La carta que parecía del banco

Imaginá que llegás a tu oficina un lunes por la mañana y encontrás un correo de tu contador. El asunto dice: "Urgente: error en la factura del proveedor de servidores". El correo menciona el nombre exacto de tu proveedor, el monto de la última factura e incluso hace referencia a una conversación que tuvieron la semana pasada. Te pide que revisés un documento adjunto para corregir el error antes de que cierre el período fiscal. Todo se ve legítimo. Pero no lo es. Alguien investigó tu empresa, estudió tus relaciones comerciales y fabricó un correo perfecto para engañarte. Eso es spear phishing.

El phishing común es como lanzar una red al mar esperando atrapar lo que caiga. El spear phishing es como un francotirador: elige su objetivo, estudia sus movimientos y dispara con precisión quirúrgica.

¿Qué es el phishing y por qué sigue funcionando?

Antes de entrar al spear phishing, repasemos lo básico. El phishing es un ataque de ingeniería social donde un delincuente se hace pasar por una entidad legítima (un banco, una empresa, una plataforma) para engañarte y que le entregués información confidencial: contraseñas, datos bancarios, números de tarjeta.

El phishing genérico funciona por volumen. Se envían millones de correos idénticos esperando que un pequeño porcentaje caiga. Estos correos suelen tener errores ortográficos, direcciones de correo sospechosas y solicitudes genéricas como "estimado cliente, verifique su cuenta".

Y a pesar de que llevamos años hablando de phishing, sigue siendo el vector de ataque número uno. Según el informe de Verizon DBIR 2025, el 36% de todas las brechas de seguridad involucran phishing. ¿Por qué? Porque ataca al eslabón más difícil de parchear: las personas.

Spear phishing: el phishing con nombre y apellido

El spear phishing lleva el engaño a otro nivel. En lugar de correos masivos y genéricos, el atacante:

1.Investiga a su objetivo. Revisa LinkedIn, redes sociales, el sitio web de la empresa, comunicados de prensa, incluso información filtrada en brechas anteriores.

2.Identifica relaciones. Averigua quién es el jefe, quién es el contador, quiénes son los proveedores, qué proyectos están en curso.

3.Fabrica un mensaje personalizado. Usa nombres reales, contexto real y situaciones creíbles para crear un correo que parece completamente legítimo.

4.Apunta al momento justo. Puede enviar el correo durante una época de cierre fiscal, después de un anuncio público de la empresa, o cuando sabe que el jefe está de viaje.

El resultado es un correo tan convincente que incluso personas entrenadas en ciberseguridad pueden caer.

¿Qué tan efectivo es?

Mientras que el phishing genérico tiene tasas de éxito del 3-5%, el spear phishing alcanza tasas del 40-70% según estudios de la empresa de seguridad Barracuda Networks. La diferencia es abismal.

BEC: Cuando el spear phishing apunta a tu billetera

El Business Email Compromise (BEC) es la evolución más peligrosa del spear phishing. En un ataque BEC, el delincuente se hace pasar por un ejecutivo o proveedor de confianza para autorizar transferencias de dinero o cambios en datos de pago.

Cómo funciona un BEC típico

•Paso 1:: El atacante compromete o suplanta el correo del gerente general.

•Paso 2:: Envía un correo al departamento de finanzas diciendo: "Necesito que hagás una transferencia urgente a este proveedor. Es confidencial, no se lo comentés a nadie todavía."

•Paso 3:: El empleado, viendo que viene del jefe y que dice ser urgente, ejecuta la transferencia.

•Paso 4:: El dinero llega a una cuenta controlada por el atacante y desaparece.

Casos reales que duelen

Facebook y Google perdieron $100 millones de dólares. Entre 2013 y 2015, un hombre lituano llamado Evaldas Rimasauskas engañó a ambas empresas haciéndose pasar por Quanta Computer, un proveedor legítimo de hardware. Envió facturas falsas con datos bancarios propios. Ambas empresas pagaron sin verificar.

Toyota Boshoku perdió $37 millones. En 2019, la subsidiaria europea de Toyota fue víctima de un BEC donde alguien se hizo pasar por un socio comercial y convenció al departamento financiero de cambiar la cuenta de destino de un pago.

