El hecho de vivir en una sociedad hiperconectada tiene muchas ventajas. Por ejemplo, poder consultar las noticias o tu cuenta bancaria en cualquier momento y lugar, comprar un libro y recibirlo en 24 horas en la puerta de casa o estar en contacto permanente con personas que viven muy lejos de ti.
Pero también tiene su lado negativo: estamos constantemente expuestos a posibles ciberataques. Nuestra información campa por la red sin que seamos verdaderamente conscientes de la magnitud y gravedad de ello. Como resultado, somos víctimas potenciales para los ciberestafadores, deseosos de robarnos nuestros datos o nuestro dinero.
En este sentido, uno de los fraudes más extendidos en internet es el phishing. Pero además, esta ciberestafa tan habitual cuenta con una compañera mucho más depurada, el spear phishing. Aunque es más compleja de llevar a cabo por los malhechores, su índice de éxito es mayor.
¿Qué es spear phishing?
El phishing convencional consiste en envíos masivos de correos electrónicos o mensajes a varios usuarios o empresas. Los ciberdelincuentes se hacen pasar por una entidad legítima como un banco o una compañía de mensajería, con el objetivo de engañar a las víctimas para que aporten su información privada, hagan un cargo económico, accedan a una web fraudulenta o se descarguen algún archivo adjunto que infecta el dispositivo en cuestión. Para ello, se sirven de técnicas de ingeniería social replicando de forma muy creíble los correos electrónicos o mensajes emitidos.
Por su parte, el spear phishing es muy similar, pero se dirige a víctimas concretas en lugar de masivas. El Instituto Nacional de Ciberseguridad (INCIBE) define el spear phishing como una modalidad de phishing dirigida contra un objetivo específico, en el que los atacantes intentan, mediante un correo electrónico o mensaje, conseguir información confidencial de la víctima. Otro posible objetivo es instarle a realizar un cargo económico o descargar algún archivo adjunto infectado con malware.
Las similitudes de sendas ciberestafas son que emplean ingeniería social engañando a la víctima, haciéndose pasar por una entidad aparentemente fiable. Sin embargo, su principal diferencia reside en el destinatario del fraude.
El phishing no es personalizado, sino que los delincuentes dirigen el ataque a un amplio número de personas de forma aleatoria. En cambio, en el spear phishing son ataques más pequeños, dirigidos de forma individualizada a una persona o un grupo reducido de personas, como por ejemplo una empresa concreta. Además, sus mensajes son mucho más personalizados, de forma que parecen más creíbles.
Para ello, recopilan información de la víctima a través de distintos canales, como redes sociales, foros, blogs y otros medios de comunicación. Si bien el spear phishing es más complicado de ejecutar y requiere más trabajo para los delincuentes, su tasa de éxito es más elevada. Esto es así porque al ser ataques personalizados resultan más creíbles y las víctimas son engañadas con mayor facilidad.