Bancario

Spear phishing: ¿cómo actuar ante él?

18 mayo 2022 No hay comentarios Íñigo Serrano Blanco
Spear phishing: ¿cómo actuar ante él?

Spear phishing: ¿Qué es? Diferencias entre phishing y spear phishing. ¿Cómo debo actuar ante un delito de esta clase? ¿Ante quién tengo que imponer una denuncia por este delito? ¿Tengo derecho a indemnización tras sufrir un delito de spear phishing? ¿Cómo puedo protegerme y prevenir los ataques de spear phishing? Estas cuestiones las resuelve a continuación, Iñigo Serrano Blanco, abogado experto en Derecho del Consumo.

Introducción

Spear phishing es un término que se refiere a una variante del phishing, mucho más dañina y maliciosa. Igual que ocurre con el phishing ‘tradicional’, en el spear phishing se produce una suplantación de identidad con el fin de engañar a la víctima, pero la forma en que se lleva a cabo el delito es diferente.

¿Qué es el spear phishing?

Un ataque de spear phishing se caracteriza por la voluntad de los estafadores de hacerse pasar y ser reconocidos como bancos, socios, empresas de confianza, familiares o amigos de la víctima. Las comunicaciones que simulan para engañarle tienen una apariencia y unas direcciones de contacto prácticamente idénticas a las reales. Y esto lo consiguen los ciberdelincuentes gracias a la planificación, a la sesuda elección de la víctima e incluso mediante el espionaje durante días para saber cuáles son sus hábitos en Internet.  

En el ámbito concreto de las empresas, son cada vez más las que se ven afectadas por esta clase de espionaje y robo industrial. En este contexto, los hackers eligen a un empleado en particular para dirigir contra él todos sus esfuerzos para culminar el engaño. Y lo hacen adaptándose completamente a esa víctima elegida.

Diferencias entre phishing y spear phishing

Mientras que el phishing supone el envío de una comunicación de manera masiva, el spear phishing es una modalidad en la que los delincuentes seleccionan a los receptores de una forma mucho más precisa.

Si nos imaginamos cómo son los ataques de phishing tradicionales, los objetivos resultan serlo de manera aleatoria, sin ser elegidos por los atacantes. En cambio, en el spear phishing se tiene perfecta constancia de quién es la víctima y cómo se comporta en línea. Con estos datos en la mano, se procede al ataque de spear phishing a medida.

De esta forma, los ciberdelincuentes acceden a un determinado tipo de usuarios que hasta ahora se mostraban reacios a los engaños mediante simple phishing. Como aquí las comunicaciones están más adaptadas, la confianza de la víctima se incrementa, provocando que sí caigan en la trampa mucho más fácilmente.

Un claro ejemplo de spear phishing

Ya sabemos en qué consiste un ataque de phishing. Veamos ahora cómo los ciberdelincuentes actúan para ir un paso más allá y proceder con el spear phishing. Este que te vamos a contar podría ser un caso común de estafa por spear phishing, así que conocerlo te puede servir para estar prevenido y evitar caer en la trampa de los ciberdelincuentes.

Mientras un usuario navega en su red social favorita, recibe un mensaje directo de uno de sus contactos, muy amigo suyo. En el mensaje, le comunica que su padre está enfermo y que necesita ayuda para costear su caro tratamiento. Interesándose por el estado de salud del padre, el usuario comienza a preguntar a su amigo cómo está y qué le pasa. No obstante, en lugar de respuestas, el amigo insiste en repetir lo mismo: necesita dinero.

Afortunadamente, esta víctima de spear phishing se da cuenta de lo extraño de la situación y decide llamar a su amigo, que le asegura que su padre está perfectamente y que no está conectado en ese momento a la red social.

Cuando el amigo, alertado, accede a su perfil, se encuentra con que está bloqueado. Le han hackeado la cuenta y se han hecho pasar por él para engañar a sus contactos e intentar robarles dinero.

Consecuencias del spear phishing

Como ya hemos visto, los ataques de spear phishing se dirigen a personas y empresas específicas. Los objetivos se prefijan con antelación y son, fundamentalmente, uno de estos dos (o ambos):

  • Robar información relevante.
  • Solicitar una determinada cantidad de dinero.

Por lo tanto, los efectos del spear phishing para personas y particulares pueden ser nefastos. Desde la pérdida del acceso a sus cuentas al robo de datos o a la pérdida de dinero, todas ellas pueden ser consecuencias del spear phishing.

Para resultar creíble, el engaño que se esconde detrás de las acciones de spear phishing requiere de un esfuerzo mayor. Aun así, a los ciberdelincuentes les interesa invertir en esta técnica. La razón es que registra índices de éxito más elevados que los que se consiguen solo a través del phishing.

Para conseguir ese éxito, se hacen pasar por personas de confianza para engañar a sus víctimas, que ya hemos visto que son perfiles muy concretos. Y lo hacen suplantando la identidad de personas o entidades de la más absoluta confianza del usuario en cuestión.

CONTACTO

Contacta con el abogado

¿Cómo debo actuar ante un delito de spear phishing?

