Llamamos "**phishing" al intento de un estafador de adquirir información sensible (como contraseñas o números de tarjetas de crédito) haciéndose pasar por una entidad confiable. Usualmente se lleva a cabo por correo electrónico o mensajería instantánea, y muy a menudo redirige a los usuarios a un sitio web con apariencia legítima con la finalidad de engañarlos para que introduzcan su usuario y contraseña.

El phishing es una forma de ingeniería social. A diferencia del phishing en general, que se caracteriza por ataques amplios, el spear phishing se centra en un grupo u organización. Por lo general, el spear phisher sabe algunas cosas sobre ti: tu nombre, tu dirección de correo electrónico, y utiliza esta información para personalizar tu ataque (el correo ya no dice "Estimado señor" sino "Hola, Pedro"). El correo puede hacer referencia a un amigo mutuo, o a algún tipo de actividad online reciente que hayas llevado a cabo. Al dar la apariencia de provenir de alguien que conoces o de una entidad confiable, es más probable que bajes la guardia y entregues la información que los estafadores están buscando.

¿Cómo te conviertes en el blanco de un ataque de spear-phishing? Frecuentemente, a través de la información que tú mismo haces pública en internet. Por ejemplo, el atacante puede escanear tus redes sociales y a través de ellas encontrar tu dirección de correo, tu lista de amigos, y tus publicaciones recientes. Usando esa información, puede hacerse pasar por un amigo o conocido, enviarte un email y pedirte una contraseña para un perfil determinado. Habiendo obtenido esa contraseña, por ejemplo, pueden intentar con diferentes variaciones para tratar de acceder a tu cuenta en un sitio que hayas mencionado en una publicación reciente, como por ejemplo una página de compras en línea, y de esa manera pueden usar tu información financiera almacenada en ese sitio**. También podría usar esa información para hacerse pasar por ti ante esa página y pedir que reinicien tu contraseña o verifiquen tu número de tarjeta de crédito.

spear phishing
Phishing warning por Christiaan Colen, bajo licencia CC BY SA 2.0

¿Cómo evitar ser víctima de spear-phishing?

Los protocolos tradicionales de seguridad suelen ser ineficientes para detener los ataques de spear-phishing, por estar personalizados. Por esta razón, actualmente siguen siendo uno de los mecanismos más eficientes para obtener datos robados, y con ellos, obtener información comercial sensible, implementar malware, o cometer actos de espionaje. El primer paso, según señalan las empresas de seguridad, es estar conscientes de las amenazas: esto significa, entre otras cosas, estar al tanto de la posibilidad de que los correos electrónicos que nos solicitan información sean falsos.

Para evitar ser víctima de spear-phishing, lo primero que debemos hacer es evaluar cuánta información hay disponible sobre nosotros que podría ser utilizada por un estafador: nuestra dirección de correo, nuestras listas de amigos, y nuestras publicaciones en redes sociales podrían contener información que no queremos que caiga en las manos equivocadas. En segundo lugar, debemos evaluar qué tan fuertes son nuestras contraseñas. ¿Usas la misma en más de un sitio web? ¿Hace mucho tiempo que no los cambias? Estás facilitándole el trabajo. Es recomendable usar un buen gestor de contraseñas para mantener las tuyas actualizadas y fuertes.

Por último, lo más esencial es estar alerta: si alguna vez recibes un correo de un "amigo" pidiéndote información personal, llámales por teléfono o envíales un mensaje (por separado) para verificar que son realmente ellos. Lo mismo sucede con los bancos: ninguna empresa legítima te enviará jamás un e-mail pidiéndote tu contraseña o tu número de cuenta. Lo más importante: sé sensato con la cantidad y tipo de información que compartes de manera pública en internet, porque no sabes quién podría querer utilizarla en tu contra.