Cómo protegerte del 'spear phishing': cuando un correo fraudulento va dirigido exclusivamente a ti

Desgraciadamente, cuanto más desconfiados nos volvemos con aquello que vemos y recibimos a través de Internet, más variantes surgen de este tipo de estafa. Ya hablamos del 'tabnabbing' (por el que los hackers aprovechan las pestañas del navegador que dejamos abiertas para colarnos versiones falsas de las páginas webs que visitamos); y de cómo uno puede encontrar sitios fraudulentos en los primeros resultados de Google, pero nada nos había preparado para el llamado 'spear phishing'.

Desgranado por los expertos del Instituto Nacional de Ciberseguridad (INCIBE), el spear phishing hace referencia a aquellos correos electrónicos maliciosos que han sido redactados expresamente para nosotros. Hasta ahora, los mensajes de suplantación que recibíamos eran bastante sencillos de identificar por su redacción impersonal y repleta de errores gramaticales u ortográficos («Estimado usuario, CORREOS le informa de una tasa aduanera pendiente de pago. Haga click aquí para abonarla»); pero, ¿qué pasaría si un buen día recibes un email repleto de información que solo tú deberías conocer? Siguiendo el ejemplo anterior, algo así: «Estimado [tu nombre y apellidos], tu pedido de [nombre de una tienda online] con número [número real de un pedido reciente] y fecha estimada de entrega [fecha estimada real] llegará a [tu dirección real] más tarde de lo esperado. Pincha aquí para recibir un cheque regalo de compensación».

Como vemos, los atacantes no se han limitado a enviar un mensaje clónico de forma masiva, sino que han invertido su tiempo en investigarnos para recabar una gran cantidad de información que aporte credibilidad a la misiva. ¿De dónde han podido obtener esos datos? Mayormente de filtraciones de Internet y nuestras redes sociales: hasta la publicación más inofensiva (en apariencia) puede suponer un hilo del que tirar para exponernos.

«Los correos de spear phishing -explica el INCIBE- suelen pedir datos urgentes o incluyen enlaces a sitios fraudulentos que imitan los reales. Al hacer clic podría instalarse un programa malicioso ('malware') en el dispositivo de marras, diseñado para robar información o para integrarlo en una red de bots ('botnet') con la que realizar ataques más sofisticados». Ésta es la única buena nueva del spear phishing: al requerir un esfuerzo significativo por parte de los delincuentes, suele ir dirigido a «objetivos con alto valor como pueden ser empleados con acceso a información confidencial, tales como directivos, personal de recursos humanos o administradores de sistemas, quienes manejan datos sensibles o credenciales valiosas». Esto no quiere decir que nosotros, usuarios de a pie, estemos libres de peligro, matiza la Oficina de Seguridad del Internauta (OSI): «Cualquier usuario puede ser víctima de un ataque de estas características si el ciberdelincuente considera que su información puede tener valor o es candidato claro a caer en una estafa.

Si sospechamos habernos convertido en víctimas de spear phishing, el INCIBE recomienda seguir estos cinco pasos:

1. Cambiar nuestras contraseñas: Dado que nuestros nombres de usuario y contraseñas pueden haberse visto comprometidos, es prioritario cambiarlos. Especialmente en el caso de bancas electrónicas, correos electrónicos y redes sociales.

2. Notificar a las instituciones: Debemos informar al banco, institución o compañía correspondiente para que nos proporcionen asistencia y, en caso necesario, bloqueen nuestras cuentas.

3. Revisar la información filtrada: Elaboraremos un listado con todos los datos que hayan podido filtrarse para tomar medidas adicionales (nombre, email, DNI, dirección...).

4. Comprobar nuestras cuentas: Conviene atender a los ajustes de seguridad y privacidad de cada plataforma o sitio web para habilitar aquellas opciones que hubiésemos pasado por alto (como la autenticación de doble factor).

5. Denunciar la situación: Toda filtración debe notificarse a las Fuerzas y Cuerpos de Seguridad del Estado para que puedan investigarla y perseguir a los responsables.

Desde la OSI advierten de que medidas de ciberseguridad habituales (como la instalación de antivirus y cortafuegos) tienen poca efectividad frente a técnicas de ingeniería social como esta. Recomiendan, en cambio, mantener nuestros dispositivos actualizados para protegernos frente a las últimas vulnerabilidades; usar contraseñas robustas y únicas para cada servicio online; limitar la información que compartimos en línea y, como regla general, desconfiar de aquellas solicitudes inesperadas que incluyan información confidencial.