente pero fraudulento mensaje a su objetivo.

¿Cómo proteger mi organización?

La principal línea de defensa es el conocimiento de como funciona. Los siguientes tip buscan dar una vista general de "qué revisar" para evitar ser una víctima de este tipo de ataques:

• Observa cuidadosamente que información publicas en línea. Mira tus perfiles en redes sociales. ¿Cuanta información personal esta disponible para un potencial atacante?

• Actualiza el software de tu computador constantemente, y de ser posible activa actualizaciones automáticas en todas las aplicaciones usadas.

• Si recibes un correo de un "amigo" pidiendo información personal que incluye tu contraseña o la descarga de un archivo, piénsalo dos veces. En primera instancia, verifica que la dirección correo electrónico origen y asegúrate que sea conocida o que se utilizara en el pasado para contactar a esta persona.

• No hagas clic en links de correo electrónico sin revisar que es un enlace válido de la organización o remitente que envía el email. Puedes posicionar el raton sobre el link para observar la dirección final de destino y comprobarla por irregularidades sin necesidad de hacer clic.

• Nunca compartas información sensible por correo electrónico, como tarjetas de crédigo o contraseñas.

Quisiera mayor información

En GreyHat Security ofrecemos una charla de una hora completamente gratuita, directamente en su organización que puede ser dictada en persona (Chile) o a través de Video Conferencia (Internacional), en español e inglés, de acuerdo al requerimiento de la audiencia.

Para mayor información, envíanos tu solicitud en la sección de contactos de Greyhat.cl.

Acerca del Autor

Alex Barrios

Cuenta con más de 15 años de experiencia en distintos campos de las tecnologías de información, ejerciendo principalmente como desarrollador fullstack, administrador de sistemas y asesor de seguridad informática certificado (OSCP, OSCE, OSWP, Hardware Security, Software Security, Usable Security).