Ocurre con frecuencia: dentro de una empresa u organización, alguien recibe un correo electrónico solicitando información confidencial. Las sospechas son casi nulas, pues el diseño que contiene el mensaje es idéntico al de la entidad que están suplantando.

Sin embargo, luego de hacer clic, la víctima es enviada a un sitio web en el que ingresa sus datos personales o los de la empresa en la que trabaja. Y es precisamente en ese momento cuando empieza el robo.

El spear phishing es uno de los ataques más comunes y peligrosos a los que están expuestas corporaciones e instituciones de gran alcance, pero también empresas medianas y pequeñas. Consiste en el envío selectivo de correos electrónicos dirigidos a individuos de una determinada organización desde un supuesto remitente de confianza, y todo con el fin de obtener información personal para cometer sus planes delictivos.

A diferencia del conocido phishing, que enfoca sus ataques de manera más generalizada, el spear phishing lo hace con objetivos determinados, a través de tácticas mucho más complejas, pero a la vez específicas y difíciles de detectar. A nivel individual, el robo de datos confidenciales es alarmante y la mayor amenaza son las extorsiones, pero en el caso del spear phishing, su objetivo mayor son las empresas.

Correos que atacan imperios

Un estudio de Trend Micro, compañía dedicada a brindar servicios de ciberseguridad, revela que -en el mundo- el 91% de los ataques cibernéticos empiezan con un correo electrónico de spear phishing.

Por ejemplo, antes de las elecciones que llevaron a Trump a la Casablanca, el spear phishing fue el origen del hackeo al Partido Demócrata de Estados Unidos.

A fines de 2014, una intrusión a los sistemas de Sony Pictures terminó en la fuga de información sensible, amenazas a los empleados y películas filtradas en la web. Al inicio, los medios e incluso el FBI apuntaron sus sospechas a Corea del Norte; sin embargo, meses más tarde, algunos analistas revelaron que se habría tratado de un ataque de spear phishing.

Según, Ernst & Young, consultora empresarial con presencia en todo el mundo, en el Perú solo uno de cada 10 ejecutivos cree que la seguridad de información aplicada en sus negocios es realmente efectiva a la hora de contrarrestar ciberataques y 9 de cada 10 asegura que sus empresas no cuentan con el presupuesto suficiente para ejecutar iniciativas de ciberseguridad.

Y, si bien la forma más efectiva de aplacar este peligro es a través de la prevención, las empresas deben ser conscientes de lo importante que es mantener un ecosistema de seguridad adecuado y que todos sus colaboradores estén debidamente informados para evitar acciones arriesgadas.

¿Cuál es la mejor forma de prevenir el spear phishing?

No ingresar a enlaces extraños

Si cree que el origen de un correo es sospechoso, entonces lo mejor es no hacer clic ni ingresar a los enlaces que pueda encontrar en él. Al hacerlo podría ser derivado a otro sitio diseñado solo para robarle información confidencial. Lo ideal es revisar si la conexión es segura a través del protocolo https:// y el ícono del candado (aunque, hay que estar atentos porque existen casos de sitios falsos con certificado de servidor seguro).

Confirmar quién envía el correo o mensaje

 Por lo general, les ciberdelincuentes se hacen pasar por firmas u organizaciones con las que las víctimas potenciales suelen tener trato constante. Por ello, lo ideal es corroborar la dirección del remitente y presta mucha atención a los detalles pequeños. Esta es la mejor forma de evitar riesgos.

Mantener el sistema actualizado

 Una forma de prevenir ciberataques es estar siempre atentos a las últimas versiones de los sistemas, pues suelen corregir errores y lanzan nuevas características de seguridad.

Instalar un buen firewall

 Este funcionará como un filtro, tanto en las computadoras como en las conexiones a internet, protegiéndolos de virus y ciberataques.

Ensayar ataques simulados

 Una de las mejores estrategias para hacer frente a ataques de spear phishing es que los empleados de la empresa tomen conciencia de sus peligros. Para ello, una buena idea es simular ataques ficticios a través de pruebas de penetración. Estas consisten en que un ‘hacker bueno’ pruebe la efectividad de los controles de seguridad y explote vulnerabilidades en los elementos del sistema: cables, wifi, infraestructura física, errores de aplicaciones e incluso conductas humanas que constituyan una forma de riesgo.

Utilizar contraseñas más seguras

Los números, letras (mayúsculas y minúsculas), símbolos alfanuméricos y signos de puntuación deben ser intercalados en los passwords. Pero no deben elegirse datos demasiado predecibles, como, por ejemplo: nombres y apellidos, fechas de nacimientos, deportes favoritos, etc. Otra recomendación es emplear contraseñas distintas para cada servicio.

De otro lado, según el Fondo Monetario Internacional (FMI), los ciberataques son una estrategia cada vez más presente en el mundo financiero y generan pérdidas anuales hasta de US$ 100 mil millones.

Además, un estudio de la empresa de ciberseguridad Sophos, revela que México es el país con la mayor cantidad de ataques, pues el 82% de sus organizaciones aseguran haber sido víctimas de ellos. La lista la siguen Francia (79%) e India (76%), y Japón se ubica al final con el 25% de casos.

La principal función de G4S es velar siempre por su seguridad. No se pierda nuestras próximas publicaciones. ‘Ciberseguridad G4S’ lo mantendrá informado acerca de las principales amenazas que ponen en riesgo su paso por la web y también le mostrará las últimas estrategias para mantenerse siempre protegido frente a estos peligros.