Cómo funciona el ‘spearphishing’, el nuevo y sofisticado método de estafa que usan los ciberdelincuentes

El auge de las redes sociales y el incremento de la información compartida en línea han transformado el panorama de la ciberseguridad. Lo que comenzó como una estrategia para fortalecer la presencia profesional se ha convertido en una oportunidad para los ciberdelincuentes, que emplean técnicas avanzadas de ingeniería social para diseñar ataques cada vez más precisos y difíciles de detectar.

El spearphishing, modalidad personalizada del phishing tradicional, aprovecha datos recogidos de perfiles públicos para engañar a empleados y organizaciones con gran efectividad.

El spearphishing: ataques a medida usando información pública

A diferencia del phishing tradicional, que busca víctimas a través de mensajes masivos y genéricos, el spearphishing apunta a personas o empresas concretas, utilizando información específica obtenida de internet, redes sociales y filtraciones de datos. Los ciberdelincuentes invierten tiempo en investigar a sus objetivos, consultando plataformas como LinkedIn, GitHub, Instagram o X, donde los profesionales suelen compartir logros, proyectos y hasta rutinas laborales.

La ingeniería social es la base de esta técnica. Los atacantes recopilan cada dato disponible para construir mensajes personalizados que imitan comunicaciones reales: un correo que parece provenir de un colega, una solicitud urgente de un supuesto proveedor o referencias a proyectos auténticos. El objetivo es lograr que la víctima baje la guardia y, al confiar en la veracidad del mensaje, revele credenciales, haga clic en enlaces maliciosos o descargue archivos infectados.

Según expertos en ciberseguridad de ESET, la primera etapa de un ataque de spearphishing se basa en la recopilación de información pública. Cada actualización de perfil, publicación o comentario puede convertirse en la pieza clave para construir una estafa convincente. El desafío radica en que estos mensajes pueden pasar inadvertidos incluso para usuarios experimentados, dada su precisión y personalización.

Redes sociales: el terreno fértil para la ingeniería social

Las plataformas profesionales y personales han facilitado la exposición de detalles que antes permanecían privados. LinkedIn, por ejemplo, permite acceder a organigramas, responsabilidades, información sobre proyectos y hasta detalles técnicos que pueden ser aprovechados en ataques. Los reclutadores, al publicar ofertas de empleo, también revelan datos sobre la infraestructura tecnológica de las empresas, lo que puede ser explotado por los atacantes.

GitHub, aunque menos evidente, representa otra fuente de información relevante. Allí, los desarrolladores pueden compartir inadvertidamente direcciones de correo corporativo o nombres de herramientas internas, mientras que los repositorios públicos exponen tecnologías y metodologías utilizadas por la empresa.

Instagram y X permiten a los ciberdelincuentes rastrear movimientos y actividades fuera del entorno laboral. Una publicación sobre un viaje de negocios o la asistencia a una conferencia puede indicar el momento ideal para ejecutar un ataque, aprovechando la ausencia de directivos clave. Incluso la información publicada en el sitio web corporativo puede resultar útil para un atacante.

Este tipo de exposición convierte a empleados con acceso a información sensible, como directivos o personal de recursos humanos, en objetivos prioritarios. Sin embargo, cualquier usuario puede convertirse en víctima si comparte en exceso o no presta atención a los riesgos asociados a la información pública.

Cómo identificar y evitar el spearphishing

El spearphishing se diferencia del phishing clásico en la precisión y personalización de sus mensajes. Mientras que el phishing tradicional distribuye comunicaciones masivas simulando ser una entidad reconocida, el spearphishing selecciona cuidadosamente a sus víctimas y utiliza información real para aumentar la credibilidad del engaño. Los mensajes suelen solicitar datos urgentes o incluyen enlaces a sitios fraudulentos que imitan páginas auténticas.

Las consecuencias de estos ataques pueden ir desde el robo de datos personales y contraseñas hasta la materialización de fraudes económicos, espionaje o sustracción de información confidencial. El spearphishing representa un riesgo significativo para empresas de todos los sectores, especialmente aquellas con empleados que gestionan datos sensibles.

Para reducir la exposición a este tipo de estafas, es fundamental seguir recomendaciones como las del Instituto Nacional de Ciberseguridad de España (Incibe):

• Evitar hacer clic en enlaces o archivos adjuntos de correos y mensajes sospechosos.
• Mantener el software actualizado en todos los dispositivos.
• Utilizar contraseñas robustas y únicas para cada servicio.
• Limitar la cantidad de información personal y laboral que se publica en línea.
• Verificar siempre la autenticidad de las solicitudes, especialmente aquellas que requieren información confidencial o acciones urgentes.

La prevención y la concienciación resultan claves para limitar el impacto del spearphishing. Las empresas y los usuarios deben adoptar una actitud proactiva en la protección de su información, revisando periódicamente su presencia digital y aplicando buenas prácticas de ciberseguridad para evitar caer en estas sofisticadas trampas.