Hay varios pasos que las autoridades recomiendan dar a quienes han sido víctimas de un delito de spear phishing. Actuar con calma pero con celeridad será clave para tratar de solucionar la situación. En concreto, has de proceder de la siguiente manera:

  1. Llama a la empresa implicada: ya sea un banco o cualquier otro sitio web, es posible que desde allí puedan darte una primera impresión o solución de lo ocurrido. Esto es así especialmente en el caso de los bancos, que tienen la obligación de proteger a sus clientes de esta clase de prácticas delictivas.
  2. Contactar con tu OMIC (Oficina Municipal de Información al Consumidor): son ellos los encargados de brindar orientación en estos supuestos y tramitar las reclamaciones de los consumidores.
  3. Interpón una denuncia por estafa: muchas veces, los pasos anteriores no surten efecto. Es, entonces, el momento de denunciar, y te recomendamos hacerlo siempre con el asesoramiento de un abogado especialista en delitos informáticos.
  4. Reclama a tu entidad financiera por una deficiente seguridad de sus sistemas de protección, ella como custodia de tu dinero debe velar por una correcta protección.

¿Ante quién tengo que imponer una denuncia por un delito de spear phishing?

Existen varias vías para denunciar un delito de spear phishing. Las analizamos, una por una:

  • Policía Nacional: cuenta en la actualidad con una oficina virtual de denuncias y con un apartado específico de la Brigada Central de Investigación Tecnológica para notificar toda clase de delitos tecnológicos, entre ellos el spear phishing.
  • Guardia Civil: en este caso, tendrás que acudir tú o tu abogado a interponer la denuncia a un juzgado o a un puesto de la Guardia Civil. Ahora bien, si solo quieres notificar el fraude de forma anónima, es posible hacerlo aquí.
  • INCIBE (Instituto Nacional de Ciberseguridad): son varias las formas que tienes de denunciar los hechos a través del INCIBE. Lo puedes hacer por teléfono, en el 017, una línea gratuita que presta ayuda en materia de ciberseguridad, o bien rellenando uno de sus formularios, para ciudadanos, empresas o menores de edad. También puedes escribir a incidencias@incibe-cert.es para reportar cualquier incidente de seguridad, también los casos de spear phishing.
  • AEPD (Agencia Española de Protección de Datos): este canal es específico para los casos en los que se ha incurrido en una infracción relacionada con el tratamiento de tus datos personales. A través de su sede electrónica, la AEPD estudiará tu denuncia y todas las pruebas que le remitas.

¿Tengo derecho a indemnización tras sufrir un delito de spear phishing?

En este punto hay que tener algo muy claro: la mayoría de las veces resulta imposible saber quién es el responsable de un delito de spear phishing. A la víctima le ampara su derecho a recuperar el dinero y reparar los daños causados, tanto económicos como morales. Pero la cuestión se complica y mucho si no existe nadie contra el que actuar.

En la mayoría de los casos los bancos los responsables de los delitos de phishing al ser los encargados de custodiar tu dinero, debiendo velar porque todas las operaciones que se realizan desde tu cuenta sean realmente autorizadas por ti, sin burlar sus medidas de seguridad.Si es así, las entidades bancarias deben devolver el dinero sustraído a las víctimas de este delito informático

De hecho, lo más habitual es que, en general, los bancos traten de desentenderse y no asuman ninguna responsabilidad cuando uno de sus clientes les comunica que ha sido víctima de spear phishing. Lo que alegan para no tener que reembolsar el dinero sustraído ni pagar una indemnización al denunciante es que el robo se ha producido por culpa de su imprudencia, no por un defecto en sus sistemas de seguridad.

¿Cómo puedo protegerme y prevenir los ataques de spear phishing?

A primera vista, puede parecer muy fácil evitar ser víctima de un delito de spear phishing. La mayoría de la gente piensa que solo aplicando el sentido común es posible huir de las artimañas de los ciberdelincuentes. 

No obstante, estos delitos no dejan de crecer y son muchas las personas que cada día caen en manos de los hackers, que ahora usan técnicas más avanzadas para engañar a los usuarios. Por eso, aunque creas que tú nunca caerás en la trampa, no está de más que apuntes estos consejos:

  • Mantén actualizados todos tus dispositivos electrónicos y sus sistemas operativos.
  • Instala un antivirus confiable en los dispositivos que más utilices.
  • No proporciones datos personales ni claves de acceso a través de un email o de un enlace proporcionado vía email.
  • Supervisa el estado de tus cuentas y sus movimientos con frecuencia.
  • Fíjate en las URL de los enlaces que te proporcionen y asegúrate de que efectivamente corresponden a la empresa que estás visitando y que comienzan por  “https”. 
  • Fíjate también en los remitentes de correo electrónico, pues muchas veces hay caracteres extraños o cambios de letras con respecto a los originales.
  • Desconfía de cualquier mensaje alarmante que te haga tomar una decisión en muy poco tiempo: probablemente se trate de spear phishing.

Si, a pesar de seguir estas recomendaciones, o por culpa de una imprudencia, resultas ser víctima de spear phishing, no dudes en actuar aconsejado por verdaderos especialistas. Es la única forma de estar seguro de que tus derechos son respetados y de saber que vas a hacer todo lo posible por recuperar el dinero o la información que te han sustraído mediante spear phishing.

¿Quieres contactar con el experto Íñigo Serrano Blanco? Solicitar llamada.

Quizá te pueda interesar:

Inclusión indebida en un fichero de morosos: ¿qué debo hacer?

Demanda tarjeta revolving

La demanda de nulidad de hipoteca multidivisa: ¿cómo y cuándo conviene presentarla?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos recomendados

Préstamo ICO ¿Cómo se pide?

Pedir un préstamo ICO es una necesidad en la actual crisis sanitaria. El confinamiento ha llevado a muchas empresas y autónomos a una situación transitoria de falta de liquidez, lo…

¿Puedo aplazar la hipoteca por coronavirus?

Aplazar la hipoteca se traduce en solicitar una moratoria. En relación con todo tipo de préstamos, la solución que se plantea consiste, sustancialmente, en una moratoria temporal en el pago…