El Spear Phishing son correos o mensajes diseñados a la medida de la víctima y se ha convertido en una de las amenazas más efectivas en México y Latinoamérica. A diferencia del phishing masivo, aquí el atacante investiga a su blanco para lograr mayor credibilidad.
En México, The CIU (The Competitive Intelligence Unit) reporta más de 13.5 millones de personas afectadas en 2024 por fraudes digitales, y Kaspersky registró un aumento global del 26% en intentos de phishing. En la región, este vector sigue siendo la puerta de entrada principal a fraudes tipo BEC (Business Email Compromise).
¿Quiénes son los blancos principales?
Los perfiles más atacados son CEO y CFO, áreas de finanzas, compras, recursos humanos (RH), así como asistentes ejecutivos y proveedores críticos. ¿Por qué? Porque tienen acceso a pagos, datos sensibles o capacidad de autorizar procesos clave.
Cómo operan: técnicas, tácticas y procedimientos
· Suplantación de RH: correos con asuntos como “Ajuste Salaria” incluyen un enlace falso a OneDrive para “ver el ajuste de sueldo”. Al abrirlo, el empleado entrega sus credenciales en un portal clonado de Microsoft.
· Dominios rotados: los atacantes usan decenas de dominios/subdominios distintos y los cambian constantemente; cuando uno es bloqueado, ya tienen otro listo para seguir operando.
· Envío vía Amazon SES: se aprovechan de este servicio legítimo de Amazon para dar apariencia confiable a los correos y mejorar la tasa de entrega.
- Adversary-in-the-Middle (AiTM): el sitio malicioso actúa como “intermediario” entre usuario y servicio real, roba la cookie de sesión y así permite al atacante saltarse incluso la autenticación multifactor (MFA).
Impacto en las empresas
El Spear Phishing no solo genera pérdidas financieras directas. También permite:
· Robo de credenciales para entrar a sistemas internos.
· Acceso lateral: Moverse dentro de la red para comprometer más cuentas o servidores.
· Exposición de datos y afectación de la reputación corporativa.
¿Qué pueden hacer las empresas?
1. Concientización continua
Programas dirigidos a directivos y sus equipos cercanos (finanzas, RH, compras), con microcapacitaciones y simulaciones realistas y personalizadas con IA. Estos programas reducen la tasa de clic y aumentan la capacidad de reporte oportuno.
2. Verificación fuera de autenticación (fuera de banda)
Confirmar órdenes de pago o solicitudes críticas usando otro canal: llamar al teléfono registrado en el sistema, no al que aparece en el correo.
3. MFA resistente a phishing
Implementar passkeys o llaves FIDO2, que reducen el riesgo de que cookies de sesión robadas sean reutilizadas.
4. Autenticación de correo: SPF, DKIM y DMARC
o SPF (Sender Policy Framework): Define qué servidores están autorizados a enviar en nombre del dominio.
o DKIM (DomainKeys Identified Mail): Agrega firmas digitales al correo.
o DMARC (Domain-based Message Authentication, Reporting & Conformance): Alinea SPF y DKIM, y permite a la empresa publicar una política (ej. rechazar correos falsos).
5. Detección y respuesta en correo
Sistemas que identifiquen suplantaciones de proveedores, bloqueen enlaces maliciosos y disparen alertas tempranas.
Conclusión
El Spear Phishing ya no es un simple engaño masivo: combina ingeniería social con infraestructura rotativa (dominios efímeros, múltiples servicios en la nube, URLs de un solo uso) para mantener viva la campaña pese a bloqueos. Estas operaciones, cada vez más impulsadas por IA, pueden engañar incluso a usuarios experimentados.
La defensa requiere una estrategia integral:
· Concientización enfocada en VIPs,
· Procesos de verificación fuera de banda,
· MFA y correo autenticado con DMARC,
· Detección activa de campañas en curso.
Las empresas que fortalezcan a sus personas clave y a los equipos que las rodean no solo reducirán el riesgo de fraude, sino que también blindarán la continuidad de su negocio en un entorno donde los atacantes se vuelven cada día más creativos.
Fuentes:
Stripe OLT https://stripeolt.com/knowledge-hub/expert-intel/analysing-targeted-spearphishing/?utm
Kaspersky https://www.kaspersky.com/about/press-releases
Microsoft Threat Intelligence https://www.microsoft.com/en-us/security/blog/2022/07/12/
The CIU Reporte de fraudes digitales 2024 https://www.theciu.com/
SANS Security Awareness Report 2025 https://www.sans.org/for-organizations/workforce/resources/security-awareness-report
Los derechos humanos como coartada de perdedores
Estudios recientes en neurociencia han demostrado que la compasión activa circuitos cerebrales vinculados al bienestar y la cooperación.
marzo 12, 2026
La raíz del horror…
Las llamadas Experiencias Adversas en la Infancia —abuso físico, sexual, negligencia, violencia doméstica— se asocian estadísticamente con mayor riesgo de conductas violentas...
marzo 2, 2026
LA DEMANDA COLECTIVA DE 2026 CONTRA META Y RAYBAN
Desde el lanzamiento de las gafas inteligentes Ray-Ban Meta, la promesa central de Mark Zuckerberg fue la “privacidad por...
marzo 13, 2026
Los derechos humanos como coartada de perdedores
Estudios recientes en neurociencia han demostrado que la compasión activa circuitos cerebrales vinculados al bienestar y la cooperación.
marzo 12, 2026
El gobierno de EEUU veta a Anthropic
El veto a Claude en marzo de 2026 marca el fin de la neutralidad tecnológica.
marzo 6, 2026
La raíz del horror…
Las llamadas Experiencias Adversas en la Infancia —abuso físico, sexual, negligencia, violencia doméstica— se asocian estadísticamente con mayor riesgo...
marzo 2, 2026