Los ataques en Internet son cada vez más frecuentes y más elaborados. Y ninguno de nosotros está libre de ser objetivo de los cibercriminales. Por lo que conviene conocer cuáles son las amenazas que se esconden en la Red y cuáles son las medidas que podemos adoptar.
Uno de los ataques más elaborados de los que deberías protegerte es el spear phishing. Con toda seguridad has oído hablar del phishing, incluso puede que lo hayas sufrido, pero esta modalidad es todavía más peligrosa.
Qué es el spear phishing
▣Es un ataque que en algunos aspectos es similar al phishing, aunque precisamente lo que lo diferencia de ese tipo de ataques es lo que lo hace tan letal: la personalización.
▣Detrás del spear phishing hay un trabajo de investigación acerca de la posible víctima detrás. Procuran recopilar la mayor cantidad de datos posible sobre su objetivo, para que la comunicación que le envíen sea tan personalizada que parezca legítima. De ahí su la traducción del término, pesca con lanza, en lugar del phishing, que pretende pescar incautos con red. Es un ataque dirigido, no aleatorio.
▣Para conseguir esa información acerca del objetivo consultan webs corporativas, bases de datos (conseguidas de forma legal o ilegal), redes sociales... Incluso pueden llegar a realizar llamadas telefónicas con cualquier excusa para recopilar datos sobre la persona o la empresa.
▣Incluso pueden llegar a buscar información en el mundo off-line, buscando en la basura o los contenedores de reciclaje extractos bancarios, recibos, facturas, correspondencia, informes, etc.
Quién está detrás
▣Detrás de estos ataques de spear phishing puede haber piratas o activistas informáticos que busquen llegar hasta la cuenta corriente de su víctima o para chantajearla, pero también buscan información para venderla a otras empresas y organizaciones. En algunos casos, detrás de esta forma de actuar se pueden encontrar grandes corporaciones o gobiernos (y no es conspiranoia).
Quiénes son sus objetivos
▣Sus objetivos suelen ser empresas, organismos públicos y privados e incluso a las diferentes Administraciones. Las personas tampoco están libres de este tipo de ataques.
▣En el caso de las empresas, organismos y de la Administración el objetivo es un empleado a través del cual se producirá el ataque, que será su puerta de entrada.
▣En otras ocasiones el objetivo específico es un gran empresario o dirigente, y en ese caso se denomina whaling.
Qué buscan
▣Sus objetivos son dos: robar información e instalar malware.
▣Los datos que consiguen robar pueden servir para acceder a sus cuentas bancarias o a otra información financiera, para hacerse con información confidencial empresarial o personal, para acceder a servicios en nombre del objetivo, para extorsionar...
▣Si lo usan para hacerse con el control del dispositivo/s de la víctima, podrán acceder no sólo a la información, sino a la cámara, al micrófono y a otras funciones más o menos delicadas...
Cómo funciona el ataque
▣Se hacen pasar por entidades bancarias, por Administraciones u Organismos Públicos, por empresas, por proveedores, por clientes, por clubes o asociaciones a los que pertenece la víctima, por partners, por compañeros de trabajo, por amigos o incluso por familiares.
▣El ataque está diseñado cuidadosamente para generar confianza de manera automática en la persona que lo recibe. Al tener tanta información sobre la víctima son capaces de suplantar con bastante éxito cualquier mensaje legítimo.
▣El asunto y el cuerpo del mensaje están destinados a llamar la atención del destinatario.
▣Normalmente se realiza a través del correo electrónico, aunque también pueden utilizar otros medios como el SMS, mensajes instantáneos, códigos QR, redes sociales e incluso mensajes de voz.
Cómo evitarlo
▣Utiliza el sentido común ante todo.
▣No publiques mucha información personal en redes sociales, especialmente la que puede ser más sensible.
▣Revisa cada correo y cada mensaje de forma exhaustiva, fijándote en su remitente, en el asunto, en la redacción, en la ortografía, en el estilo, en el logotipo... Y aún así puede ser una tarea complicada, porque es el spear phishing todo esto se suele cuidar bastante, de modo que no suele resultarle extraño al destinatario.
▣Mucho ojo con las URL extrañas, muy largas o crípticas. Los remitentes reales suelen tener direcciones web muy reconocibles.
▣Evita abrir los enlaces que aparezcan en los mensajes directamente. Es mejor que copies la dirección con el botón derecho de tu ratón y la pegues en tu navegador, comprobando si es legítima o no antes de entrar en ella.
▣A la hora de descargar un archivo, procura comprobar su extensión y si lo que te envían tiene lógica.
▣Desconfía de peticiones inusuales o que no tengan mucha lógica.
▣Ante la duda, ponte en comunicación con el remitente (el real) que figura como emisor de la comunicación. Y hazlo a través de la dirección de correo electrónico o número de teléfono que tienes en tu agenda, no los que figuran en el mensaje, para comprobar si realmente te han enviado algo.
▣Y, por supuesto, mantén el software actualizado, cuenta con un buen antivirus y un antimalware, usa contraseñas fuertes (y no uses siempre la misma ni las compartas con nadie) y otros buenos hábitos similares.
Post relacionados:
Guía Básica sobre el Malware que Debes Conocer
Consejos Básico para Protegerte del Ransomware
Phishing: Evita Morder el Anzuelo
Qué Es el Vishing y cómo Protegerte
La primera vez que apareció el post Qué es el Spear Phishing y Cómo Defenderte de este Tipo de Ataques fue en el blog de Todos Somos Clientes.
Qué es el "Spear Phishing" y cómo protegerte de este tipo de ataques por 1 de N Tecnologías de la Información - Arancha Moreno se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivadas 4.0 Internacional.
Entradas
No hay comentarios:
Publicar un comentario
Estamos encantados de que nos dejes tus aportaciones, porque tu opinión es importante para nosotros. Sólo te pedimos que, por favor, no publiques links ni contenidos publicitarios de ningún tipo, porque estos no serán publicados. Si deseas anunciarte, contacta con nosotros previamente. Gracias.