Existen muchas diferencias entre el phishing, el spear phishing y los ataques de ingeniería social, pero a menudo se utilizan indistintamente y de forma incorrecta. Esto crea cierta confusión a la hora de describir los ataques y planificar la defensa. Entender estos tipos de ataque es importante.

En nuestro repaso a las 5 Agonías de los Ciberataques, señalábamos que el 60% de las empresas declararon haber sido víctimas de ataques de ingeniería social el año anterior y que el 61% consideraba el spear phishing como una de las amenazas más importantes a las que se enfrentan hoy en día. Otros informes muestran que el 91% de todos los ciberataques comienzan con una campaña de phishing o spear phishing y Proofpoint descubrió que el 99,7% de los documentos utilizados en campañas basadas en archivos adjuntos se basaban en ingeniería social y macros.

¿Lo has entendido? Muy bien. El equipo Graphus recopilado algunas definiciones claras de «phishing», «spear phishing» e «ingeniería social». También hemos incluido algunos ejemplos y hemos añadido el «whaling» como término extra. Un entendimiento común de estos términos puede ayudar a los departamentos de TI y a los ejecutivos empresariales a comunicarse con mayor claridad y a coordinarse mejor para defenderse de las formas más habituales de ciberataques que tienen éxito.

¿Qué es el phishing?

Las estafas de phishing tradicionales lanzan una amplia red con la esperanza de atrapar a algunas víctimas incautas. Por lo general, la víctima recibe un correo electrónico que parece legítimo y le advierte de que debe iniciar sesión en un sitio web para realizar una determinada acción. El correo electrónico contendrá un enlace a lo que parece un sitio web legítimo y se pedirá a la víctima que introduzca los datos de su cuenta. Una vez introducidos, el ciberdelincuente utilizará esa información para robar, cometer fraude u obtener información aún más valiosa. La estrategia de ataque consiste en contactar con un gran número de víctimas potenciales con la esperanza de identificar a un puñado que haga clic y caiga en la trampa.

¿Cuáles son algunos ejemplos de phishing?

Los ataques de phishing suelen consistir en un archivo adjunto malicioso o un enlace malicioso a un sitio web comprometido. Ars Technica informó sobre varios ataques de ransomware iniciados por phishing en 2016 contra hospitales.

"Marzo no ha sido un buen mes para la informática hospitalaria. La semana pasada, el personal del Methodist Hospital de Henderson (Kentucky) pagó un rescate de $17,000 dólares para restaurar los sistemas del hospital, aunque fuentes conocedoras del episodio afirman que el hospital pagó mucho más. Y en California, dos hospitales gestionados por Prime Healthcare Management, Inc. se vieron obligados a cerrar sus sistemas. El ataque del ransomware de Prime también causó interrupciones del servicio en varios otros hospitales y en proveedores de atención afiliados, ya que los sistemas compartidos quedaron fuera de línea... Los ataques del ransomware del Methodist Hospital y de Prime Healthcare se produjeron a través de correos electrónicos de "phishing"."

¿Qué es el Spear Phishing?

Por el contrario, el spear phishing consiste en un pequeño número de contactos que ofrecen un alto índice de conversión. Los spear phishers obtienen información privada investigando los antecedentes de personas y empresas en las redes sociales, sitios web corporativos y otra información disponible públicamente. Los ciberdelincuentes utilizan esa información específica para convencer a la víctima de que realice una tarea o comparta información.

¿Cuáles son algunos ejemplos de Spear Phishing?

Un reciente artículo del sitio de noticias locales del condado de Berks (Pensilvania) ofrece un buen ejemplo.

««Weidenhammer ha sido víctima de un ataque de spear phishing que ha dado lugar a la transferencia del 100% de nuestros formularios W-2 de 2016 a un tercero desconocido», informó el fundador de Weidenhammer Systems Corporation a los empleados en 2017. «Deben dar por hecho que su número de la Seguridad Social, su domicilio, sus ingresos de 2016 y todas las retenciones fiscales que aparecerían en un formulario W-2 se han visto comprometidos».

"Los autores ya han comenzado a utilizar la información para presentar declaraciones de la renta federales y estatales fraudulentas correspondientes a 2016, solicitar préstamos sobre el valor neto de la vivienda y abrir/estafar cuentas de tarjetas de crédito", dijo John Weidenhammer.

Este ejemplo ilustra la rapidez con la que una estafa de spear phishing puede engañar a los empleados de una empresa. Sin embargo, el peligro más habitual es el que afecta directamente a las finanzas o a la propiedad intelectual de la empresa. El Infosec Institute registró los detalles de otro ataque de spear phishing contra Ubiquiti Networks en 2015.

«El potencial destructivo de un ataque de spear phishing para una empresa queda claramente de manifiesto en el caso de Ubiquiti Networks Inc., una empresa estadounidense de tecnología de redes para proveedores de servicios y empresas. En junio de 2015, la empresa perdió $46.7 millones de dólares a causa de un correo electrónico de spear phishing. Un informe de la Comisión de Valores y Bolsa de EE.UU. revela que el ataque se llevó a cabo mediante «la suplantación de identidad de un empleado y solicitudes fraudulentas de una entidad externa dirigidas al departamento financiero Company».

¿Qué es la caza de ballenas?

Se trata de un término más reciente y es simplemente un ataque de spear phishing dirigido a altos ejecutivos, las ballenas. El whaling puede parecerse al spear phishing o a la ingeniería social, pero se distingue por la persona de la organización a la que va dirigido. Es posible que los ejecutivos necesiten formación adicional para detectar este tipo de ataques y, sin duda, necesitan protección adicional de soluciones tecnológicas que puedan prevenir incidentes antes de que se produzcan. Si está protegido contra el phishing con arpón, puede asumir que también está protegido contra el whaling.