El caso de una PYME costarricense (2024). Una empresa de servicios profesionales en San José recibió un correo aparentemente de su proveedor de software contable solicitando actualizar los datos bancarios para el próximo pago mensual. La empresa transfirió ₡4.5 millones a la cuenta equivocada antes de descubrir el fraude. El dinero nunca se recuperó.

Según el FBI, los ataques BEC generaron pérdidas globales superiores a $55 mil millones de dólares entre 2013 y 2025.

¿Cómo obtienen información los atacantes?

Para fabricar un correo de spear phishing creíble, los atacantes usan múltiples fuentes:

•LinkedIn:: Cargos, relaciones laborales, cambios de empleo, publicaciones sobre proyectos.

•Redes sociales:: Fotos de eventos corporativos, viajes de negocios, celebraciones de la empresa.

•Sitio web corporativo:: Nombres del equipo directivo, clientes, socios, comunicados de prensa.

•Brechas de datos anteriores:: Correos electrónicos y contraseñas filtradas que permiten acceder a cuentas reales.

•Llamadas telefónicas:: A veces simplemente llaman a la recepción haciéndose pasar por alguien y recopilan información.

•Documentos públicos:: Registros mercantiles, licitaciones públicas, informes financieros.

Con apenas 30 minutos de investigación en fuentes públicas, un atacante puede fabricar un correo de spear phishing altamente convincente contra cualquier PYME.

Las banderas rojas: cómo detectar spear phishing

Aunque el spear phishing es sofisticado, siempre deja pistas. Entrenate para detectar estas señales:

1. Urgencia artificial

"Necesito esto antes de las 2 p.m.", "Es urgente, no podés esperar", "Si no lo hacemos hoy, perdemos el contrato". La urgencia es la herramienta favorita de los atacantes porque te hace actuar sin pensar.

2. Solicitudes fuera de lo normal

Si tu jefe nunca te ha pedido hacer una transferencia bancaria por correo y de repente lo hace, es una bandera roja gigante. Cualquier solicitud que rompa el procedimiento habitual merece verificación.

3. El remitente no es exactamente quien dice ser

Revisá cuidadosamente la dirección de correo. Los atacantes usan trucos como:

•gerente@cibershie1d.com: (con un "1" en lugar de "l")

•gerente@cibershield.co: (sin la "m" final)

•gerente@cibershield-cr.com: (dominio diferente pero similar)

4. Peticiones de confidencialidad

"No le comentés esto a nadie todavía" o "Manejalo directamente conmigo". El atacante quiere evitar que consultés con alguien que podría detectar el fraude.

5. Cambios en datos de pago

Cualquier solicitud para cambiar una cuenta bancaria, un método de pago o datos de facturación debe verificarse por un canal diferente al correo electrónico.

6. Archivos adjuntos inesperados

Un PDF, un archivo de Excel o un documento de Word que no esperabas, especialmente si te pide "habilitar macros" o "habilitar edición", es peligroso.

7. Enlaces que no coinciden

Pasá el cursor sobre cualquier enlace sin hacer clic. Si dice "Banco Nacional" pero el enlace apunta a "banco-nacional-cr.xyz", es falso.

Guía práctica: protegé tu PYME del spear phishing

Medidas técnicas

•Implementá autenticación de correo (SPF, DKIM, DMARC).: Estos protocolos verifican que los correos realmente vienen de tu dominio y dificultan la suplantación. Si todavía no los tenés configurados, es una prioridad urgente.

•Habilitá la autenticación multifactor (MFA) en todo.: Aunque un atacante obtenga una contraseña mediante phishing, el MFA impide que acceda a la cuenta.

•Usá un filtro de correo avanzado.: Las soluciones modernas de seguridad de correo pueden detectar patrones de spear phishing, analizar enlaces en tiempo real y bloquear adjuntos maliciosos.

•Implementá políticas de DLP (Prevención de Pérdida de Datos).: Un sistema DLP puede detectar cuando información confidencial está por salir de tu organización de formas inusuales.

