.
El phishing en sus variantes.
El spear phishing es como un ladrón que ha estado observando tu casa durante semanas. Conoce tus rutinas, sabe cuándo sales y entras. La única diferencia es que en el mundo digital, tú mismo le has dado un tour por todos tus rincones.
Teniendo en cuenta que las redes sociales ya forman parte de las vidas de todos, ¿alguna vez te has preguntado quién más aparte de tus seguidores o cotillas podrían estar mirando? Los ciberdelincuentes siempre están al acecho, y han perfeccionado una técnica llamada spear phishing que convierte todo lo que publicas en internet en un arma contra ti.
Yendo por partes, se trata de un tipo del ya conocido phishing y en este caso no se trata de un simple anzuelo que lanzan para ver quién pica. En este caso se trata de uno totalmente dirigido y aquello que te va a llegar son los que tú mismo has compartido.
“Buscan todo lo que publicamos como el trabajo, intereses o incluso amigos para, así, conocernos mejor. Con esta información envían correos personalizados que parecen reales como si vinieran de sitios legítimos. Como el mensaje incluye algo que hemos compartido, es más fácil que nos lo creamos y caigamos en la trampa”, nos comenta en una entrevista para Computer Hoy David Uguet Muñoz, Threat Hunter Analyst en A3Sec.
¿Hackear la red de trenes de un país es posible? Expertos en ciberseguridad me demostraron que sí
Tal y como ya ha publicado Check Point Research, la media semanal de ciberataques por empresa ha alcanzado la cifra récord de 1.876, lo que supone un aumento del 75% con respecto al mismo periodo de 2023 y muchos son por spear phishing.
¿Por qué? Porque funciona. Los ciberdelincuentes dedican horas, a veces días, a investigar a sus víctimas en redes sociales, LinkedIn, y cualquier otra fuente de información pública. Como explica un experto en ciberseguridad: “Con solo 100 minutos de búsqueda en Google, un hacker puede crear un correo de spear phishing lo suficientemente convincente como para engañar incluso a los más precavidos”.
“Los atacantes de spear phishing buscan información que les permita acercarse a nosotros de manera creíble”
Imagina esto: recibes un correo de tu jefe pidiéndote que transfieras urgentemente dinero a una cuenta. El correo menciona el proyecto en el que estás trabajando, usa las mismas expresiones que tu jefe, e incluso hace referencia a la reunión que tuviste ayer. Suena real, ¿verdad? Pues podría ser un engaño. Ya, tristemente, parece que no puedes fiarte de nada.
Rizando el rizo, los atacantes no escatiman en detalles. Un caso real ocurrido en 2016 involucró a Snapchat. Un empleado de recursos humanos recibió un correo supuestamente del CEO solicitando información de nómina de empleados. El correo era tan convincente que el empleado cumplió con la solicitud, exponiendo datos personales de casi 700 empleados.
“Suelen enfocarse en personas que tienen acceso a información sensible o dinero. Por ejemplo, en la banca y las finanzas, los empleados manejan datos críticos, lo que los hace un blanco fácil para los ciberdelincuentes que buscan robar dinero o información. En empresas tecnológicas, quienes trabajan con sistemas o bases de datos importantes también son vulnerables, porque un solo acceso puede abrir las puertas a mucha información. En salud, los datos médicos personales son muy valiosos”, comenta el experto.
Pero no solo las empresas están en riesgo. Algunas personas también son blanco de estos ataques. Un estudio de Kaspersky reveló que el 83% de los usuarios de Internet han experimentado algún intento de phishing en su vida. El spear phishing simplemente hace estos intentos mucho más efectivos.
Con todo esto, sobre la mesa, la ironía es que la necesidad de conexión y validación en las redes sociales está haciendo a todos más vulnerables. Cada like, cada comentario, cada publicación es una pieza más sobre ti. “El oversharing (compartir demasiada información en redes sociales) aumenta mucho la vulnerabilidad frente a ataques de spear phishing. Cuanta más información personal pública, más fácil le resulta a los ciberdelincuentes crear un mensaje que parezca real y convincente”, añade David Uguet.
El futuro no pinta mejor. Con el avance de la inteligencia artificial, se espera que estos ataques se vuelvan aún más sofisticados. Imagina un deepfake de tu jefe pidiéndote que hagas una transferencia urgente. La tecnología para hacer esto ya existe. Entonces, ¿debes abandonar las redes sociales? No necesariamente.
Pero sí hay que ser más conscientes de lo que se comparte. Antes de publicar cualquier cosa sobre ti en internet habría que preguntarse si es suficiente para que alguien con malas intenciones lo use en tu contra. Esa foto de tus vacaciones podría ser el primer paso para que alguien se haga pasar por ti.
“Necesitamos estar más atentos, educarnos constantemente y confiar menos en las apariencias. La ciberseguridad será una combinación de tecnología y sentido común”, sentencia el experto.
Fuente: Computerhoy Tomado de Segurmática.