Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
usuarios se infecten. Parece ser que los ataques Watering Hole están aumentando<br />
rápidamente cómo el método favorito para infectar equipos en campañas de <strong>APT</strong><br />
ya que este tipo de ataque permite a los atacantes abarcar a más víctimas dentro<br />
de su objetivo. 90<br />
5.1.1.2. Spear-Phishing Attacks<br />
Generalmente, es un tipo de ataque que consiste en el envío de un correo<br />
electrónico dirigido a uno o varios objetivos concretos, en el que habitualmente el<br />
emisario suplanta la identidad de alguien conocido por los objetivos para ganar la<br />
confianza de la víctima. 91<br />
En las campañas de <strong>APT</strong> es el método más utilizado como vía de infección. En los<br />
ataques dirigidos, estos correos suelen llevar incorporado, bien un enlace a un sitio<br />
malicioso con la finalidad de que el usuario lo visite comprometiendo su equipo<br />
(Drive-by-download), o bien un documento adjunto malicioso que al abrirlo el<br />
usuario se infecte. Con ayuda de diversas técnicas de ingeniería social el atacante<br />
tratará de engañar a la víctima para que visite el enlace malicioso incorporado en<br />
el correo o abra el documento anexado.<br />
En el informe ‘Pentest: Recolección de Información (Information Gathering)’ 92<br />
publicado por INTECO-CERT y CSIRT-CV en noviembre de 2011 se muestra un<br />
ejemplo detallado de un ataque de este tipo (punto 3.2 del Informe). El atacante,<br />
tras llevar a cabo una fase de recolección de información relevante de la<br />
organización objetivo, se decanta por llevar a cabo un Spear-Phishing Attack cómo<br />
vector de ataque. Para ello, intenta conseguir la mayor información posible sobre<br />
empleados, clientes o colaboradores de la organización (direcciones de correo,<br />
perfiles, nombres de usuarios, puestos que ocupan, etc.). No resulta difícil<br />
recopilar información de este tipo a través de las redes sociales más utilizadas<br />
(Facebook, LinkedIn, Twitter, Tuenti, etc.), foros en los que la víctima<br />
90 The Elderwook Project<br />
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-elderwoodproject.pdf<br />
91 Spear phishing<br />
http://www.inteco.es/wikiAction/Seguridad/Observatorio/area_juridica_seguridad/Enciclopedia/Articulos_1/spear_<br />
hishing<br />
92 Pentest: Recolección de información (Information Gathering)<br />
http://www.csirtcv.gva.es/sites/all/files/images/content/cert_inf_seguridad_information_gathering.pdf<br />
53