Hay una rama de las técnicas de estafa por correo electrónico que está empezando a hacer las rondas, y se llama spear phishing. Este nuevo tipo de suplantación de identidad ha seguido una tendencia al alza desde 2015, haciendo que las empresas sufran pérdidas masivas y drenando millones de dólares de la economía a manos de hackers emprendedores.

Ha recibido tanta atención en los últimos años que el 18 de agosto de 2017, Facebook otorgó su premio anual de defensa de Internet a un grupo de investigadores de la Universidad de California, Berkeley, que logró crear un proyecto de detección automatizada de spear phishing. Han publicado un útil documento sobre el tema que nos ayudará a conocer cómo debe funcionar la detección de spear phishing en un entorno corporativo.

¿Qué hace que el spear phishing sea una amenaza?

Si quieres un resumen de lo que es el spear phishing, ya he escrito sobre ello en este artículo. El nivel de sofisticación de un ataque de spear phishing puede variar según los recursos de que disponga el hacker.

Pero en general, el objetivo es crear un correo electrónico que imite perfectamente lo que la víctima recibiría de una persona de confianza. Esto significa que estos correos electrónicos particulares a menudo carecen de los signos de un mensaje de estafa. Como parece legítimo, hace que la víctima baje la guardia, haciéndola más susceptible de perjudicarse a sí misma o a las empresas en las que trabaja sin darse cuenta.

Y aquí viene la parte más aterradora: el mensaje de correo electrónico podría incluso proceder de la dirección de alguien en quien la víctima confía, falsificando el nombre y otros detalles y despistando a los métodos tradicionales de detección.

RELACIONADO:  Cómo sustituir un rodamiento de eje cv

Cómo los algoritmos detectan los correos electrónicos

A pesar de que los correos electrónicos de phishing selectivo suelen tener un aspecto muy legítimo en comparación con los mensajes distribuidos con el estilo tradicional de phishing de «lotería», el spear no es tan afilado como parece. Todos los mensajes falsos tienen su parte. En este caso concreto, se trata de hacer un simple análisis heurístico de todos los mensajes enviados a la víctima y desde ella, detectando patrones tanto en el lenguaje del cuerpo como en el contenido del encabezado del correo electrónico.

Si, por ejemplo, tienes un contacto que suele enviarte mensajes desde Estados Unidos y de repente recibes un mensaje de ese mismo contacto procedente de Nigeria, eso podría ser una señal de alarma. El algoritmo, conocido como Directed Anomaly Scoring (DAS), también examina el propio mensaje en busca de señales de contenido sospechoso. Por ejemplo, si en el correo electrónico hay un enlace a un sitio web y el sistema observa que ningún otro empleado de su empresa lo ha visitado, esto podría marcarse como algo sospechoso. El mensaje podría analizarse más a fondo para determinar la «reputación» de las URLs que contiene.

Como la mayoría de los atacantes sólo falsifican el nombre del remitente y no su dirección de correo electrónico, el algoritmo también puede intentar correlacionar el nombre del remitente con un correo electrónico utilizado en los últimos meses. Si el nombre del remitente y el correo electrónico no se corresponden con nada utilizado en el pasado, eso hará saltar las alarmas.

En resumen, el algoritmo DAS analizará el contenido del correo electrónico, su cabecera y los registros LDAP de la empresa para decidir si el correo electrónico es un intento de phishing selectivo o simplemente un mensaje extraño, pero legítimo. En su prueba de análisis de 370 millones de correos electrónicos, DAS ha detectado 17 de 19 intentos y ha tenido una tasa de falsos positivos del 0,004%. No está mal.

RELACIONADO:  La madera se puede sublimar

Ahora bien, esta es otra cuestión: ¿Crees que los escáneres de correo electrónico violan la privacidad de las personas, incluso cuando se utilizan en un entorno corporativo cerrado exclusivamente para la detección de estafas? Discutámoslo en los comentarios.