Denunciar mensajes fraudulentos es el primer paso si has sufrido este fraude online en tu empresa. Deberás acudir a la Policía y comunicarte con INCIBE (Instituto Nacional de Ciberseguridad) a través de su web o del buzón incidencias@incibe-cert.es.
El spear phishing es un tipo de estafa online «selectiva» dirigida a una persona o empresa en específico y ya se ha convertido en el método de ataque más utilizado por el 71% de los grupos de ciberdelincuentes de todo el mundo según el informe sobre las amenazas a la seguridad en Internet de Symantec.
Pero realmente, ¿qué es spear phishing, cómo puedes actuar ante este tipo de estafa por internet y, lo más importante, el banco te devuelve el dinero si te estafan en tu empresa? La ayuda de abogados especialistas en fraudes online será clave, pero, en este artículo, te vamos a contar todo lo que puedes hacer previo a ese paso y también otras medidas de prevención.
Qué es spear phishing: definición y cómo funciona
Podemos definir spear phishing como una forma avanzada de phishing en la que los estafadores se dirigen a una persona o, más específicamente, a una empresa, utilizando información personal o corporativa para hacer que la ciberestafa sea más creíble.
Si has sufrido esta estafa online en tu empresa, te preguntarás cuál es la diferencia entre phishing y spear phishing. Pues bien, en el phishing tradicional el mensaje se envía a un amplio número de personas con la esperanza de engañar a algunas, mientras que el spear phishing es mucho más focalizado. Los atacantes suelen investigar a sus objetivos para personalizar los mensajes, aumentando así las probabilidades de éxito.
Los métodos más comunes usados por los phishers o atacantes son por correo electrónico, mensajes de texto o llamadas telefónicas.
Diferencia entre phishing y spear phishing
Es fundamental entender la diferencia entre phishing y spear phishing para identificar y mitigar los riesgos de caer en este tipo de estafas.
Mientras que el primero es un ataque masivo y genérico, el spear phishing se centra en un objetivo particular, utilizando información relevante y específica, por lo general, de una organización.
- Phishing: Como ejemplo de este tipo de estafa online, un correo de phishing podría simular ser una notificación de un banco, enviado a miles de usuarios.
- Spear-phishing: En cambio, un ataque de spear phishing podría dirigirse a un ejecutivo de una empresa, mencionando detalles internos como nombres de proyectos o colaboradores, lo que lo hace mucho más difícil de detectar.
- Angler phishing: Este otro tipo de estafa que, si bien no está enfocada sobre una organización en concreto, es uno de los objetivos de los piratas que cometen delitos informáticos. Mediante esta táctica, se hacen pasar por el personal de atención de una organización y también de cuentas de redes sociales, lo que hace aún más fácil caer en la trampa.
Spear phishing, definición:
El spear phishing está dirigido a una persona u organización en concreto. El ciberelincuente conoce detalles específicos de la organización, lo que provoca que la víctima de phishing caiga con más facilidad en la estafa en internet.
¿Cómo identificar una estafa de spear phishing?
No es fácil identificar una estafa de spear phishing, pero todas ellas tienen elementos en común que te pueden hacer sospechar que se trata de un fraude cibernético.
Los atacantes de spear phishing suelen utilizar correos electrónicos o mensajes que aparentan ser de fuentes confiables, como proveedores, socios comerciales, o incluso compañeros de trabajo.
Estas comunicaciones fraudulentas pueden incluir enlaces a sitios web falsificados, o archivos adjuntos que contienen malware. Una vez que la víctima hace clic o descarga el archivo, los ciberdelincuentes pueden acceder a información confidencial, como credenciales bancarias o datos de clientes.
Este tipo de phishing se apoya en diversas técnicas de ingeniería social:
-
Crean un texto convincente:
Los delincuentes suelen inventar una historia creíble o una situación que el objetivo pueda reconocer, como por ejemplo, 'su contraseña está a punto de expirar'. -
Generan un sentido de urgencia:
Simulan ser un proveedor que reclama un pago atrasado por un servicio esencial. -
Apelan a emociones o instintos subconscientes:
Apelan a emociones o instintos subconscientes: Tratan de provocar miedo, culpa o codicia en el objetivo, mencionando una causa o evento importante para el mismo, o simplemente algo que sea útil para la víctima. Un ejemplo sería 'aquí tiene un enlace a una tienda en línea que vende las piezas de ordenador que necesita'.
-
Ejemplos de spear phishing
Entre los muchísimos ejemplos de spear phishing podemos destacar el siguiente:
Recibes un correo de tu proveedor habitual en el que solicitan la confirmación de un pago. El mensaje parece real, pues contiene detalles precisos sobre transacciones anteriores y está firmado por alguien con quien sueles comunicarte. Sin embargo, al hacer clic en el enlace proporcionado, se te redirige a una página web idéntica a la de tu proveedor, donde ingresas tus contraseñas y otros datos de acceso. En ese momento, los atacantes han logrado acceder a tu cuenta, poniendo en riesgo los activos de tu empresa.
Spear phishing ejemplos: Las empresas que suelen utilizar los delicuentes como ganchos suelen ser entidades bancarias y financieras como Carrefour, Banco BBVA, Banco Santander o ING Direct.
