defensiva
spear phishing
phishing dirigido
BEC

Spear phishing: qué es, ejemplos y cómo defenderse

Qué es el spear phishing o phishing dirigido: diferencias con phishing y BEC, anatomía OSINT, casos reales y defensa con DMARC, FIDO2 y EDR.

Secra6 de julio de 202610 min de lectura

El spear phishing es la modalidad de phishing dirigida a una persona o a un equipo concretos, con un correo personalizado a partir de información previa sobre la víctima. A diferencia del phishing masivo, que lanza el mismo cebo a miles de destinatarios y confía en la estadística, el spear phishing invierte tiempo en investigar a un objetivo de valor para construir un mensaje creíble. Esa personalización dispara la tasa de éxito y es la razón por la que casi todas las brechas graves con componente humano empiezan por un correo dirigido, no por uno genérico. Esta guía explica qué es, en qué se diferencia del phishing normal y del BEC, cómo se construye el ataque paso a paso, qué casos reales lo ilustran y qué defensa por capas lo neutraliza.

El spear phishing es una técnica dentro del paraguas de la ingeniería social, la disciplina que explota la confianza humana en lugar de una vulnerabilidad de software. Aquí nos centramos en la variante por correo dirigido, la más rentable para el atacante.

Qué es el spear phishing

Spear phishing (literalmente "pesca con arpón") es un ataque de correo personalizado contra un objetivo elegido de antemano. El atacante no busca a cualquiera: selecciona a alguien con acceso a lo que quiere (credenciales de administración, capacidad de autorizar pagos, información estratégica) y adapta el mensaje a su contexto real. En el marco MITRE ATT&CK el spear phishing se cataloga como técnica T1566, con tres subtécnicas según el vehículo: adjunto malicioso (T1566.001), enlace armado (T1566.002) y suplantación a través de un servicio de terceros como LinkedIn o un formulario (T1566.003).

La diferencia operativa con el phishing masivo es la relación esfuerzo/objetivo. El phishing masivo es barato, ruidoso y de baja conversión. El spear phishing es artesanal, silencioso y de conversión alta, porque el mensaje incorpora datos que solo alguien informado conocería.

Spear phishing frente a phishing masivo, whaling y BEC

Estas cuatro etiquetas se solapan y conviene separarlas:

  • Phishing masivo: mismo correo a gran escala, sin personalización, apostando a que un porcentaje pequeño caiga. Filtros de correo y concienciación básica lo frenan bien.
  • Spear phishing: correo personalizado a una persona o grupo reducido, con datos reales del objetivo. Difícil de detectar porque parece comunicación legítima.
  • Whaling: spear phishing cuyo objetivo es un alto cargo (CEO, CFO, consejo). No cambia la técnica, cambia el rango de la "ballena" y el importe en juego.
  • BEC (Business Email Compromise): fraude en el que el atacante suplanta o compromete una cuenta corporativa de confianza para autorizar transferencias o cambios de datos bancarios. El spear phishing suele ser el vector de entrada del BEC, pero el BEC va más allá: puede prescindir de malware y basarse solo en el engaño de una cadena de correo.

En la práctica, un mismo incidente combina varias etiquetas: un correo de spear phishing contra el director financiero (whaling) que inicia un fraude de transferencia (BEC). Para el panorama completo de variantes está la guía de tipos de phishing.

Anatomía de un ataque de spear phishing

Un ataque dirigido bien ejecutado recorre cuatro fases. Entenderlas permite cortar la cadena en cada eslabón.

1. Reconocimiento con OSINT

El atacante recopila información pública del objetivo mediante OSINT: perfil de LinkedIn (cargo, proyectos, jerarquía), organigrama, comunicados de prensa, repositorios de GitHub, ponencias, y correos filtrados en brechas anteriores (consultables en servicios como HaveIBeenPwned). Con herramientas como theHarvester o Hunter.io deduce el formato de correo corporativo (nombre.apellido@empresa.es) y con Maltego cruza relaciones entre personas y dominios. El resultado es un dossier: a quién reporta la víctima, qué proveedores usa, qué proyecto tiene entre manos y qué tono emplea internamente.

2. Pretexto y selección del vector

Con el dossier, el atacante diseña un pretexto verosímil apoyado en los resortes psicológicos clásicos (autoridad, urgencia, reciprocidad): un correo del "CEO" pidiendo discreción, una "factura" de un proveedor real con un cambio de IBAN, un "documento de RRHH" que exige revisión antes del viernes. Elige el vector: adjunto, enlace a una página de credenciales o mensaje a través de un servicio legítimo.

