Qué es el Spear phishing
CybersecurityLos ataques denominados Spear phishing son ataques de ingeniería social que se caracterizan por estar personalizados y dirigidos específicamente a una persona. En general los ataques de phishing son masivos y aleatorios, en los ataques spear phishing sucede lo contrario.
El término spear phishing hace referencia a la pesca con lanza o arpón, en la que el ataque va dirigido a un objetivo específico.
Los ataques spear phishing tienen características casi únicas que sólo comparte con con la modalidad de ataques Whale phishing o Whaling.
Estos ataques se caracterizan por lo siguiente:
- Son dirigidos a una víctima en concreto con un mensaje personalizado.
- El atacante tiene conocimiento sobre la industria, negocio y procedimientos de la víctima u organización.
- La comunicación transmite urgencia con el objetivo de no permitir a la víctima pensar demasiado ni corroborar información.
- La víctima es de bajo perfil, no es acaudalada ni ocupa una jerarquía estratégica, de ser así el ataque no sería considerado spear phishing sino whale phishing o whaling.
A pesar de que estos ataques no son nuevos y las autoridades alertan del peligro desde hace más de una década, la modalidad de fraude spear phishing va en aumento. Las pérdidas generadas por este tipo de ataques rondan los $12.000.000.000 anuales.
Agencias de inteligencia también reportaron incidentes de spear phishing por parte de agencias enemigas.
En muchos casos las víctimas de estos ataques ocultan el incidente por el daño al prestigio de la organización, capaz de generar mayores pérdidas que el propio ataque.
Como se realizan los ataques spear phishing:
La modalidad de ataques spear phishing es mucho más sofisticada que los ataques de phishing convencionales lanzados de manera masiva. Aunque esto no implica necesariamente que sea un ataque que requiera conocimientos informáticos o de seguridad IT para ejecutarse.
Por el contrario, los ataques se basan en la ingeniería social, es decir la obtención de información lo suficientemente buena como para producir contenido que inspire confianza en la víctima. La mayor parte del trabajo para el atacante se reduce a trabajo de inteligencia previo a la interacción con la víctima.
A diferencia de los ataques de phishing convencionales que en general son automatizados y lanzados de forma aleatoria, el spear phishing requiere mucha actividad por parte del atacante.
El principal objetivo del agresor se centra en obtener información relevante sobre la víctima. Credenciales, información sobre sus relaciones, empleo, organizaciones de las que forma parte, datos financieros, protocolos y procedimientos de esas organizaciones y lo que sirva para justificar una interacción que derive en una acción determinada por parte de la víctima.
Los canales más comunes para esta clase de ataques son el email, el teléfono e incluso las redes sociales, una de las principales fuentes de información de quienes llevan a cabo estos fraudes.
Normalmente el atacante establece comunicación con la víctima fingiendo una identidad falsa o usurpando la identidad de una víctima indirecta. En caso de ataques vía mail es común ver que los atacantes usan direcciones de email similares a las pertenecientes a los individuos cuya identidad intentaron usurpar. Las víctimas fácilmente pueden identificar y prevenir esta amenaza si son conscientes de las técnicas utilizadas por los atacantes.
Cómo protegerse del spear phishing:
Las compañías y organizaciones suelen ser los objetivos finales de los ataques spear phishing y hay bastante que estas pueden hacer para evitar que sus empleados o miembros se conviertan en caballos de troya. Las medidas de protección incluyen:
- Concientización a empleados miembros de la organización sobre las características de esta clase de ataques.
- Mantener un sistema de permisos correctamente estructurado que restrinja accesos riesgosos.
- Seguridad adicional en servidores de email y dispositivos.
El talón de aquiles de compañías y organizaciones frente a ataques cibernéticos, especialmente los que implican ingeniería social, es el factor humano. Empleados y miembros son la principal vulnerabilidad que explotan la mayoría de ataques y el spear phishing no es la excepción.
Es por esto que la mejor defensa y principal recomendación frente a este riesgo es entrenar a empleados y miembros para identificar los ataques de phishing. El entrenamiento no requiere conocimientos especiales y puede ser impartido por el departamento de IT de la organización. Las consultoras de seguridad también ofrecen cursos y seminarios de concientización.
La correcta administración de los permisos y accesos es otra forma de afrontar el riesgo que representa el factor humano. Las políticas de permisos bien planificadas pueden impedir que un ataque exitoso se propague por el resto de la organización.
Políticas de validación para verificar la autenticidad de las comunicaciones también son una de las principales medidas adoptadas para combatir esta actividad. Existe variedad de software que combina protocolos con inteligencia artificial para detectar anomalías incluso en ataques que logran burlar el factor humano.
Las medidas de seguridad habituales para amenazas cotidianas también pueden prevenir estos ataques de phishing o mitigar su efecto. El análisis heurístico y de tráfico de red deben ser incorporados a la rutina de seguridad en busca de anomalías que puedan sugerir el compromiso de la integridad de la organización. Sistemas de detección de intrusiones (IDS) y políticas de firewall minuciosas deben combinarse con este fin.
Conclusión sobre el Spear phishing:
Aunque este tipo de ataques implican grandes riesgos, la prevención es realmente económica.
La educación de empleados y el diseño minucioso de permisos y accesos, así como la implementación de protocolos son medidas accesibles para cualquier organización atractiva a este perfil de atacantes.
Los desarrollos en materia de seguridad digital como la verificación en dos pasos obligaron a los estafadores a mejorar sus técnicas haciendo del spear phishing una tendencia.
El spear phishing suele confundirse con el Whale phishing, es importante remarcar la diferencia que radica en el tipo de objetivo: el spear phishing se dirige a objetivos de bajo perfil, para escalar accesos, mientras que el whale phishing apunta directamente a jerarcas de compañías y organizaciones. Sin embargo, las medidas de seguridad para ambas modalidades son las mismas, cuya necesidad es compartida por otras amenazas.
Espero que este artículo sobre spear phishing haya sido de utilidad. Gracias por seguir Linux Latinoamérica, puede seguirnos en Twitter o Facebook para próximas actualizaciones.