Medidas organizacionales

•Establecé un protocolo de verificación para pagos.: Cualquier transferencia nueva, cambio de cuenta bancaria o pago fuera de lo normal debe confirmarse por **teléfono o en persona**, nunca solo por correo.

•Creá una cultura donde está bien cuestionar.: Si alguien recibe un correo sospechoso del jefe, debe sentirse cómodo llamando para verificar. Eso no es desconfianza: es seguridad.

•Realizá simulacros de phishing.: Enviá correos de phishing simulados a tu equipo periódicamente. No para castigar, sino para entrenar. Las empresas que hacen simulacros regulares reducen su tasa de clics en phishing en un **60%** después de un año.

•Definí procedimientos claros para solicitudes sensibles.: Documentá quién puede autorizar transferencias, quién puede compartir datos confidenciales y cómo se verifican estas solicitudes.

Medidas personales

•Limitá la información pública.: Revisá qué información personal y laboral está disponible en redes sociales. No necesitás publicar tu cargo exacto, tu correo corporativo y el nombre de tus proveedores.

•Ante la duda, verificá por otro canal.: Si recibís un correo sospechoso de tu jefe, llamalo. Si un proveedor te pide cambiar sus datos bancarios, llamalo al número que ya tenés registrado (no al que viene en el correo).

•Nunca actuéis bajo presión.: La urgencia es la trampa principal. Tomá 5 minutos para verificar antes de actuar. Si es legítimo, esos 5 minutos no van a cambiar nada. Si es fraude, te van a salvar.

¿Qué hacer si caíste en un ataque de spear phishing?

Si sospechás que vos o alguien de tu equipo cayó en un ataque:

1.No entrés en pánico. Actuar rápido es más importante que lamentarse.

2.Cambiá contraseñas inmediatamente. Empezá por la cuenta comprometida y cualquier otra que use la misma contraseña.

3.Notificá a tu equipo de TI o proveedor de seguridad. Cuanto antes lo sepan, antes pueden contener el daño.

4.Si se hizo una transferencia fraudulenta, contactá al banco de inmediato. En algunos casos, las transferencias pueden revertirse si se actúa en las primeras horas.

5.Preservá la evidencia. No borrés el correo fraudulento. Es evidencia que puede servir para investigar y prevenir futuros ataques.

6.Reportá el incidente. En Costa Rica, podés reportar al OIJ o al CSIRT-CR.

El phishing evoluciona: IA generativa y deepfakes

Un factor preocupante es que la inteligencia artificial está haciendo que el spear phishing sea aún más peligroso:

•Correos generados por IA: sin errores ortográficos ni gramaticales, en el tono exacto de la persona suplantada.

•Deepfakes de voz: que imitan la voz del gerente para confirmar solicitudes por teléfono.

•Chatbots maliciosos: que pueden mantener conversaciones convincentes por correo o chat.

Ya se han documentado casos donde atacantes usaron clonación de voz por IA para autorizar transferencias bancarias. Un caso en Hong Kong en 2024 involucró una videollamada deepfake donde los atacantes suplantaron a múltiples ejecutivos, logrando robar $25 millones de dólares.

Esto significa que las defensas también deben evolucionar. La verificación por múltiples canales y los protocolos estrictos para autorizaciones financieras son más importantes que nunca.

La defensa más fuerte es la conciencia

El spear phishing no explota vulnerabilidades técnicas: explota la confianza humana. Por eso, la mejor defensa combina tecnología con cultura organizacional. No basta con tener un buen antivirus si tu equipo no sabe reconocer un correo fraudulento.

En CiberShield ayudamos a PYMEs en Centroamérica a construir defensas integrales contra el phishing avanzado: desde la configuración técnica de protocolos de correo hasta programas de concientización y simulacros para tu equipo. Porque el siguiente correo de spear phishing dirigido a tu empresa podría llegar mañana, y la pregunta es: ¿tu equipo va a saber reconocerlo?

¿Querés evaluar qué tan preparada está tu empresa contra ataques de phishing avanzado? Contactanos para una evaluación de riesgo y un simulacro personalizado.

Spear Phishing: Cuando el ataque va dirigido exactamente a vos