El spear phishing es un ataque de phishing dirigido que te llega con tu nombre, tu cargo y datos reales sobre ti. No es el típico email genérico del "príncipe nigeriano". Es un mensaje diseñado para engañarte a ti, específicamente a ti, usando ingeniería social dirigida y datos que el atacante ha recopilado de LinkedIn, redes sociales o filtraciones previas. Y funciona bastante mejor que el phishing avanzado masivo, porque un ataque personalizado explota la confianza, no la ignorancia.
Phishing normal vs. spear phishing: la diferencia que importa
El phishing tradicional funciona como una red de arrastre. Un atacante envía miles —o millones— de correos idénticos esperando que alguien pique. El asunto típico: "Su cuenta ha sido suspendida", "Tiene un paquete pendiente". Genérico, masivo, sin personalizar.
El spear phishing es un arpón. Un solo objetivo, un solo mensaje diseñado para esa persona. El atacante invierte horas o días investigando a la víctima antes de escribir una sola línea.
| Característica | Phishing masivo | Spear phishing |
|---|---|---|
| Volumen | Miles de emails idénticos | Uno o pocos emails personalizados |
| Investigación previa | Ninguna | Extensa (OSINT, redes sociales) |
| Tasa de éxito | Baja (según estudios del sector, inferior al 3%) | Significativamente mayor |
| Objetivo | Credenciales genéricas | Acceso a sistemas concretos, transferencias, datos sensibles |
| Remitente aparente | Banco, correos, Netflix | Tu jefe, tu proveedor, tu compañero de departamento |
Piénsalo así: si el phishing normal es spam con pretensiones, el phishing dirigido es un trabajo de inteligencia. Y por eso las defensas que funcionan contra uno no siempre sirven contra el otro. Si ya sabes cómo identificar señales sospechosas en una URL, vas por buen camino, pero con spear phishing necesitas más.
Cómo prepara un atacante un ataque de spear phishing
Aquí es donde la cosa se pone seria. Un atacante que planifica un ataque personalizado sigue un proceso metódico que recuerda más al periodismo de investigación que al cibercrimen de película.
Fase 1: Reconocimiento (OSINT)
El atacante recopila todo lo que puede sobre ti. LinkedIn es una mina de oro: cargo, empresa, compañeros, proyectos recientes. Twitter/X revela opiniones y rutinas. Facebook aporta datos personales. Las filtraciones de datos previas (consultables en Have I Been Pwned) completan el perfil con emails, contraseñas antiguas y más.
Fase 2: Construcción del pretexto
Con esos datos, el atacante fabrica un escenario creíble. Algunos ejemplos reales documentados:
- Un email "del CEO" pidiendo una transferencia urgente a un nuevo proveedor (ataque BEC — Business Email Compromise)
- Un mensaje "del departamento de IT" con un enlace para "actualizar credenciales del nuevo sistema" que viste mencionado en un email interno filtrado
- Una factura "del proveedor real" con el IBAN cambiado — el atacante conoce al proveedor porque lo ha visto en tu LinkedIn
- Un PDF "del abogado de la empresa" referenciando una operación de M&A real
Fase 3: Ejecución técnica
El atacante registra un dominio similar al legítimo (por ejemplo, empresa-corp.com en lugar de empresacorp.com), configura SPF y DKIM para que el email pase filtros básicos, y envía el mensaje en un momento estratégico. Un viernes a las 17:30, cuando la guardia baja, es un clásico.
La ingeniería social dirigida funciona porque explota patrones psicológicos reales: autoridad ("es del CEO"), urgencia ("hazlo antes de las 18h"), familiaridad ("te escribo desde el móvil, no puedo llamar"). No necesita malware sofisticado. Solo necesita que confíes.
Casos reales que demuestran el peligro
El spear phishing está detrás de algunos de los ciberataques más sonados de la última década. No son incidentes teóricos.
RSA Security (2011): Un empleado abrió un Excel adjunto titulado "2011 Recruitment Plan" que llegó a su bandeja como phishing avanzado. El archivo explotaba un zero-day en Adobe Flash (CVE-2011-0609). El resultado: acceso a los sistemas internos de RSA y el compromiso de los tokens SecurID que protegían a cientos de empresas del sector defensa.
Sony Pictures (2014): Emails de spear phishing con credenciales de Apple falsas dirigidos a ejecutivos concretos. El resultado fue una de las filtraciones corporativas más destructivas de la historia: películas sin estrenar, emails internos, datos de empleados. Todo público.
Ataques BEC en España: La Guardia Civil y la Policía Nacional han desmantelado múltiples redes que usaban phishing dirigido para interceptar facturas entre empresas españolas, cambiando el número de cuenta. La EMT de Valencia perdió 4 millones de euros en 2019 con esta técnica. No es cosa de películas: pasa aquí, en empresas normales.
Si estos ataques te recuerdan al concepto de ataque man-in-the-middle, no vas desencaminado. Muchas veces el spear phishing es la puerta de entrada para interceptar comunicaciones posteriores.
Cómo protegerte del spear phishing
Aquí viene la parte práctica. No basta con "no abras emails sospechosos", porque el punto entero del ataque personalizado es que NO parezca sospechoso.
