Llamamos «**phishing**» al **intento de un estafador de adquirir información sensible (como contraseñas o números de tarjetas de crédito) haciéndose pasar por una entidad confiable**. Usualmente se lleva a cabo por correo electrónico o mensajería instantánea, y muy a menudo redirige a los usuarios a un sitio web con apariencia legítima con la finalidad de engañarlos para que introduzcan su usuario y contraseña.

El phishing es una forma de [**ingeniería social**](http://hipertextual.com/archivo/2012/04/que-es-la-ingenieria-social-y-como-estar-prevenidos/). **A diferencia del phishing en general, que se caracteriza por ataques amplios, el spear phishing se centra en un grupo u organización**. Por lo general, el spear phisher sabe algunas cosas sobre ti: tu nombre, tu dirección de correo electrónico, y utiliza esta información para personalizar tu ataque (el correo ya no dice «Estimado señor» sino «Hola, Pedro»). El correo puede hacer referencia a un amigo mutuo, o a algún tipo de actividad online reciente que hayas llevado a cabo. **Al dar la apariencia de provenir de alguien que conoces o de una entidad confiable, es más probable que bajes la guardia y entregues la información que los estafadores están buscando.**

**¿Cómo te conviertes en el blanco de un ataque de spear-phishing? Frecuentemente, a través de la información que tú mismo haces pública en internet.** Por ejemplo, el atacante puede escanear tus redes sociales y a través de ellas encontrar tu dirección de correo, tu lista de amigos, y tus publicaciones recientes. Usando esa información, puede hacerse pasar por un amigo o conocido, enviarte un email y pedirte una contraseña para un perfil determinado. Habiendo obtenido esa contraseña, por ejemplo, pueden intentar con diferentes variaciones para tratar de acceder a tu cuenta en un sitio que hayas mencionado en una publicación reciente, como por ejemplo una página de compras en línea, y **de esa manera pueden usar tu información financiera almacenada en ese sitio**. También podría usar esa información para hacerse pasar por ti ante esa página y pedir que reinicien tu contraseña o verifiquen tu número de tarjeta de crédito.

Phishing warning por Christiaan Colen, bajo licencia CC BY SA 2.0

¿Cómo evitar ser víctima de spear-phishing?

Los **protocolos tradicionales de seguridad suelen ser ineficientes para detener los ataques de spear-phishing**, por estar personalizados. Por esta razón, actualmente siguen siendo uno de los mecanismos más eficientes para obtener datos robados, y con ellos, obtener información comercial sensible, implementar malware, o cometer actos de espionaje. El primer paso, según señalan las empresas de seguridad, es estar conscientes de las amenazas: esto significa, entre otras cosas, **estar al tanto de la posibilidad de que los correos electrónicos que nos solicitan información sean falsos.**

Para evitar ser víctima de spear-phishing, lo primero que debemos hacer es evaluar cuánta información hay disponible sobre nosotros que podría ser utilizada por un estafador: nuestra dirección de correo, nuestras listas de amigos, y **nuestras publicaciones en redes sociales podrían contener información que no queremos que caiga en las manos equivocadas.** En segundo lugar, debemos evaluar qué tan fuertes son nuestras [**contraseñas**](http://hipertextual.com/archivo/2014/06/crear-contrasena-segura/). ¿Usas la misma en más de un sitio web? ¿Hace mucho tiempo que no los cambias? Estás facilitándole el trabajo. **Es recomendable usar un buen [**gestor de contraseñas**](http://hipertextual.com/2015/02/usar-gestor-de-contrasenas) para mantener las tuyas actualizadas y fuertes.**

Por último, lo más esencial es estar alerta: si alguna vez recibes un correo de un «amigo» pidiéndote información personal, llámales por teléfono o envíales un mensaje (por separado) para verificar que son realmente ellos. Lo mismo sucede con los bancos: ninguna empresa legítima te enviará jamás un e-mail pidiéndote tu contraseña o tu número de cuenta. Lo más importante: **sé sensato con la cantidad y tipo de información que compartes de manera pública en internet, porque no sabes quién podría querer utilizarla en tu contra.**

Ahora en Hipertextual

Suscríbete gratis a Hipertextual

Estamos más ocupados que nunca y hay demasiada información, lo sabemos. Déjanos ayudarte. Enviaremos todas las mañanas un correo electrócnio con las historias y artículos que realmente importan de la tecnología, ciencia y cultura digital.