Spear phishing: qué es y cómo combatirlo

Clare Hopping

29/09/2016

El spear phishing no es un fenómeno particularmente nuevo, pero los medios por los que cualquiera puede acceder a información privada, ya sea a través las redes sociales, la web de la empresa u otras plataformas, se han multiplicado. Este tipo de ataques, por tanto, son cada vez más fáciles de ejecutar y más predominantes.

El spear phishing es una variación del fraude original. Consiste en recibir un correo electrónico por parte de un atacante que solicita información o pide que se haga clic en un enlace. Sin embargo, lo que hace que el spear phishing sea especialmente pérfido (y mucho más efectivo) en comparación con un ataque tradicional es que el email parece haber sido enviado por una persona conocida. Esta persona podría ser su jefe, el director ejecutivo de la empresa o cualquier persona cercana a la organización.

Por tanto, es importante asegurarse de que la organización cuenta con los procedimientos apropiados para evitar convertirse en el objetivo probable de un ataque, lo cual empieza por la educación del personal.

La educación es la clave

“Lo más importante es comprender la amenaza en sí. Cuando el personal ha recibido formación sobre los riesgos que los correos con spear phishing pueden suponer, les resulta fácil identificarlos y proteger el negocio ante la infección”, afirma Simon Walsh, director de seguridad empresarial en Trend Micro.

“Los miembros de la plantilla deberían recibir información para estar alerta ante cualquier correo sospechoso. Si una persona abre un mensaje de este tipo, no debe hacer clic en documentos adjuntos o enlaces que aparezcan en el mensaje”.

“El personal debería también atender a la actividad en sus redes sociales para asegurarse de que sus publicaciones no desvelen demasiado sobre sí mismos. Toda esa información puede utilizarse para componer un fraude”, explica Walsh.

Qué hacer cuando se recibe un correo sospechoso de spear phishing

Si recibe un correo sospechoso, ni siquiera abra su contenido o conteste. Llame por teléfono al remitente para saber si el mensaje es genuino y, aun a riesgo de parecer demasiado precavido, no dude en preguntar cuál es el motivo del correo antes de abrirlo.

“A menudo los ataques por phishing intentan forzarnos a contestar antes de que hayamos tenido tiempo de pararnos a pensar”, afirma Greg Day, vicepresidente y director tecnológico para EMEA en FireEye. “Normalmente nada es tan urgente, así que siéntese, léalo con calma y piense cómo proceder”.

No confunda la confianza con la legitimidad de la fuente del correo. A menudo los atacantes son capaces de o bien imitar o bien robar identidades de confianza en su organización, y así crear la ilusión de legitimidad. Como hemos dicho antes, si surgen dudas, contacte con su compañero en persona, por teléfono, por mensaje de texto o mediante una plataforma colaborativa, si su empresa cuenta con una.

Si sospecha que la dirección puede haber sido imitada, solo tiene que ver el encabezado del correo completo para comprobar que la dirección original coincida con la que se le muestra.

“Fíjese en lo que le piden que haga”, añade Day. Si le piden que haga clic en un enlace, por ejemplo, ¿tiene buena pinta? Cuando pasa el ratón por encima de la dirección web, ¿parece legítimo el enlace?

“Si le envían un archivo adjunto, ¿es algo que harían normalmente? Si no puede certificar que los enlaces o archivos adjuntos no vayan a causarle daño a usted o a la empresa, no haga clic ni los abra”, aconseja Day.

Utilizar barreras de software

Si utiliza un software de seguridad para el correo electrónico que proteja contra los ataques por phishing, asegúrese de que siempre esté actualizado. Los proveedores de software de seguridad suelen publicar actualizaciones cuando se desvela una nueva amenaza, y por tanto no hay excusa para no utilizarlas en toda su organización.

Si puede, configure sus servidores de correo para no propagar correos que parezcan pertenecer a su dominio pero se hayan originado fuera de los servidores internos. Así, si alguien intenta enviar un correo fingiendo ser de su organización, simplemente nunca se entregará.

Emplee una contraseña diferente para cada servicio que utilice. Si le cuesta trabajo controlar todas las contraseñas, use un gestor de contraseñas. De este modo solamente tendrá que recordar la contraseña del gestor, en lugar de las contraseñas para todos los servicios que utilice.

Cree su propio “cortafuegos humano”

Los ataques por spear phishing suelen estar bien planteados, y dado que el remitente suele ser alguien conocido resultará más probable que caiga en la trampa.

Para evitar que su empresa sea presa de un ataque, además del mantenimiento frecuente y de la actualización del software de seguridad correspondiente, intente crear un “cortafuegos humano” mediante la formación de los empleados sobre a qué deben estar atentos.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.