Tal y como indica el Ministerio de Interior, uno de cada cinco delitos se comete en la red. En 2022, las Fuerzas y Cuerpos de Seguridad del Estado registraron 375.506 ciberataques, un 72 % más que los registrados durante 2019, año de referencia antes de la pandemia COVID-19. La mayoría de ciberamenazas se presentan en forma de estafas informáticas y fraudes, ya que 336.778 denuncias encajan con esta tipología de infracciones.
De todas estas amenazas informáticas, el phishing se presenta como uno de los ataques informáticos más frecuentes. Según el Informe de tendencias de actividad de phishing elaborado por APWG, en 2021 estos ataques alcanzaron una cifra histórica, con más de 300.000 ataques registrados en diciembre. El informe revela que este delito se ha triplicado en menos de dos años.
No obstante, el phishing no es ninguna novedad, ya que este término fue acuñado en 1996 por el grupo de noticias Usenet. Por otro lado, se encuentra el spear phishing, un ataque más reciente surgido en 2003, cuando los fraudes comenzaron a dirigirse a los usuarios en lugar de organizaciones.
¿Qué es el phishing?
El phishing es un tipo de estafa informática que se basa en la ingeniería social. Esta consiste en enviar correos electrónicos de forma masiva suplantando la identidad de compañías u organismos públicos. Estos correos electrónicos fraudulentos solicitan al destinatario sus datos personales o bancarios, como, por ejemplo, la contraseña de acceso a la banca online o el número de la tarjeta de crédito.
En un primer vistazo, un correo tipo phishing es complicado de detectar, puesto que los ciberdelincuentes le dan una imagen corporativa haciéndose pasar por la empresa u organismo oficial, utilizan el logotipo o la imagen corporativa de la organización. Sin embargo, en ocasiones se pueden detectar errores gramaticales y comprobar que incluyen archivos adjuntos infectados con software malintencionados tipo ransomeware, o links a webs sospechosas, que pueden ser de gran valor para la investigación judicial.
¿Qué es el spear phishing?
Con respecto al spear phishing, se trata de una modalidad específica de correo phishing. Esta amenaza informática también intenta engañar a la víctima a través de correos suplantados bien estructurados, con el objetivo de captar datos confidenciales, tales como credenciales de cuentas bancarias. Asimismo, hacen uso de vínculos y archivos malignos para que el destinatario los descargue, de forma involuntaria y, en consecuencia, el atacante pueda tener acceso al dispositivo del usuario.
En este caso, la víctima es estudiada con atención durante semanas e incluso meses. De este modo, el ciberdelincuente recaba información sobre sus costumbres e intereses para diseñar la estafa de forma individualizada.
Diferencias entre phishing y spear phishing
Aunque ambos fraudes se desarrollan a partir de ingeniería social y se difunden, no solo a través de correos electrónicos, también puede darse a través de SMS, llamado smishing, redes sociales, plataformas de mensajería e incluso por voz, y en todos los casos lo hacen suplantando entidades fiables. La principal diferencia entre phishing y spear phishing se encuentra en el destinatario del ciberataque.
El phishing no es una estrategia individualizada, en este caso, los atacantes informáticos crean un correo electrónico para difundirlo a múltiples usuarios de forma masiva y aleatoria. Por el contrario, el spear phishing está plenamente personalizado, y se envía a un número reducido de usuarios e incluso a una sola persona o empresa. Gracias a su personalización es más difícil de detectar, ya que parece más creíble.
Los delincuentes informáticos detrás del spear phishing recopilan datos sobre el usuario objetivo durante un determinado tiempo, analizan redes sociales, foros, blogs y otros medios digitales. Por ende, es más complejo de ejecutar, ya que es necesario establecer una estrategia previa. Del mismo modo, esta amenaza genera una mayor tasa de éxito, puesto que los usuarios son engañados con más facilidad.
Acerca del tono del mensaje, el spear phishing usa un estilo conocido por el usuario. En cambio, el phishing es generalista, emplea un tono formal y protocolario siguiendo la identidad corporativa de la compañía suplantada.
¿Cómo protegerse ante un correo fraudulento?
En primer lugar, para evitar sufrir spear phishing o phishing es conveniente leer detenidamente el mensaje. Por lo general, los usuarios no tienen los conocimientos necesarios en ciberseguridad, pero, existen ciertos trucos para detectar un correo fraudulento. Principalmente, muchos de estos mensajes tienen faltas de ortografía o errores gramaticales.
Ambos fraudes informáticos suelen contar con enlaces para descargar e instalar software maliciosos en los dispositivos de sus destinatarios, con el objetivo de robar información. En consecuencia, es fundamental no entrar en los enlaces adjuntos al correo sospechoso.
También se debe evitar difundir datos confidenciales personales o empresariales. El correo electrónico es una herramienta esencial hoy en día, pero, por precaución, es recomendable que los datos confidenciales o sensibles no se intercambien por medio de correo electrónico si no se está seguro al 100% de la fuente del mensaje.
Implantar estrategias de ciberseguridad y formar a los empleados y usuarios en las organizaciones puede ayudar a tomar medidas y prevenir ante los ataques cibernéticos. Principalmente, estas estrategias se tienen que enfocar en soluciones antiphishing o antispam para poder bloquear todas las posibles amenazas.
