Qué es el Spear Phishing y Cómo Defenderte de este Tipo de Ataques

Los ataques en Internet son cada vez más frecuentes y más elaborados. Y ninguno de nosotros está libre de ser objetivo de los cibercriminales. Por lo que conviene conocer cuáles son las amenazas que se esconden en la Red y cuáles son las medidas que podemos adoptar.

Uno de los ataques más elaborados de los que deberías protegerte es el spear phishing.  Con toda seguridad has oído hablar del phishing, incluso puede que lo hayas sufrido, pero esta modalidad es todavía más peligrosa.

Qué es el spear phishing

▣Es un ataque que en algunos aspectos es similar al phishing, aunque precisamente lo que lo diferencia de ese tipo de ataques es lo que lo hace tan letal: la personalización.

▣Detrás del spear phishing hay un trabajo de investigación acerca de la posible víctima detrás. Procuran recopilar la mayor cantidad de datos posible sobre su objetivo, para que la comunicación que le envíen sea tan personalizada que parezca legítima. De ahí su la traducción del término, pesca con lanza, en lugar del phishing, que pretende pescar incautos con red. Es un ataque dirigido, no aleatorio.

▣Para conseguir esa información acerca del objetivo consultan webs corporativas, bases de datos (conseguidas de forma legal o ilegal), redes sociales... Incluso pueden llegar a realizar llamadas telefónicas con cualquier excusa para recopilar datos sobre la persona o la empresa. 

▣Incluso pueden llegar a buscar información en el mundo off-line, buscando en la basura o los contenedores de reciclaje extractos bancarios, recibos, facturas, correspondencia, informes, etc.

Quién está detrás

▣Detrás de estos ataques de spear phishing puede haber piratas o activistas informáticos que busquen llegar hasta la cuenta corriente de su víctima o para chantajearla, pero también buscan información para venderla a otras empresas y organizaciones. En algunos casos, detrás de esta forma de actuar se pueden encontrar grandes corporaciones o gobiernos (y no es conspiranoia).

Quiénes son sus objetivos

▣Sus objetivos suelen ser empresas, organismos públicos y privados e incluso a las diferentes Administraciones. Las personas tampoco están libres de este tipo de ataques. 

▣En el caso de las empresas, organismos y de la Administración el objetivo es un empleado a través del cual se producirá el ataque, que será su puerta de entrada.

▣En otras ocasiones el objetivo específico es un gran empresario o dirigente, y en ese caso se denomina whaling.

Qué buscan

▣Sus objetivos son dos: robar información e instalar malware.

▣Los datos que consiguen robar pueden servir para acceder a sus cuentas bancarias o a otra información financiera, para hacerse con información confidencial empresarial o personal, para acceder a servicios en nombre del objetivo, para extorsionar...

▣Si lo usan para hacerse con el control del dispositivo/s de la víctima, podrán acceder no sólo a la información, sino a la cámara, al micrófono y a otras funciones más o menos delicadas... 

Cómo funciona el ataque

▣Se hacen pasar por entidades bancarias, por Administraciones u Organismos Públicos, por empresas, por proveedores, por clientes, por clubes o asociaciones a los que pertenece la víctima, por partners, por compañeros de trabajo, por amigos o incluso por familiares. 

▣El ataque está diseñado cuidadosamente para generar confianza de manera automática en la persona que lo recibe. Al tener tanta información sobre la víctima son capaces de suplantar con bastante éxito cualquier mensaje legítimo.

▣El asunto y el cuerpo del mensaje están destinados a llamar la atención del destinatario. 

▣Normalmente se realiza a través del correo electrónico, aunque también pueden utilizar otros medios como el SMS, mensajes instantáneos, códigos QR, redes sociales e incluso mensajes de voz. 

Cómo evitarlo

▣Utiliza el sentido común ante todo.

▣No publiques mucha información personal en redes sociales, especialmente la que puede ser más sensible. 

▣Revisa cada correo y cada mensaje de forma exhaustiva, fijándote en su remitente, en el asunto, en la redacción, en la ortografía, en el estilo, en el logotipo... Y aún así puede ser una tarea complicada, porque es el spear phishing todo esto se suele cuidar bastante, de modo que no suele resultarle extraño al destinatario.

▣Mucho ojo con las URL extrañas, muy largas o crípticas. Los remitentes reales suelen tener direcciones web muy reconocibles.

▣Evita abrir los enlaces que aparezcan en los mensajes directamente. Es mejor que copies la dirección con el botón derecho de tu ratón y la pegues en tu navegador, comprobando si es legítima o no antes de entrar en ella. 

▣A la hora de descargar un archivo, procura comprobar su extensión y si lo que te envían tiene lógica.