Cómo actuar tras sufrir un ataque de spear phishing
Si ya has sido víctima de un ataque de spear phishing en tu empresa, debéis actuar con rapidez en vuestra organización. Recuperar el dinero estafado puede ser un proceso complejo, pero no imposible. Estos son los pasos que debes seguir:
1. Notificar inmediatamente a la entidad bancaria
El primer paso es contactar a la entidad bancaria lo antes posible. El responsable de la organización, deberá informar sobre la transacción fraudulenta y solicitar que se detenga el pago si aún no ha sido procesado. Los bancos suelen tener protocolos para estos casos y, dependiendo de la rapidez de la acción, podríais lograr detener el fraude a tiempo.
2. Recopilar toda la evidencia
Reúne toda la información relacionada con el ataque: correos electrónicos, capturas de pantalla, registros de llamadas, etc. Esta documentación será esencial no solo para el banco, sino también si decides proceder legalmente.
3. Denunciar phishing a la policía
En España, es fundamental denunciar el fraude de internet a la Policía Nacional o la Guardia Civil. Esta denuncia no solo es necesaria para posibles acciones legales, sino que también ayuda a las autoridades a rastrear y combatir este tipo de delitos.
Paralelamente, puedes denunciar el robo de identidad a través del Instituto Nacional de Ciberseguridad (INCIBE), los cuales agradecerán siempre la colaboración ciudadana. Deberás dirigirte a la página de la “Oficina de Seguridad Informática” o usar el buzón para reportar los fraudes: incidencias@incibe-cert.es.
4. Contactar con abogados especialistas en fraudes online
En muchos casos, la recuperación del dinero estafado puede requerir la intervención de abogados especialistas en fraudes online y ciberestafas.
En Asoban Abogados, contamos con un equipo experto en este tipo de casos, que puede ayudarte a explorar todas las vías legales para recuperar los fondos en tu empresa y protegerla de futuros ataques.
5. Reforzar las medidas de seguridad en tu empresa
Después de un ataque cibernético, es vital reforzar las medidas de seguridad en tu empresa. Esto incluye la formación continua de los empleados sobre ciberseguridad, la implementación de autenticaciones de dos factores, y la revisión de los protocolos de seguridad internos.
Cómo prevenir el Spear Phishing
Prevenir es siempre mejor que lamentar. Por eso, vamos a ver algunas recomendaciones claves sobre cómo prevenir el spear phishing.
-
Verificar la autenticidad del dominio del remitente
Antes de interactuar con un correo electrónico, es esencial asegurarse de que el dominio del remitente es auténtico y coincide con el de la empresa legítima. Presta atención a dominios que parecen correctos pero tienen pequeñas diferencias.
-
Texto mal escrito
Un correo con errores gramaticales o mal traducido puede ser una pista de un ataque de spear phishing. Estos mensajes a menudo son producto de traducciones automáticas, lo que los hace imprecisos.
-
No te pedirán información personal
Es poco común que una empresa te pida datos personales por correo electrónico. Desconfía de cualquier solicitud de información confidencial, especialmente si el mensaje trata de presionarte para que actúes de inmediato.
-
Asuntos del email sospechosos
Los asuntos llamativos, como notificaciones de que has ganado algo o advertencias sobre el cierre de tu cuenta, suelen ser indicativos de phishing. Si no esperabas un mensaje así, no lo abras sin antes verificar su autenticidad.
-
Cuidado con los archivos adjuntos
La mayoría de los correos electrónicos fraudulentos incluyen archivos adjuntos peligrosos. Estos suelen pasar desapercibidos por los filtros de spam. Si recibes un archivo adjunto inesperado, no lo abras sin precaución.
-
Implementación de herramientas de seguridad
Utiliza herramientas de seguridad como firewalls, filtros de spam avanzados y soluciones de autenticación multifactorial para proteger las comunicaciones y las transacciones de tu empresa.
Conclusión: la importancia de actuar rápidamente
Los ataques de spear phishing representan un riesgo significativo para cualquier empresa, pero con las acciones correctas, puedes no solo recuperar el dinero estafado, sino también fortalecer la seguridad de tu organización.
En Asoban Abogados, como expertos en derecho bancario y especialistas en fraudes online, tenemos las herramientas para ayudar a tu organización. Ponte en contacto sin compromiso y evaluamos tu situación gratis en la primera consulta.
Preguntas frecuentes sobre spear phishing
-
¿Qué es el spear phishing?
El spear phishing es un método de phishing que está dirigido a un objetivo específico. En él, los atacantes tratan de obtener información confidencial de la víctima a través de correo electrónico.
-
¿Qué distingue el spear phishing del phishing tradicional?
Mientras que el phishing usa un tono formal y protocolario al seguir la identidad de marca de la compañía a la que está suplantando, el spear phishing usa un estilo que le es más familiar al usuario, de manera que sea difícil de detectar la estafa online.
-
¿Qué es una campaña de spear phishing?
Una campaña de spear-phishing es cuando los ciberdelincuentes envían un mensaje, normalmente por correo electrónico, a un objetivo concreto. Dicho objetivo suele ser un empleado o responsable de una organización, al cual se le anima a tomar medidas urgentes a través de este mensaje recibido, aparentemente de una fuente de confianza.
-
¿Qué tipos de phishing hay?
Los diferentes tipos de phishing más comunes son los siguientes:
- Spear phishing
- Angler phishing
- Whaling
- Smishing
- Vishing
- Phishing por email
- SEO Phishing
- Phishing en las redes sociales
- Pharming