Blog | Digital Risk Protection | Axur

Spear phishing: una amenaza que se esconde en el email de su empresa

Escrito por Equipo Axur | 09-ene-2023 20:26:13

Imagine que recibe, en su bandeja de entrada profesional, un email de un organismo gubernamental o de uno de los servicios que su empresa utiliza. En este correo, hay un link a una página que parece ser de la organización pidiendo que cambie su contraseña. O sino, imagine que recibe un email con la firma del CEO de su empresa con un archivo para download. En ambos casos parecen legítimos y confiables. ¡Error! 

Los emails de ese tipo pueden esconder un ataque conocido como spear phishing. Se trata de un ataque personalizado, enviado por email, que tiene como blanco una organización o individuo específico. 

El objetivo de los invasores es obtener el acceso a informaciones confidenciales, datos sensibles de la empresa o instalar un malware a través de un download de archivos. Y puede ser tan simple como pedir su registro en Microsoft o en G Suite. En un clic, puede exponer datos importantes que su empresa protege.

El spear phishing entra en la categoría de Advanced Persistent Threat (APT), ciberataques extremadamente personalizados con el objetivo de infiltrarse en la red  interna de una empresa u organización para obtener informaciones confidenciales. El spear phishing no es más que un método rápido para alcanzar esas informaciones.

Mientras que el phishing común utiliza mensajes genéricos para alcanzar una base amplia de víctimas, el spear phishing es dirigido especialmente, y por eso es mucho más difícil de detectar que el phishing común.

 

¿Cómo se lleva a cabo un spear phishing?


Por medio de estrategias de ingeniería social, la ciberdelincuencia busca informaciones para personalizar el ataque. Al realizar una investigación sobre los funcionarios a los que apuntan y el ejecutivo por el que se quieren hacer pasar, los defraudadores consiguen direcciones de email, cargos y otras informaciones personales. ¡Muchas veces, esas informaciones pueden estar disponibles en las redes sociales de la víctima o en el sitio de la empresa!

De esta manera, el defraudador consigue hacer del remitente, un remitente confiable, como puede ser el gobierno o la propia empresa. De acuerdo con el informe Spear Phishing: Top Threats and Trends de Barracuda, el uso de marca de la propia empresa se da en un 83% de los ataques de spear phishing. Muchas veces, se utiliza a alguien en posición de autoridad o al que el blanco conoce personalmente, o hasta un administrador de redes, lo que hace que la solicitud de informaciones confidenciales parezca razonable. Asimismo, el autor del email puede dirigirse a la víctima por su nombre o cargo y hablar de un asunto relacionado al contexto o interés de la víctima, lo que también aumenta su credibilidad.

Entonces, el invasor escribe el email dirigido a un funcionario solicitando informaciones personales, enviando un link de acceso o un archivo maligno. Según el informe de TrendMicro, en empresas u organizaciones gubernamentales, reciben spear phishing con adjuntos un 94% de los casos. Esto se debe al hecho de que las personas normalmente comparten archivos (como informes, documentos y currículos) por email, ya que los downloads en internet son vistos como más riesgosos. Las extensiones de archivos más usadas en estos ataques son .RTF (38%), .XLS (15%), .TIF (13%), .RAR (11%) y .PDF (8%), o sea, tipos de archivo generalmente utilizados por las empresas.

 

Cuando el funcionario es investigado


Basta con que un funcionario de la empresa caiga en el truco del spear phishing para que el ataque genere daños a la empresa. El invasor también puede hacerse pasar por esa persona con el fin de acceder a otros niveles de datos confidenciales y hasta generar otro spear phishing en nombre de ese nuevo funcionario. 

Cuando los ataques son exitosos y consiguen robar las informaciones deseadas, estas pueden utilizarse para los fines más diversos: realizar transferencias bancarias, usurpar identidades, revelar secretos empresariales o hasta espiar licitaciones y manipular precios de acciones.  

 

¿Cómo evitarlo?


La mejor manera de evitar que su empresa sea afectada por el spear phishing es a través de la concientización y entrenamiento de sus funcionarios. Consejos simples, como verificar la dirección de email del remitente, sospechar de links y archivos en adjuntos y siempre desconfiar de solicitudes de informaciones confidenciales o personales, pueden impedir filtraciones críticas. Y, por supuesto, no divulgar informaciones sensibles de la empresa por email, a menos que la fuente sea segura. 

Sin embargo, es difícil evitar que los estafadores utilicen el nombre de su empresa para aplicar este tipo de estafa a sus clientes, socios o proveedores. En este caso, el monitoreo a través de inteligencia artificial puede detectar dominios similares, perfiles falsos y phishing 24x7, siendo la mejor opción para bloquear señales de fraude incluso antes de que afecte a su empresa y la relación con el consumidor.