¿Qué es el phishing y el spear-phishing?

Con "phishing" nos referimos a los intentos de los estafadores y delincuentes para recolectar y adquirir información sensible tales como usuario/contraseñas, números de tarjeta de crédito, datos médicos, datos jurídicos, etc., haciéndose pasar por alguien y/o algo en el que normalmente confiamos.

Las acciones más comunes se realizan por correo electrónico, mensajería instantánea y a través de páginas web. El ataque consiste en engañar al usuario para que pinche en un enlace que le lleva a una página / servicio que tiene la apariencia del original pero que en realidad está controlado por estafadores y que nos solicitan todo tipo de datos. Por tanto, el phishing es una forma de ingeniería social. Las campañas de phishing son generales y su motivación es la de capturar el mayor número de víctimas posibles.

En cambio el spear phishing se centra en un grupo u organización y es un ataque dirigido o bien a tu persona o bien a tu compañía, familia, etc. Es muy común que el spear phisher conozca algunas cosas sobre ti: nombre, dirección de correo electrónico, teléfono, nicks en redes sociales, etc. De forma que utiliza esta información para personalizar el ataque, tu ataque.

Intentará realizar todo tipo de engaños para ganarse tu confianza y si establece contacto por correo electrónico puede hacer referencia a un amigo mutuo, o a algún tipo de actividad en redes sociales reciente que hayas llevado a cabo.

Como este tipo de mensajes vienen de personas que conoces o “de amigos mutuos” o de una entidad confiable, es muy probable que te relajes y que bajes la guardia, y por tanto entregues la información que los delincuentes están buscando.

Y te preguntarás, ¿y que van a querer de mí? ¿Por qué una red de ciberdelincuentes va a personalizar un ataque contra mí? Pues siempre buscan dinero, o alguna forma de convertir la información que les proporciones en dinero, y ¿cómo te conviertes en el blanco de un ataque de spear-phishing?

Pues la mayoría de las veces, a través de la información que tú mismo haces pública en internet. Por ejemplo, el ciberdelincuente recorre las redes sociales y a través de ellas encuentra tu dirección de correo electrónico, tu lista de amigos y tus publicaciones recientes. Usando esta información, se hace pasar por un amigo o conocido tuyo de forma que te envía un mensaje / correo electrónico y te solicita una contraseña para un perfil determinado. Una vez que obtiene la contraseña intenta con diferentes variaciones de la misma tratar de acceder a tu cuenta en un sitio que hayas mencionado en una publicación reciente, o una página de compras en línea, y de esa forma obtener tu información financiera almacenada en ese sitio.

También es muy probable que use esa información tuya para hacerse pasar por ti y robarte la identidad, de forma que puede pedir que reseteen la contraseña y la envíen a un correo electrónico que el delincuente controla o que verifiquen tu número de tarjeta de crédito, tus datos médicos, etc.

Tomás Isasia Infante Padre, emprendedor, innovador, experto en consultoría tecnológica, divulgador de seguridad IT, chef y jugador de golf ocasional. Madrid, España.