A nivel individual
- Verifica por otro canal. Si recibes un email de tu jefe pidiendo algo inusual, llámale. No respondas al email, no uses el teléfono que aparece en el email. Usa el que ya tienes guardado.
- Revisa el dominio, no el nombre. El nombre del remitente se falsifica en dos clics. El dominio real está en la cabecera del email. Aprende a leerla.
- Activa 2FA en todo. Si el atacante consigue tu contraseña mediante ingeniería social dirigida, el segundo factor puede ser tu última línea de defensa. Usa aplicaciones de autenticación (Google Authenticator, Authy), no SMS.
- Limita tu exposición en redes. No publiques tu email corporativo en LinkedIn. No compartas organigramas. No postees fotos de tu badge de empleado. Todo eso alimenta el reconocimiento.
- Usa contraseñas únicas. Las filtraciones de datos permiten a los atacantes probar tu contraseña de 2015 en tu email actual. Comprueba si tus datos han sido expuestos en Have I Been Pwned y verifica la fortaleza de tus contraseñas.
A nivel empresarial
- Protocolos de doble verificación para transferencias bancarias y cambios de datos de pago. Sin excepciones. Ni siquiera si "lo pide el CEO".
- Simulaciones de phishing periódicas. Herramientas como KnowBe4 o GoPhish permiten enviar campañas de spear phishing simulado y medir quién pica. Sin culpa, con formación.
- DMARC, SPF y DKIM bien configurados. No eliminan el riesgo, pero dificultan la suplantación de tu dominio.
- Filtros de email con IA que analicen el contexto del mensaje, no solo el contenido. Los filtros basados en firmas no detectan un email personalizado que no contiene malware conocido.
- Segmentación de privilegios. Si el atacante compromete una cuenta de marketing, que no pueda acceder a los sistemas financieros.
Y sí, si te preocupa la seguridad al navegar fuera de la oficina, merece la pena repasar los riesgos reales de conectarte a WiFi público. El spear phishing combinado con redes inseguras es un combo letal.
Qué hacer si has picado
Primer paso: no entres en pánico, pero actúa rápido. Los primeros minutos cuentan.
- Cambia la contraseña de la cuenta comprometida inmediatamente. Si usas la misma contraseña en otros servicios (no deberías, pero seamos realistas), cámbialas también.
- Avisa a IT o a tu responsable. No intentes solucionarlo solo ni lo escondas por vergüenza. El atacante puede estar moviéndose lateralmente por la red mientras tú dudas.
- Documenta todo. No borres el email. Haz capturas. Anota la hora exacta. Todo esto será necesario para el análisis forense.
- Revisa actividad reciente. Accesos inusuales, emails enviados desde tu cuenta, reglas de reenvío creadas sin tu conocimiento. Los atacantes suelen crear reglas de reenvío para seguir recibiendo tus emails incluso después de que cambies la contraseña.
- Denuncia. En España, al INCIBE (017) y a las Fuerzas de Seguridad del Estado. Si hay pérdida económica, también ante el banco y la AEPD si hay datos personales afectados.
Preguntas frecuentes
¿Puede un antivirus detectar un ataque de spear phishing?
No de forma fiable. Muchos ataques de spear phishing no incluyen malware: simplemente te piden que hagas algo (transferir dinero, enviar datos, iniciar sesión en una web falsa). Un antivirus detecta archivos maliciosos, pero no puede detectar que estás respondiendo a un email fraudulento con información confidencial. La mejor defensa combina filtros de email avanzados, formación del usuario y protocolos de verificación.
¿El spear phishing solo afecta a grandes empresas?
Para nada. Las pymes son objetivos frecuentes precisamente porque suelen tener menos controles de seguridad. Un ataque personalizado contra el responsable financiero de una empresa de 20 empleados puede ser más rentable para el atacante que ir contra una multinacional con un SOC 24/7. Según datos del INCIBE, la mayoría de incidentes de ciberseguridad en España afectan a pymes y autónomos.
¿Cómo sé si un email de mi jefe es real o es phishing dirigido?
Fíjate en tres cosas: el dominio real del remitente (no el nombre visible), si la petición rompe los procedimientos habituales, y si hay urgencia artificial ("hazlo ahora, no puedo hablar"). Ante la duda, verifica por teléfono o en persona. Nunca uses los datos de contacto del propio email sospechoso.
¿Qué diferencia hay entre spear phishing y whaling?
El whaling es spear phishing dirigido específicamente a altos directivos (CEO, CFO, directores). La mecánica es la misma — ingeniería social dirigida con información personalizada — pero el objetivo son las "ballenas": personas con autoridad para aprobar transferencias, acceder a información estratégica o tomar decisiones sin supervisión.
El siguiente paso
Haz esto ahora mismo: entra en Have I Been Pwned, introduce tu email corporativo y los dos o tres personales que uses habitualmente, y comprueba en cuántas filtraciones aparecen. Si alguna contraseña filtrada sigue activa en algún servicio, cámbiala hoy. No mañana. Los atacantes que preparan campañas de phishing dirigido usan exactamente esas bases de datos como punto de partida. Saber qué saben de ti es el primer paso para dejar de ser un blanco fácil.
