Hard2bit
← Volver al glosario Técnicas ofensivas

Spear phishing

Qué es spear phishing

El spear phishing es una variante dirigida del phishing: en lugar de enviar el mismo correo a miles de buzones, el atacante elige a una persona o un rol concreto —la responsable de tesorería, el administrador de sistemas, la asistente de dirección— y construye un mensaje a medida. Antes de escribir una sola línea, investiga: perfiles de LinkedIn, organigramas, notas de prensa, proveedores habituales y datos filtrados en brechas anteriores. El resultado es un correo que menciona proyectos reales, imita el tono de un compañero o de un proveedor conocido y llega en un momento plausible. Es la aplicación más rentable de la ingeniería social por correo, y por eso abre la mayoría de las intrusiones serias.

Por qué importa

El phishing masivo se detiene con filtros y con usuarios mínimamente entrenados; el spear phishing está diseñado para sortear ambos. Al estar personalizado, no dispara las reglas basadas en volumen, y al citar contexto real —un pedido en curso, una factura esperada, la reorganización anunciada la semana pasada— desactiva la desconfianza del destinatario. Los datos que alimentan esa personalización son baratos: OSINT sobre fuentes públicas y credenciales comprometidas de brechas antiguas bastan para reconstruir quién habla con quién y sobre qué. Por eso el spear phishing es el acceso inicial preferido de los operadores de ransomware y el punto de partida de la mayoría de fraudes BEC (Business Email Compromise), donde el objetivo no es instalar malware sino desviar una transferencia. Para una pyme, un único correo bien construido puede significar cifrado completo de sistemas o el pago de una factura falsa de seis cifras. La dirección y los roles con acceso a pagos o infraestructura deben asumir que serán objetivo, no preguntarse si lo serán.

Puntos clave

Diferencia con el phishing masivo: el phishing tradicional apuesta por el volumen (miles de envíos, tasa de éxito baja); el spear phishing apuesta por la precisión (pocos envíos, tasa de éxito alta). Cuando el objetivo es un directivo de primer nivel se habla de whaling, con señuelos de nivel ejecutivo: citaciones legales, operaciones corporativas, asuntos de consejo.

Fase de reconocimiento: antes del correo hay semanas de OSINT — LinkedIn para el organigrama y los cambios de puesto, la web corporativa para proveedores y proyectos, registros mercantiles, y brechas de datos para direcciones, contraseñas y estilos de firma.

El señuelo imita relaciones reales: un proveedor habitual que cambia su número de cuenta, un compañero que comparte un documento, el CEO que pide gestionar algo urgente y confidencial desde el móvil. La urgencia y la confidencialidad son las dos palancas clásicas.

Es la puerta de entrada, no el ataque completo: tras el clic vienen el robo de credenciales, el acceso al correo o la VPN, el movimiento lateral y, semanas después, el ransomware o el fraude. Detectar el correo inicial corta la cadena en su punto más barato.

Defensas técnicas: DMARC, SPF y DKIM en modo estricto para dificultar la suplantación del dominio propio, banners de remitente externo, y MFA resistente a phishing (FIDO2/passkeys) para que unas credenciales robadas no basten.

Defensas humanas: formación continua con simulaciones realistas y personalizadas —no la campaña genérica anual— y procedimientos de verificación fuera de banda para pagos y cambios de cuenta bancaria, de modo que un solo correo nunca autorice una transferencia.

Ejemplo: la factura del proveedor que cambió de banco

Una empresa industrial de 90 empleados publica en su web una nota de prensa sobre la ampliación de su planta, con foto del director de operaciones y mención al integrador que ejecuta el proyecto. El atacante cruza esa nota con LinkedIn, identifica a la técnico de administración que gestiona pagos a proveedores y localiza su dirección de correo en una brecha antigua. Registra un dominio casi idéntico al del integrador (una letra cambiada) y, coincidiendo con el cierre de mes, envía una factura real —copiada de un correo anterior comprometido— con una nota: "hemos cambiado de entidad bancaria, os adjuntamos el certificado de titularidad actualizado".

