Cómo funciona el ‘spearphishing’, el nuevo método de estafa de los ciberdelincuentes

El auge de las redes sociales y el aumento de los datos compartidos en internet han cambiado de forma notable el escenario de la ciberseguridad. Lo que antes podía servir para reforzar la imagen profesional se ha convertido actualmente en una herramienta aprovechada por los ciberdelincuentes, que recurren a técnicas avanzadas de ingeniería para realizar ataques cada vez más sofisticados y precisos. 

En dicho contexto, el spearphishing es una versión más tradicional del ya conocido phishing. En este caso, se utiliza información obtenida de perfiles públicos para engañar con mayor eficacia a empleados de una empresa y a las organizaciones.

Spearphishing: ataques personalizados

A diferencia del phishing tradicional, que se basa en el envío de mensajes genéricos, el spearphishing se dirige a empleados o empresas concretas. Para realizarlo, los estafadores recopilan información específica que proviene de internet, redes sociales y filtraciones de datos. Los ciberdelincuentes dedican mucho tiempo a investigar a sus víctimas en plataformas como LinkedIn, GitHub, Instagram o X, donde muchos profesionales comparten logros o proyectos laborales.

Tras reunir toda la información necesaria, los timadores crean mensajes a medida que simulan comunicaciones reales, como correos electrónicos supuestamente enviados por un compañero, peticiones urgentes de un supuesto proveedor o referencias a proyectos reales. El objetivo es generar confianza en la víctima para que pueda facilitar su credenciales, acceda a enlaces fraudulentos o descargue archivos infectados.

La fase inicial de un ataque de spearphishing se centra en la recopilación de datos públicos. Cada actualización o publicación se puede convertir en un elemento fundamental para empezar a crear una estafa.

Redes sociales: un entorno propicio para la ingeniería social

Las plataformas digitales, tanto profesionales como personales, han incrementado la exposición de información que antes permanecía de manera privada. Una de las principales plataformas es LinkedIn, que facilita el acceso a organigramas, funciones, cargos, proyectos y diversos detalles que pueden ser utilizados en ataques cibernéticos. Además, las ofertas de trabajo publicadas por los reclutadores suelen revelar datos sobre la infraestructura de las empresas.

Por otro lado, GitHub representa otra fuente de información. En esta plataforma se comparten direcciones de correo electrónico corporativos o nombres de herramientas internas de trabajo. Por su parte, Instagram y X permiten a los estafadores seguir diferentes actividades fuera del entorno laboral. Una simple fotografía sobre un viaje o la asistencia a un evento puede indicar el momento oportuno para lanzar un ataque, aprovechando la ausencia de responsables. 

Cómo detectar y prevenir el spearphishing

El spearphishing se distingue del phishing tradicional por el nivel de detalle y personalización de cada mensaje. Los mensajes suelen incluir solicitudes urgentes o enlaces que conducen a páginas fraudulentas que imitan los sitios oficiales.  

Las consecuencias pueden ser graves, desde el robo de contraseñas y  datos personales hasta fraudes económicos o pérdida de información confidencial del ámbito profesional. Para reducir el riesgo de caer en el spearphishing, el Instituto Nacional de Ciberseguridad (INCIBE) brinda una serie de recomendaciones:

• No abrir enlaces ni archivos adjuntos procedentes de mensajes sospechosos
• Mantener actualizados los sistemas y aplicaciones en todos los dispositivos
• Utilizar contraseñas seguras y diferentes para cada servicio
• Reducir la cantidad de información personal y profesional que se comparte en internet
• Comprobar siempre la autenticidad de los mensajes que recibes, sobre todo cuando implican solicitudes de datos confidenciales o acciones urgentes