Cuando hablamos de phishing solemos pensar en correos electrónicos maliciosos que contienen virus o enlaces que infectan los sistemas con malware. Sin embargo, existe una variante más sutil, que apunta directamente a la psicología de la víctima: el phishing para obtener información o phishing for information.
Este tipo de ataque no busca ejecutar código malicioso, sino conseguir datos valiosos de los usuarios —especialmente credenciales, información confidencial o detalles internos— que pueden ser utilizados posteriormente en campañas cibernéticas como la apropiación de cuentas, el acceso inicial no autorizado o movimientos laterales dentro de la red empresarial.
Para ello, el atacante engaña a la víctima mediante ingeniería social, haciéndose pasar por una fuente confiable o legítima de forma que esta le revele datos confidenciales. La matriz MITRE detalla cuatro subtécnicas principales bajo esta táctica:
- Spearphishing Service: los atacantes utilizan servicios de terceros, como plataformas de correo o redes sociales, para enviar mensajes diseñados con el objetivo de obtener información sensible (nombres de usuario, contraseñas o información financiera). Los correos suelen estar personalizados, generando una falsa sensación de urgencia o autoridad (por ejemplo, «soporte técnico» o «equipo de seguridad»).
- Spearphishing Attachment: envían archivos adjuntos diseñados para engañar, aunque no necesariamente contienen malware. Puede tratarse de un formulario de inicio de sesión falso o una hoja de cálculo solicitando datos sensibles.
- Spearphishing Link: el ciberdelincuente envía un enlace que dirige a una web falsa o clonada, diseñada para capturar credenciales ingresadas por la víctima, que cree que está iniciando sesión en un sistema legítimo, como Microsoft 365, Google, bancos o servicios internos de la empresa. Esta técnica puede incluir el uso de códigos QR para redirigir a los usuarios sin que estos detecten la URL.
- Spearphishing Voice o vishing: esta técnica implica llamadas telefónicas en las que el atacante se hace pasar por una entidad confiable, como soporte técnico o una institución financiera, para que la víctima proporcione datos sensibles a través de técnicas de persuasión o presión.
En un entorno donde el eslabón más débil suele ser el factor humano, es vital fortalecer la cultura de seguridad, detectar señales tempranas y actuar con escepticismo ante solicitudes no verificadas. Proteger la información empieza por saber quién podría estar intentando obtenerla.
Para más información: attack.mitre.org