El correo pasa los filtros porque el dominio es nuevo y limpio, la factura es legítima en formato e importes, y el contexto encaja con un proyecto en marcha. La única defensa que funciona aquí es de procedimiento: la política interna exige verificar todo cambio de cuenta bancaria llamando al proveedor a un teléfono ya conocido, no al que figura en el correo. La técnico llama, el integrador no sabe nada del cambio, y el intento queda en un aviso al SOC y un bloqueo del dominio fraudulento. Sin esa llamada de treinta segundos, la transferencia de 84.000 € habría salido esa misma tarde.

Errores habituales

  • Creer que el filtro antispam lo detiene. El spear phishing se envía en volúmenes mínimos, desde dominios recién registrados o buzones legítimos comprometidos, y sin adjuntos maliciosos evidentes; precisamente los rasgos que los filtros de reputación no penalizan.
  • Formar con simulaciones genéricas de phishing masivo. Si el empleado solo ha visto señuelos burdos con faltas de ortografía, el correo personalizado que menciona su proyecto real le parecerá auténtico. Las simulaciones deben imitar el nivel del atacante real.
  • Proteger solo a la dirección. Los atacantes entran a menudo por perfiles menos vigilados —administración, recepción, personal técnico— y desde ahí escalan hacia quien autoriza pagos o gestiona infraestructura.
  • Confiar en la MFA por SMS o notificación push como barrera definitiva. Los kits de spear phishing modernos hacen proxy de la sesión en tiempo real y capturan el código o fatigan al usuario a base de notificaciones; solo la MFA resistente a phishing (FIDO2) corta ese vector.
  • No tener procedimiento de verificación para pagos y cambios de cuenta. La tecnología puede fallar; una regla simple —ningún cambio bancario sin confirmación por un canal ya conocido— convierte el mejor spear phishing del mundo en un correo inofensivo.

Servicios relacionados

Este concepto puede tener relación con servicios como:

Preguntas frecuentes

¿En qué se diferencia el spear phishing del phishing normal?

En el objetivo y la preparación. El phishing masivo envía el mismo mensaje genérico a miles de destinatarios y confía en que un pequeño porcentaje caiga. El spear phishing elige primero a la víctima —una persona o rol concreto—, investiga su contexto profesional y construye un mensaje a medida que menciona proyectos, compañeros o proveedores reales. Menos envíos, mucha más tasa de éxito y mucho más difícil de filtrar.

¿Qué es el whaling y cómo se relaciona con el spear phishing?

El whaling es spear phishing dirigido específicamente a altos directivos: CEO, CFO, consejeros. Usa señuelos acordes al cargo —citaciones judiciales, operaciones de compraventa, asuntos de consejo de administración— y suele buscar autorizar transferencias o robar credenciales con privilegios amplios. La mecánica es la misma; cambia el perfil de la víctima y el retorno esperado por el atacante, que justifica semanas de preparación.

¿Cómo consiguen los atacantes tanta información sobre su objetivo?

Casi toda es pública o semipública. LinkedIn revela organigramas, cargos y cambios de puesto; la web corporativa y las notas de prensa, proyectos y proveedores; los registros mercantiles, administradores y cuentas anuales. A eso se suman las brechas de datos: direcciones de correo, contraseñas antiguas y conversaciones filtradas que permiten imitar el estilo de escritura de un compañero o retomar un hilo real.

¿Qué medidas concretas reducen más el riesgo de spear phishing?

Tres capas combinadas. Técnica: DMARC en política estricta, banners de remitente externo y MFA resistente a phishing tipo FIDO2, que invalida las credenciales robadas. De procedimiento: verificación fuera de banda obligatoria para pagos y cambios de cuenta bancaria. Humana: simulaciones periódicas realistas y personalizadas por departamento, para que el empleado haya visto antes el tipo exacto de correo que va a recibir.