Spearphishing: Así funciona la estafa “a la medida” que usa información de redes sociales para robar datos El Imparcial

MÉXICO.- El robo de datos y las estafas en Internet se vuelven cada vez más sofisticados, por lo que entender los nuevos métodos utilizados por los delincuentes cobra relevancia.

Durante años, el phishing tradicional se basó en mensajes masivos que buscaban engañar a miles de personas con textos simples, como supuestas alertas bancarias o premios falsos.

Sin embargo, hoy existe una variante mucho más difícil de detectar, conocida como spearphishing, una técnica que no ataca al azar, sino que se enfoca en una persona o empresa específica.

Te puede interesar: Nueva estafa con inteligencia artificial simula la voz de un niño llorando para extorsionar a padres desprevenidos

El spearphishing funciona como una estafa “personalizada”. Para lograrlo, los delincuentes usan información pública obtenida de redes sociales, plataformas profesionales e incluso sitios corporativos.

Con esos datos construyen mensajes creíbles que aparentan ser reales: un correo de un jefe, un mensaje de un proveedor o una solicitud urgente de un área interna de la empresa.

De acuerdo con especialistas de la firma de ciberseguridad ESET, y con recomendaciones difundidas por el Instituto Nacional de Ciberseguridad de España (Incibe), el principal riesgo de esta modalidad es que los mensajes pueden parecer legítimos incluso para usuarios con experiencia, ya que están basados en información verdadera compartida en línea, indica una publicación de Infobae.

¿Qué es el spearphishing y por qué es más peligroso que el phishing tradicional?

El spearphishing es un tipo de fraude digital que pertenece a la familia del phishing, pero con una diferencia clave: no se envía de forma masiva, sino que se dirige a una víctima concreta.

Te puede interesar: 3 datos que son suficientes para que ciberdelincuentes logren estafarte

Mientras el phishing tradicional usa mensajes genéricos como “tu cuenta será suspendida” o “haz clic aquí para recuperar tu contraseña”, el spearphishing utiliza datos reales de la persona atacada para generar confianza.

Por ejemplo, el atacante puede saber:

• En qué empresa trabajas
• Qué puesto tienes
• Con qué proyectos estás relacionado
• Quiénes son tus compañeros
• A qué eventos asististe
• Qué herramientas usas en tu trabajo
• Cuándo estás de viaje o fuera de oficina

Con esa información, el mensaje se vuelve más convincente y la víctima baja la guardia.

Cómo operan los atacantes; el primer paso es investigar tu información pública

El spearphishing inicia con una fase de recopilación de datos. Los ciberdelincuentes invierten tiempo en revisar lo que la persona publica en internet y lo que aparece en sitios accesibles al público.

Según ESET, esta primera etapa es clave, porque cada dato publicado puede convertirse en una pieza útil para construir el engaño.

No se trata únicamente de “hackear”, sino de observar y aprovechar la exposición digital.

Redes sociales, el principal punto de partida para ataques dirigidos

Las redes sociales se han convertido en una herramienta ideal para quienes buscan engañar, ya que muchas personas comparten información laboral sin considerar los riesgos.

LinkedIn, el lugar donde más se expone información profesional

En LinkedIn es común encontrar:

• Organigramas empresariales
• Puestos y funciones específicas
• Historial de trabajo y proyectos
• Contactos y jerarquías
• Correos corporativos visibles o deducibles

Además, las vacantes laborales publicadas por empresas pueden revelar qué infraestructura tecnológica utilizan, lo cual facilita planear ataques.

X (antes Twitter) e Instagram: Información personal que ayuda a planear el momento del ataque

En estas plataformas se puede rastrear:

• Viajes de trabajo
• Asistencia a eventos
• Ubicación aproximada
• Rutinas diarias
• Fotografías con credenciales o gafetes
• Relación con otras personas dentro de una empresa

Una publicación sobre un viaje puede ser suficiente para que un atacante sepa que la víctima estará distraída o fuera de su rutina habitual.

La ingeniería social como base del spearphishing

A diferencia de otros ataques, el spearphishing se sostiene en la ingeniería social, es decir, el uso de información real para manipular a una persona y lograr que haga algo que no debería.

Los mensajes pueden simular ser:

• Una solicitud del área de recursos humanos
• Un correo del jefe pidiendo una transferencia
• Un documento “urgente” para firmar
• Una factura falsa de un proveedor real
• Un aviso de seguridad de la empresa

El objetivo final suele ser uno de estos:

• Robar contraseñas
• Obtener accesos internos
• Instalar malware en un equipo
• Secuestrar información
• Realizar fraudes económicos
• Espiar datos corporativos

Por qué estos mensajes son tan difíciles de detectar

El spearphishing funciona porque el mensaje está construido con detalles reales. Puede mencionar proyectos auténticos, nombres de compañeros o eventos recientes.

En lugar de parecer sospechoso, el mensaje se percibe como parte de la rutina laboral.

Por eso, incluso personas cuidadosas pueden caer.

La víctima suele actuar rápido porque el mensaje se presenta como urgente: “necesito que lo hagas hoy”, “es un documento confidencial”, “es un pago pendiente”, “te estoy escribiendo desde otra cuenta”.

Cómo identificar un posible spearphishing

Aunque estos ataques son sofisticados, existen señales que pueden ayudar a detectarlos:

• El mensaje insiste en que actúes “urgente”
• Hay enlaces que parecen reales, pero cambian ligeramente el dominio
• El remitente aparenta ser un colega, pero escribe diferente
• Se pide descargar un archivo o abrir un enlace de inmediato
• La solicitud implica contraseñas, transferencias o datos confidenciales
• Se usa un tono de presión o amenaza
• La dirección de correo no coincide exactamente con la institucional

Recomendaciones para evitar caer en spearphishing

El Instituto Nacional de Ciberseguridad de España (INCIBE) recomienda medidas prácticas que pueden reducir el riesgo.

1. No abrir enlaces ni archivos sospechosos

Si un correo o mensaje parece extraño, lo más seguro es no abrir adjuntos ni dar clic.

2. Confirmar la solicitud por otro canal

Si alguien “de la empresa” pide una acción urgente, conviene verificar por llamada o mensaje interno oficial.

3. Mantener actualizado el software

Las actualizaciones corrigen vulnerabilidades que pueden ser explotadas después de un clic.

4. Usar contraseñas fuertes y distintas en cada servicio

Una contraseña reutilizada puede comprometer varias cuentas si se filtra.

5. Limitar lo que se publica en redes sociales

Publicar menos detalles laborales reduce la información disponible para un atacante.