El Spear
Phishing
Es muy parecido
al phishing, la diferencia consiste en el envío de mensajes
específicos y personalizados a un grupo de personas previamente elegidos. Esta es
la pequeña diferencia respecto al phishing tradicional
por correo eléctronico, que consistía en el envío de un mismo correo electrónico de forma masiva y al azar a miles o millones de usuarios.
El medio para distribuirlo
más utilizado es el mismo en los dos casos, el correo electrónico. Se envía un
correo con la intención de ser legítimo con una invitación para abrir un archivo adjunto
que contiene un malware, un enlace que dirige a una página para la descarga de
un programa maligno, es decir malicioso o un enlace que dirige a un formulario con el objetivo de
obtener datos personales y confidenciales.
Con el envío de
mensajes específicos, para los que previamente se suele haber realizado una
búsqueda de información del objetivo, a un grupo limitado de usuarios
seleccionados expresamente y generalmente de una misma empresa e incluso de un
departamento en concreto, y con datos muy preciso, se
persigue obtener habitualmente la siguiente información:
-Información
altamente confidencial propia de la Empresa, organización e institución.-Datos personales de los clientes, datos e información bancaria, entre otros.
-Información de otras organizaciones con las que trata la organización víctima.
El éxito de esta técnica de ingenieria social se basa en:
-Es todavía un tipo de ataque desconocido por el público no especializado.
-Al ser un ataque con alto componente de ingeniería social es difícil de detectar por los
tradicionales métodos antiphishing.
La solución a estos tipos de ataques no es sencilla, es complejo debido a su gran
variabilidad en cuanto al contenido del mensaje, cuáles son las personas objetivo,
qué vulnerabilidad se intenta explotar, y asi sucesivamente, por lo que disponiendo de
las mejores tecnologías de seguridad implantadas, un ataque de Spear Phishing
puede resultar satisfactorio y con exito.
La solución más exitosa para este delito y muchos
otros con alto componente de ingeniería social, resultará de la prevención
mediante campañas de formación y concienciación periódicas que permitan
mantener informados a los empleados de la organización sobre los nuevos casos
de Spear Phishing, las actualizaciones de seguridad, vulnerabilidades, malware,
etc. forjando así una cultura de seguridad global para todas las organizaciónes e instituciónes tanto públicas y privadas.
Hasta la proxima entrega amig@s.
Cordial saludo,
Elvin J. Mendoza, M.A.