▣Desconfía de peticiones inusuales o que no tengan mucha lógica. 

▣Ante la duda, ponte en comunicación con el remitente (el real) que figura como emisor de la comunicación. Y hazlo a través de la dirección de correo electrónico o número de teléfono que tienes en tu agenda, no los que figuran en el mensaje, para comprobar si realmente te han enviado algo. 

▣Y, por supuesto, mantén el software actualizado, cuenta con un buen antivirus y un antimalware, usa contraseñas fuertes (y no uses siempre la misma ni las compartas con nadie) y otros buenos hábitos similares. 

Post relacionados:

Guía Básica sobre el Malware que Debes Conocer

Consejos Básico para Protegerte del Ransomware

Phishing: Evita Morder el Anzuelo

Qué Es el Vishing y cómo Protegerte

La primera vez que apareció el post Qué es el Spear Phishing y Cómo Defenderte de este Tipo de Ataques fue en el blog de Todos Somos Clientes. 

Qué es el "Spear Phishing" y cómo protegerte de este tipo de ataques por 1 de N Tecnologías de la Información - Arancha Moreno se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivadas 4.0 Internacional.

Qué Es el Smishing y cómo Protegerte de Esta Amenaza

Las amenazas cibernéticas no dejan de crecer. Aparecen nuevas, otras se mantienen e incluso hay algunas que se reinventan o se sofistican hasta extremos insospechados. Y no hay ningún dispositivo conectado a Internet que se libre de este tipo de ataques. 

 

Primero fue el ordenador el medio preferido por los ciberdelincuentes para hacer de las suyas, tanto portátil como de sobremesa. Tampoco las herramientas propias del Internet de las Cosas se han librado. Pero si hay unos que son susceptibles de se atacados, son los dispositivos móviles. Los llevamos siempre encima. Almacenamos una cantidad ingente de información. Los manejamos a toda velocidad y casi de forma compulsiva. Solemos dejarlos más desprotegidos frente a las amenazas, a pesar de que están expuestos a las mismas que un PC. Por eso son los eslabones más débiles ante los ciberataques, algunos de los cuales son específicos para los dispositivos móviles, como los mensajes SMS y de plataformas de mensajería.

Y este tipo de ataques se llevan a la práctica a través de lo que se conoce como smishing. Ya, ya sé que es casi imposible aprenderse los nombres de todos los peligros cibernéticos que nos acechan. Aunque la única forma de protegerse es conocerlos todos (o la mayoría) y saber cómo actuar frente a ellos. En este post quiero darte información básica sobre el smishing y cómo defenderte de este tipo de riesgos.

Qué es el smishing

▣ Smishing (SMS + phishing). Consiste en el envío de SMS haciéndose pasar por empresas, organismos y entidades bancarias legítimas y reconocidas, con la finalidad de robarte tus datos o tu dinero, o de infectar tu dispositivo.

 

▣ Los ataques de smishing suelen llegar a través de SMS, pero también se consideran como tales aquellos que se reciben desde cualquier plataforma de mensajería. 

 

▣ La información para enviar los SMS fraudulentos procede de filtraciones, de ventas de bases de datos y/o de cruzar datos procedentes de diferentes fuentes para llegar a una mayor especialización en este tipo de delitos. 

 

▣ Hay ataques que son masivos, con la única finalidad de pescar cuantos más incautos mejor, y otra más selectiva, que persigue a cierto tipo de usuarios de los que tiene información que permite a los delincuentes personalizar el mensaje fraudulento lo máximo posible. 

Cuál es su finalidad

▣ Pretenden llevarte a una página fake en la que te pedirán que introduzcas datos personales o que te identifiques para iniciar sesión, y desde ese momento se harán con ellos y robarán tu identidad.

 

▣ También pueden intentar que sigas un enlace, que te descargues una aplicación o que la ejecutes, que serán las puertas por las que infectarán tu dispositivo.

 

▣ Otra versión de este tipo de estafas consisten en enviarte un mensaje que parece verdadero, en el que te piden datos personales o bancarios, o que verifiques tu cuenta.  

 

▣ Y puede que te pidan que llames a un teléfono, que será de tarificación especial. Las excusas: has ganado un regalo, necesitan verificar algo, te ha llegado un paquete y necesitan contactar contigo para hacer la entrega... Con esa llamada también pueden pretender que les facilites información.

 

Cómo protegerte

 

▣ Mantén tanto tu smartphone como el navegador y las aplicaciones de mensajería debidamente actualizados.  

 

▣ Los antivirus no son la panacea en el caso de los smartphones, pero nunca está de más tener uno instalado. 

