Mientras las organizaciones pueden tener de los mejores sistemas de seguridad en el mundo protegiendo su información, hay personas que están a cargo de crear y manejar esa información. Debido a que el cerebro de las personas es imposible de proteger por medio de un software, la ingeniería social juega un papel clave en permitirle a los cibercriminales burlar las computadoras y los softwares de seguridad para cometer crímenes de ciber-espionaje. Los ataques a gobiernos, instituciones de salud o cualquier otra organización, requieren una mezcla especial de tácticas de ingeniería social y ataques técnicos. La manera más común de ataque utilizada para infiltrarse a las redes gubernamentales que aprovecha estos dos métodos, es conocida como campaña de Spear Phishing o Phishing Dirigido.

¿Qué es Spear Phishing o Phishing Dirigido?

Los ataques de Spear Phishing son un primo cercano a los correos electrónicos de phishing regular, sin embargo, mucho más esfuerzo y planeación se dirigen a estos ataques. En el caso del Phishing regular, un cibercriminal creará un correo electrónico genérico falso y lo enviará a un grupo grande de personas al azar. Con el Spear Phishing se arma una campaña compleja donde los atacantes eligen un objetivo o una institución en específico y saben qué tipo de información están buscando robar.

El primer paso en una campaña de Spear Phishing es el reconocimiento. Una vez que el atacante ha elegido su organización objetivo, hará una investigación de cómo encontrar las direcciones de correo electrónico y nombres de los empleados que trabajan para dicha organización. A veces esto puede encontrarse en el sitio web de la institución.

Una vez que tienen el nombre la persona que quieren atacar, harán una investigación en línea sobre esa persona, tomando información de las redes sociales, blogs o cualquier otra información que pueda surgir en los motores de búsqueda. Después crearán un correo electrónico que parezca real dirigido a esa persona en específico, refiriéndose a ella por nombre, y el cuerpo del correo irá de acuerdo a la información encontrada en línea sobre el sujeto. El propósito de esto es engañar a la víctima para que piense que el correo viene de una persona que realmente conoce.

En instancias corporativas o gubernamentales, el correo puede ser creado para parecer que viene de un una fuente dentro de la organización, usualmente alguien en una posición de autoridad. Aquí es donde la ingeniería social del ataque juega su papel, aprovechándose de la inclinación natural de una persona de obedecer a una figura con autoridad. Una vez que el atacante tiene la atención de la víctima y este abra el correo electrónico, habrá algún tipo de llamado a la acción, ya sea haciendo clic en un link o descargando software malicioso. Una vez que la víctima complete la tarea, el malware permitirá entonces a los atacantes acceder a la red desde donde pueden comenzar su misión de ciber-espionaje.

In corporate or government instances, the email may be crafted to look like it is coming from a trusted source within the organization, usually someone in a position of authority. This is where the social engineering aspect of the attack comes into play, preying on a person’s natural inclination to comply with an authoritative individual. After the attacker has the attention of the victim, and they open the email there will be some sort of call to action- either clicking on a malicious link, or downloading malicious software. Once the victim completes that task, the malware will then allow the attackers access to the network, where they can then carry out their mission of cyber espionage.

Cómo Combatir El Spear Phishing y otras técnicas criminales en el trabajo

Desafortunadamente, un software de Seguridad en Internet no puede detectar cosas como la ingeniería social, ya que se trata de una interacción de humano a humano. Aquí es donde debe educarse sobre las mejores prácticas que deben seguirse al utilizar internet, las cuales son cruciales en la defensa de una compañía.

• Proteja sus contraseñas.
  Contraseñas fuertes y únicas para cada cuenta que utiliza. Si un cibercriminal tiene acceso a una cuenta de correo electrónico o nombre de usuario, puede usar herramientas especiales para tratar de descifrar dicha contraseña, mientras más simple sea la contraseña más fácil será de descifrar.
  Puede aprender más sobre cómo construir contraseñas fuertes aquí contraseñas fuertes aquí.
  tambien puedes utilizar la autenticación de dos factores cuando esté disponible.

•  No muerda el anzuelo
  Aprenda sobre las señales de los ataques Phishing. Conozca los factores más comunes que debe tener en cuenta y como identificar correos electrónicos maliciosos.
  Puede averiguar más sobre los engaños Phishing aquí.

• Software seguro.
  Es importante saber la importancia de hacer actualizaciones regulares al software en todos los programas que utilice. No realizar estas actualizaciones puede dejar huecos que los atacantes pueden utilizar para introducir malware.  
  Puede leer aquí porque las actualizaciones de software y los parches son vitales para la seguridad de Internet.  

Proteja las cuentas de redes sociales.

Ya que los atacantes realizan investigaciones sobre sus objetivos, asegúrese que la configuración de privacidad de sus cuentas de redes sociales esté correcta. No permita que ninguna información personal se encuentre accesible al público y sea escéptico sobre las personas que lo contactan y que no conoce pero que parecen conocerlo a usted.