En el Pentágono y la NSA tienen un problema con el Spear phishing, un tipo de estafa cibernética cuyo objetivo es obtener acceso no autorizado a datos confidenciales a través de enlaces maliciosos y que en los últimos meses se está propagando a través de redes sociales como Twitter o Facebook.

Es un ataque virulento que solía focalizarse por correo electrónico pero que ahora se está adaptando a las redes sociales porque son un entorno más amigable para los usuarios y donde tienden más a confiar en lo que el resto de usuarios les manda, porque son “sus amigos”.

Según explica Kaspersky, a diferencia de las estafas por phishing, que pueden lanzar ataques amplios y dispersos, el Spear phishing se centra en un grupo u organización específicos.

Basta que el ciberdelincuente se fije en los temas que comenta un usuario en sus redes sociales para mandarle un enlace infectado con información relacionada. Las probabilidades de que cliquee en él son muy altas: mientras que se abren alrededor del 30% de los emails de pishing, esta cifra se dobla cuando los mensajes infectados llegan por redes sociales, según un informe de la firma de seguridad cibernética ZeroFOX.

Cuando esto ocurre, el cibercriminal puede infectar a la red de amigos del usuario atacado y recopilar información que estos intercambian, directa o indirectamente, como conversaciones o la geolocalización.

La gravedad del problema se agudiza porque este tipo de ataques se están intensificando en los últimos meses contra funcionarios del Pentágono, de la NSA y del Departamento de Defensa. Pero en lugar de atacarles a ellos directamente, lo hacen a sus familiares, para no levantar sospechas. Cuando estos abren los enlaces infectados y los comparten con ellos, los ciberdelincuentes se hacen con el control de la red informática y del ordenador.

Mientras el phising “tradicional” por email está algo más controlado, la formación de los funcionarios sobre cómo detectar un ataque que viene a través de redes sociales es muy limitada. Facebook ya ha dicho que está monitoreando el phishing y ha publicado un libro blanco para que los usuarios se conciencia y aprendan a detectarlo.