 

▣ Recurre a una VPN, puesto que si la usas los estafadores no accederán a tu ubicación y les será más difícil hacerse pasar por remitentes auténticos, que suelen comunicarse teniendo en cuenta tu localización, ya que buscan la mayor personalización posible de los mensajes. De esa forma, si tu hipermercado de referencia te informa de que tienes un descuento del 50% en tu próxima compra (que tendrás que reclamar siguiendo un enlace, por supuesto) en Madrid y tú resides en Ibiza, con casi toda seguridad se tratará un SMS fraudulento. 

 

▣ Y con una VPN puede que el ciberdelincuente no reciba ningún dato a pesar de haber instalado un virus en tu dispositivo, gracias al cifrado de la red privada. 

 

▣ Sé escéptico por definición ante cualquier comunicación que recibas en cualquier dispositivo. Es la única forma de mantener una sana actitud de previsión que te librará de más de un disgusto.  

 

▣ No pienses que todo el mundo es bueno, porque no lo es. Y tampoco te creas que no eres una persona de interés para ningún ciberdelincuente, por eso de que ni tus finanzas ni tu vida son especialmente relevantes, porque cualquiera lo somos. 

 

▣ No facilites tus datos a cualquiera alegremente. Ni tu nombre, ni tus apellidos, ni tu documentos de identificación, ni tu número de teléfono, ni tu dirección... Únicamente rellena los formularios realmente imprescindibles. Mantén tu privacidad a salvo en la medida de lo posible. 

 

▣ No abras los SMS automáticamente. Tómate unos momentos para analizar lo que te están enviando. 

 

▣ Desconfía de los SMS y otros mensajes que lleven adjuntos y que no hayas solicitado. 

 

▣ No abras sin reflexionar los enlaces que incluya el SMS. Los que te llegan porque has hecho una consulta o una operación, porque tienes que verificar una cuenta o si estás manteniendo una conversación en ese momento con la empresa, tienen más visos de ser genuinos que los que te llegan sin motivo.

 

▣ Antes de pinchar en un enlace, comprueba a dónde te lleva antes de abrirlo. Cópialo y pégalo en el navegador. Revisa su ortografía y su texto para verificar si es auténtico.

▣ Los enlaces acortados no son necesariamente peligrosos, pero lo cierto es que los ciberdelincuentes los utilizan mucho, puesto que es más difícil comprobar a qué dirección llevan.

 

▣ En caso de duda, consulta directamente con el remitente para averiguar si el SMS es legítimo. Hazlo a través del número que aparezca en su web oficial, por supuesto no llames al número que aparezca en el mensaje.

 

▣ Desconfía de los mensajes que apelen al miedo o a la urgencia en realizar una acción. También de los que quieran avisarte de problemas más o menos serios que te conciernan. 

 

 

▣ También deberías mantenerte alerta cuando los mensajes sean impactantes o polémicos, porque suelen estar destinados a llamar tu atención, sin que te pares a reflexionar. 

 

▣ Y ojo con los SMS y otros mensajes que prometen regalos y ofertas imposibles.

 

▣ No te fíes de aquellos mensajes que no tienen el mismo formato que los que te suelen llegar del remitente auténtico. 

 

▣ Ten mucho cuidado con los SMS falsos, porque pueden llegar al mismo grupo de los mensajes del remitente legítimo. Si eso ocurre, será más fácil que abras el SMS malicioso sin darte cuenta de que no es legítimo. 

 

▣ En ocasiones los estafadores envían un SMS de tanteo con la finalidad de comprobar si tu número está en activo. Si respondes, lo único que conseguirás es que te sigan enviando más mensajes fraudulentos a tu dispositivo, ya que saben que detrás hay alguien.  

▣ En caso de que detectes un SMS fraudulento o seas víctima, comunícaselo a la empresa o entidad financiera, intenta anular operaciones que hayan podido realizar en tu nombre, cancela servicio o productos a los que hayan podido acceder y denúncialo a las autoridades (Guardia Civil, Policía Nacional e Incibe).

Nunca se es demasiado paranoico si quiere evitar ciberataques, así que desconfía y protégete al máximo.

 

Post relacionados:

Phishing: Evita Morder el Anzuelo

Qué es el Vishing y cómo Protegerte 

No Caigas en la Trampa del Typosquatting

Mucho Ojo con las Estafas en Internet

 

La primera vez que apareció el post Qué Es el Smishing y cómo Protegerte de Esta Amenaza fue en el blog de Todos Somos Clientes. 

Qué es el smising y cómo protegerte de esta amenaza by 1 de N Tecnologías de la Informacion - Arancha Moreno is licensed under a Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional License.