¿Qué es el "spear phishing"?
Hace seis semanas, una joven (que usa el nombre ficticio de Zed) estaba en una reunión de trabajo cuando recibió un mensaje en Facebook de una amiga lejana. "Hola, cariño", comenzaba. Su amiga le pedía que votara por ella en un concurso de modelos por internet. Ella aceptó. Y, entonces, ocurrió el desastre.Al agregar su dirección de correo electrónico al sistema de votaciones de la competición, había causado un colapso tecnológico, le dijo su "amiga".Tenía que darle la contraseña de su email para poder solucionarlo rápidamente y recuperar los votos. Zed tenía dudas. Pero su amiga le rogó que lo hiciera, alegando que su carrera estaba en juego.
Fue un engaño y el atacante, finguiendo ser otra persona, se hizo de su contarseña.
"Los estafadores digitales se valen de trucos psicológicos para engañar a sus víctimas y que confíen en ellos, y así poder obtener información sensible", dice Paul Bischoff, de la empresa de seguridad informática Comparitech, con base en Reino Unido.
El spear phishing es menos habitual que el phishing (suplantación de la identidad) pero es mucho más peligroso", dice el experto."El atacante recopila información personal sobre su víctima para hacerse pasar por ella y que parezca creíble".
En cuestión de minutos, el atacante bloquea el acceso de cada una de sus cuentas, además de su Apple iCloud, donde tenía almacenados todos sus datos, incluida una foto de su pasaporte, detalles de su cuenta bancaria.El hacker también controla luego todos sus documentos de identidad, pues estaban vinculados a la cuenta de correo a la que ahora tenía acceso. Además, el cibercriminal activa una capa adicional de seguridad (verificación en dos pasos) y restablece la contraseña de todas sus cuentas.
Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, Reino Unido, dice que "es muy fácil caer en este tipo de estafas". "Uno puede saber mucho sobre tecnología pero los estafadores son especialistas a la hora de encontrar nuevas estrategias", cuenta Woodward. "Sé que suena obvio, pero uno nunca debería dar su nombre de usuario y contraseña a nadie. Si les das a los estafadores un pequeño resquicio para colarse, se adentrarán rápidamente en tu vida digital". "Y su objetivo no es siempre obtener dinero. Vengarse o, simplemente, hacer daño, es una tendencia creciente".