Spear phishing: El ciberataque que se aprovecha de tu información para engañarte con mayor precisión

Seguramente has escuchado la historia de alguien que ha perdido el acceso a sus redes sociales o dinero a causa de un ciberataque. Desde quien hizo caso a un supuesto SMS de un servicio de paquetería con un enlace fraudulento hasta la persona que creyó estar en contacto con su banco, que lo acompañó en un proceso que no solicitó, los ciberdelincuentes han perfeccionado sus métodos para engañar a las víctimas y obtener beneficios ilícitos.

Uno de los ataques más peligrosos es el spear phishing, una variante del phishing tradicional que se enfoca en individuos o grupos específicos dentro de una organización. A diferencia de los correos electrónicos masivos y genéricos utilizados en los ataques convencionales de phishing, el spear phishing emplea información personal o profesional obtenida de fuentes públicas como redes sociales o filtraciones de datos para hacer que los mensajes parezcan legítimos. El objetivo es engañar a las víctimas para que revelen información confidencial, como contraseñas o datos financieros, o para que hagan clic en enlaces maliciosos que descargan software dañino.

Imagina que trabajas en el departamento de finanzas de una empresa y un día recibes un correo electrónico aparentemente enviado por el director general. En el mensaje, te solicita con urgencia que transfieras una cantidad específica de dinero a una cuenta bancaria para cerrar un trato importante. El correo incluye detalles precisos sobre la operación, el tono coincide con el estilo de comunicación del directivo y hasta tiene su firma oficial. Sin embargo, lo que no sabes es que el atacante investigó a fondo la estructura de la empresa, obtuvo información de redes sociales y correos filtrados, e incluso utilizó inteligencia artificial para replicar el lenguaje del ejecutivo.

Alejandro Romero Vargas, fundador y director general de CyberPeace, compañía especializada en ciberseguridad, explica que este tipo de ataque es particularmente efectivo porque los delincuentes logran generar confianza en la víctima: "La mayoría de la gente dice: ‘Ah, caray, bueno, pues si ya saben mi nombre, si ya saben mi número de teléfono, puede ser que sí sea real, ¿no?’ Entonces, de ahí que la gente caiga con más facilidad, porque piensa que, al tener algo de información, el atacante es legítimo".

El especialista subraya que muchas personas son excesivamente confiadas en el entorno digital y que esto debe contrarrestarse con educación y concientización desde el interior de las empresas. "La organización como tal debe también tener esta parte de concientización. Antes, cuando entrabas a trabajar en una organización, había pláticas de recursos humanos sobre cultura organizacional, pero ahora debe incluirse un temario de ciberseguridad para generar conciencia tanto a nivel individual como dentro de la empresa", señala.

México se mantiene entre los países de América Latina con mayor incidencia de ataques de phishing y ransomware. De acuerdo con el panorama de amenazas 2023-2024 de Kaspersky, el país registró un crecimiento del 220 % en ataques de phishing entre agosto de 2023 y julio de 2024, con 118 millones de amenazas detectadas, lo que equivale a un ritmo de 325,000 ataques por día.

Cuida la información que compartes en internet

Las filtraciones de datos son cada vez más comunes y afectan tanto a individuos como a empresas, pero muchas personas aún subestiman su impacto. La exposición de información personal, contraseñas y datos financieros puede derivar en robo de identidad, fraudes económicos y otros delitos. A pesar de los riesgos, persiste una falta de conciencia sobre la importancia de adoptar medidas de seguridad.

Romero Vargas advierte que la inteligencia artificial (IA) está haciendo que los ataques de spear phishing sean más eficientes y difíciles de detectar, ya que puede utilizarse para imitar voces y generar audios o videos falsos con información o material disponible en redes sociales, redactar correos electrónicos y mensajes de WhatsApp con un estilo de escritura similar al de la persona a la que intentan suplantar, haciendo que los engaños sean más creíbles.

Para reducir el riesgo de ser víctima de un ataque de spear phishing, es fundamental adoptar hábitos de seguridad digital. Se recomienda no confiar en mensajes, correos o llamadas sin verificar su autenticidad, especialmente si solicitan información confidencial o transferencias de dinero. En caso de dudas, es clave corroborar la información a través de otro medio, como una llamada telefónica directa a las ‘supuestas’ personas involucradas. También es importante revisar el origen de los correos electrónicos y las URL antes de hacer clic en enlaces sospechosos, así como mantener actualizados los conocimientos en ciberseguridad mediante capacitaciones, pruebas de phishing periódicas y cuidar el contenido que compartimos en redes sociales.

Otras medidas que los usuarios y las empresas pueden implementar, incluyen:

• Activar la autenticación en dos pasos en todas las cuentas digitales
• Evitar publicar información personal en redes sociales
• Cambiar las contraseñas con regularidad
• Utilizar plataformas de ciberseguridad que bloqueen contenido malicioso
• Realizar análisis de vulnerabilidades en el caso de las organizaciones.

Con información de El Economista