¿Cuál es un ejemplo de caza de ballenas?

Un ejemplo de whaling de 2016 tiene como protagonista a la conocida empresa de redes sociales Snap, famosa por su popular aplicación Snapchat. Digital Guardian ofreció este resumen del ataque.

A principios de 2016, la aplicación de medios sociales Snapchat fue víctima de un ataque de ballenas cuando un empleado de alto rango recibió un correo electrónico de un ciberdelincuente que se hizo pasar por el director general y fue engañado para que revelara información sobre la nómina de los empleados.

Un ataque de 2015 tuvo como objetivo Mattel, el mundialmente famoso fabricante de Barbie y otros juguetes. CBS News informó:

"El correo electrónico parecía anodino: una solicitud rutinaria del director general de Mattel para el pago de un nuevo proveedor a China... La ejecutiva de finanzas que recibió la nota estaba naturalmente ansiosa por complacer a su nuevo jefe. Volvió a comprobar el protocolo. Las transferencias de fondos requerían la aprobación de dos altos directivos. Satisfecha, la ejecutiva transfirió más de $3 millones de dólares al Banco de Wenzhou, en China. Horas después, mencionó el pago a Sinclair. Pero él no había hecho ninguna petición en ese sentido".

Mientras que los esquemas de phishing suelen basarse en el correo electrónico, los archivos adjuntos y las páginas web para captar datos privados, la ingeniería social puede utilizar estos medios, el teléfono o cualquier otro método. La ingeniería social consiste en manipular psicológicamente a las personas para que divulguen información o realicen acciones inapropiadas. Muy a menudo, las víctimas no tienen ni idea de que han hecho algo malo hasta que se descubre el fraude. Al igual que el spear phishing, los ataques de ingeniería social están muy dirigidos a un pequeño número de víctimas potenciales.

Un artículo de USA Today describe una técnica de ataque de ingeniería social utilizada en 2016 en un artículo reciente.

«En una de las variantes más recientes de esta estafa, los delincuentes, haciéndose pasar por abogados, se ponen en contacto con directivos de las empresas seleccionadas alegando que están gestionando asuntos importantes, confidenciales o de carácter urgente, y ejercen presión psicológica para engañar al directivo y que este transfiera los fondos a los estafadores».

Otro ejemplo es cortesía de Smartfile. En él se describe un ataque al FBI mediante una sencilla técnica de ingeniería social iniciada a través de una llamada telefónica.

Así que llamé [al servicio de asistencia], les dije que era nuevo y que no sabía cómo pasar [el portal]", explicó el hacker a Motherboard. Me preguntaron si tenía un código de acceso, les dije que no y me contestaron que no había problema, que utilizara el nuestro. Hice clic en él y tuve acceso completo al ordenador".

«Poco después, se hicieron públicos 20,000 registros del FBI y 9,000 del Departamento de Seguridad Nacional. El hacker accedió a los nombres de los empleados e incluso a la información de sus tarjetas de crédito. Según el estándar de IBM de 2015 sobre el coste por registro filtrado ($170 dólares por registro basado en actividad maliciosa), eso supone una pérdida de casi 5 millones de dólares durante una conversación telefónica de dos minutos. Probablemente la cifra fuera aún mayor, dada la cantidad de datos de tarjetas de crédito y las implicaciones, aún desconocidas, de los datos de seguridad nacional a los que se accedió».

¿Qué tienen en común estos ataques?

Todas estas técnicas pueden dar lugar al robo de credenciales de cuentas, al uso de enlaces maliciosos o al empleo de malware como parte de los ataques. Muchas brechas de seguridad de la información implican múltiples herramientas, técnicas y procedimientos (TTP), tal y como reza el dicho del sector. Sin embargo, la mayoría de ellas comienzan con un simple correo electrónico. El phishing, el spear phishing, el whaling y la ingeniería social se utilizan habitualmente como puntos de entrada para iniciar un ataque o como puntos de escalada para acceder más fácilmente a información valiosa o llevar a cabo acciones más perjudiciales.

Además, todas ellas implican técnicas de intrusión que ni siquiera tus mejores sistemas de prevención de intrusiones y detección en los endpoints pueden detener. Son tus propios empleados quienes están dejando entrar a estas personas por la puerta principal. A veces, tus empleados están cometiendo el robo sin saberlo, actuando en nombre de los delincuentes.

Graphus te Graphus a medir la confianza y a prevenir las vulnerabilidades

Graphus encontrado la manera de detener casi todos estos ataques identificando los indicadores conocidos de engaño Y creando un gráfico de relaciones de confianza entre tus empleados y el mundo exterior. Esto va mucho más allá de la seguridad del correo electrónico que ofrece Google o de la formación contra el phishing. Ambas soluciones ayudan, pero permiten que se produzcan demasiados ataques. Un informe de ISMG sugiere que el 65% de todos los ataques de ingeniería social logran eludir estas defensas tradicionales. El uso de la teoría de grafos, junto con el aprendizaje automático y los algoritmos de big data, permite Graphus los ataques de spear phishing y de ingeniería social.

Una plataforma completa para la gestión de TI y seguridad

Una plataforma. Todo en uno para TI.

Su éxito es nuestra prioridad número 1

Informe Global de Referencia para MSP 2025

Explora las categorías

El verdadero costo de los ataques de phishing

Campaña de phishing en Zoom: cómo los ciberdelincuentes falsifican alertas de la SSA y hacen un uso indebido de ConnectWise ScreenConnect

Los entresijos de la estafa de las facturas de OpenAI: explicación del uso indebido de SendGrid y del phishing por devolución de llamada