En el mundo digital de hoy, donde la seguridad de la información es más crítica que nunca, los ataques de spear phishing se han convertido en una amenaza común y sofisticada. En este artículo, exploramos un caso real presentado por el Instituto Nacional de Ciberseguridad de España (INCIBE), donde una empresa se enfrentó a un intento de fraude a través de una falsa solicitud de cambio de cuenta de nómina. Descubre cómo los ciberdelincuentes orquestaron este ataque y qué medidas puedes tomar para proteger a tu empresa de amenazas similares. Aprende de este caso práctico y fortalece tus estrategias de ciberseguridad para combatir el spear phishing y otros métodos de ingeniería social.


¿Qué ha ocurrido?

Recibimos una llamada en la Línea de Ayuda en Ciberseguridad por parte de un empleado de una empresa, ya que se encontraba inquieto ante la posibilidad de poder estar sufriendo un incidente de ciberseguridad.

Nos comentó que había recibido un correo electrónico cuyo remitente se identificaba como uno de sus compañeros de trabajo, y le solicitaba modificar la cuenta de abono de su nómina.

El correo utilizaba el nombre y algunos datos de su compañero, por lo que a primera vista podía parecer real y no levantar ninguna sospecha. Para justificar el cambio de la cuenta alegaba que, debido a un incidente personal, tuvo la necesidad de cambiarla y por tanto solicitaba a la empresa que hiciera las gestiones oportunas para realizar la actualización.

Nuestro usuario nos explicó que empezó a sospechar porque en ningún momento mencionaba la aplicación que tiene establecida su empresa para estos trámites. Además, debido a la necesidad de confidencialidad de este tipo de información, según las políticas de seguridad de la empresa, realizan la modificación bajo otro procedimiento y nunca es solicitada por correo.

Por otra parte, se fijó en algunos detalles del correo que había recibido, por ejemplo, detectó que el dominio utilizado no era el de la empresa sino una cuenta de Gmail con el nombre de uno de sus compañeros, pero con una estructura diferente, que no coincidía con las políticas establecidas.

Nos contó que, para salir de dudas, finalmente contactó con su compañero por una vía en la que sabía que hablaría con él realmente, y confirmó sus sospechas, el correo era un intento de extorsión.

Un poco alarmado, pensó que quizá los datos almacenados en el servidor del correo y los permisos podrían haber sido vulnerados. Tras comprobarlo no se percató de nada extraño, pero aun así no estaba seguro de estar totalmente protegido ante la amenaza.

Nos trasladó que intuía que los ciberdelincuentes habían obtenido su contacto a través de la red social de LinkedIn, puesto que tiene publicado su correo electrónico y es visible para todos los usuarios.

Confundido por la situación, decidió llamarnos tras escuchar un anuncio en la radio que decía que ante cualquier problema de ciberseguridad podría contactarnos. Tenía mucho interés en saber cómo podía denunciar el incidente y mantener sus datos de forma segura.

¿Qué pautas le hemos dado?

Le explicamos que aunque las redes sociales tienen muchas ventajas, por ejemplo, dar a conocer su perfil profesional, tener contacto con otras personas y mantener comunicación con ellas, hacer pública cierta información y en este caso su correo electrónico, puede convertirle en víctima potencial de ciertos peligros como el Business Email Compromise (BEC) o el espionaje corporativo.

  • Le recomendamos minimizar la información pública en sus perfiles de redes sociales profesionales y utilizar su correo corporativo sólo para el trabajo que desempeña en la empresa.
  • Además, le aconsejamos que en el caso de tener que publicar correos electrónicos profesionales en la web corporativa o en redes sociales de la empresa, que fueran cuentas genéricas en vez de personales, y en la web añadirlas siempre en formato de imagen, evitando así que sean detectadas por bots que automáticamente exploran las webs para extraer este tipo de información.

Respecto al correo que recibió, le indicamos que se trataba de un ataque de spear-phishing, un phishing tradicional, con la diferencia de que va dirigido y personalizado a una persona u organización en concreto, al contrario del phishing, en el que se envían de forma masiva a listas de usuarios desconocidos.

  • Le advertimos que, si aún disponía del correo electrónico, este era una evidencia y podía ser analizada. Por ello, le explicamos cómo reportar el incidente, adjuntando el correo para su análisis a INCIBE-CERT.
  • Por otra parte, le informamos que la suplantación de identidad es un delito tipificado por ley. Por consiguiente, junto con el compañero suplantado, podían reunir todas las pruebas disponibles y realizar una denuncia de forma presencial ante las Fuerzas y Cuerpos de Seguridad del Estado.
  • También le comentamos que el responsable de tratamiento de datos de la empresa debía comprobar si hay datos personales comprometidos, y en tal caso, contactar con la AEPD para notificar la brecha de seguridad.
  • Además, le sugerimos analizar con algún antivirus los dispositivos en los que abrió el correo electrónico fraudulento y así asegurarse de que los equipos no hubieran sido infectados por algún malware.
  • De manera preventiva le aconsejamos que cambiara las contraseñas del correo y que activara el doble factor de autenticación.

Para solventar sus dudas, le indicamos otras pautas de prevención ante futuros posibles intentos de SPAM, medidas de seguridad y buenas prácticas relacionadas con los mecanismos de autenticación que puede activar.

Para finalizar, le recordamos que tanto él como el resto del equipo, pueden volver a contactar con el servicio Tu Ayuda en Ciberseguridad de INCIBE para resolver cualquier duda sobre ciberseguridad siempre que lo necesiten.

Fuente: INCIBE