Internet es una herramienta que, actualmente, engloba la totalidad o gran parte de las actividades que realizamos en nuestro día a día. Esta circunstancia no escapa a nadie, y, por ello, cada vez existen más robos de información a través de la red. 

La unión del Internet y el valor cada vez mayor de los datos, ya sean personales, profesionales, financieros, etc., ha provocado un aumento de lo que se conoce como spear phishing, en español, suplantación de identidad. 

phishing - diario juridico
Autor: Diego Donis, asesor jurídico en Labe Abogados

El spear phishing es una variante del phishing. Pero, ¿Qué es el phishing? Es un ciberataque aleatorio dirigido a robar información de todo tipo (usuario, cuenta bancaria, contraseña, etc). Consiste en enviar una comunicación creíble a un usuario (puede ser vía SMS, redes sociales o, lo más habitual, vía email), con el objetivo de persuadir a la víctima y que esta haga clic en un enlace malicioso, introduzca la información solicitada, descargue algún archivo perjudicial o incluso complete un pago.

Este ciberataque o robo de datos puede, no solo dañar la economía de la víctima, sino también, en algunos casos, afectar a la organización para la que trabaja. Piénsese en el robo de información sensible desde el punto de vista comercial o la posible manipulación del precio de las acciones.  

El spear phishing es una modalidad de phishing más peligrosa, pues aquí hay un objetivo definido y concreto, es decir, hay un usuario espiado durante semanas o meses. Los ciberatacantes durante este tiempo crean un dossier personal con datos sobre el objetivo y, con los mismos, crean un correo electrónico a medida, con el objetivo de que el usuario caiga en la trampa sin dudarlo. De esta forma, el mayor peligro de estos ataques reside en su adaptabilidad a cada víctima. Así, para una mayor credibilidad, los ciberatacantes se suelen hacer pasar por familiares, entidades bancarias, jefes o compañeros de trabajo. 

Como se ha indicado, normalmente suele existir una fase de recopilación de información por parte de los atacantes para así dar con la forma más precisa de engañar a sus víctimas. Esta información suele obtenerse de redes sociales o foros donde el usuario tiene un perfil, generalmente abierto al público, por lo que poseer cuentas privadas brinda una protección mayor ante estos ataques.  

Una vez delimitado en que consiste, se plantea la pregunta de cómo identificar estos correos electrónicos o mensajes maliciosos, y, así, evitar caer en la trampa. He aquí algunos consejos: 

En primer lugar, hay que prestar especial atención a aquellos mensajes recibidos por parte de una empresa conocida o de alguien cercano y en los que se nos solicita que llevemos a cabo algún trámite con urgencia: necesidad de un pago antes de cierta hora en un enlace concreto, o necesidad de descargar y leer un documento adjunto, por ejemplo. Así, si la comunicación recibida es un ataque spear phishing, ese enlace o ese documento adjunto serán maliciosos, permitiendo al hacker que lo ha enviado obtener datos personales o financieros de la víctima. 

También es recomendable comprobar correctamente la dirección del remitente, pues a primera vista puede ser engañosamente real. Muchas veces la diferencia con la dirección original es un punto, una barra baja o incluso una letra. 

Otra pregunta que nos debemos hacer es la siguiente: ¿se espera recibir ese email? Hay que desconfiar y extremar la precaución de aquellos emails que no se esperan o que se envían en horarios extraños. Por ejemplo, fuera del horario laboral. 

También es importante fijarse en la forma en la que está redactado el email, ya que los correos electrónicos pertenecientes a un ciberataque de estas características suelen contener alguna falta de ortografía y frases sin sentido o carentes de concordancia.

En base a lo expuesto, es evidente que hay cosas que el propio usuario puede hacer para evitar sufrir esta estafa cibernética. No obstante, deben aplicarse herramientas tecnológicas que puedan detectar los casos de phishing, especialmente en el ámbito de las empresas e instituciones, donde la ciberseguridad debe ser un puntal esencial. 

En definitiva, hay que tomar una posición crítica y cautelosa ante cualquier correo que reclame datos sensibles, evitando automatismos que pueden derivar en consecuencias desastrosas. No cabe duda de que conlleva un esfuerzo extra, pero supone ahorrarnos problemas futuros.


Autor: Diego Donis, asesor jurídico en Labe Abogados

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.