3. Correo o enlace armado (weaponización)

El atacante registra un dominio parecido al legítimo (typosquatting como secra-es.com o dominios homógrafos con caracteres Unicode que imitan letras latinas) y falsifica el nombre mostrado del remitente. El adjunto puede ser un documento con macros, un ISO o LNK que evade filtros, o un HTML con contrabando de archivos (HTML smuggling). El enlace suele apuntar a un proxy inverso de tipo adversary in the middle (kits como Evilginx o EvilProxy) que replica la página de login real, captura usuario, contraseña y la cookie de sesión ya autenticada, con lo que elude la MFA basada en códigos.

4. Robo de credenciales o entrega de payload

Si la víctima introduce credenciales, el atacante obtiene acceso a la cuenta o directamente la sesión válida. Si abre el adjunto, se ejecuta un loader que despliega la carga real: un keylogger para capturar todo lo tecleado, un troyano de acceso remoto o el primer eslabón de un ransomware. A partir de aquí el atacante pivota, escala privilegios y persiste.

Casos reales de spear phishing

Tres incidentes públicos muestran el impacto y la variedad de objetivos.

Twitter (julio de 2020). Un grupo de atacantes ejecutó un spear phishing telefónico contra empleados de Twitter, se hizo pasar por el equipo de TI interno y consiguió credenciales de herramientas de administración. Con ese acceso secuestró cuentas verificadas de alto perfil (Obama, Biden, Musk, Apple) para una estafa de bitcoin. El daño reputacional superó con creces el importe defraudado.

Google y Facebook (2013 a 2015). El lituano Evaldas Rimasauskas suplantó a Quanta Computer, un fabricante de hardware que ambas compañías usaban de verdad, y envió durante dos años facturas falsas con documentación aparentemente legítima. Google y Facebook pagaron más de 100 millones de dólares en total antes de detectar el fraude. Es el ejemplo canónico de BEC iniciado con correo dirigido, sin necesidad de malware.

Ubiquiti Networks (2015). Mediante suplantación de directivos y de entidades externas, los atacantes engañaron al departamento financiero para que transfiriera unos 46,7 millones de dólares a cuentas en el extranjero. El caso ilustra por qué finanzas es un rol de alto riesgo y por qué la verificación fuera de banda de los pagos no es opcional.

Señales para identificar un correo dirigido

El spear phishing es difícil de detectar precisamente porque parece legítimo. Estas banderas rojas, combinadas, deben frenar la acción:

  1. Dominio del remitente con variación mínima: una letra cambiada, un guion añadido, un dominio recién registrado o un subdominio largo que despista.
  2. Nombre mostrado correcto pero dirección real distinta: mira siempre la dirección completa, no el nombre.
  3. Petición inusual con urgencia y confidencialidad: "no lo comentes con nadie", "tiene que salir hoy". La urgencia neutraliza el juicio crítico.
  4. Cambio de datos bancarios o de IBAN respecto al habitual en una factura o comunicación de pago.
  5. Contexto demasiado preciso: si el correo conoce tu proyecto, tu jefe y tu vocabulario interno, no lo descartes como legítimo por eso; es justamente la firma del spear phishing.
  6. Enlace cuyo destino real no coincide con el texto: pásale el ratón por encima antes de hacer clic.

Ante la duda, la regla es una: verificar por un canal distinto (llamada, mensaje interno) antes de actuar, nunca respondiendo al propio correo.

Defensa por capas contra el spear phishing

Ningún control aislado detiene el spear phishing. La defensa eficaz combina personas, protocolo de correo, autenticación y detección en el endpoint.

Formación por rol para ejecutivos y finanzas

La concienciación genérica no basta contra ataques dirigidos. Los roles expuestos (dirección, finanzas, RRHH, administración de sistemas) necesitan formación específica sobre los pretextos que les afectan y, sobre todo, un procedimiento de verificación fuera de banda obligatorio para cualquier cambio de datos bancarios o transferencia inusual. Las simulaciones de phishing dirigidas y de dificultad creciente entrenan ese reflejo mejor que cualquier cartel. El detalle práctico está en cómo evitar el phishing.

DMARC, DKIM y SPF a nivel de dominio

Estos tres protocolos impiden que un atacante envíe correos suplantando tu dominio. SPF declara los servidores autorizados, DKIM firma criptográficamente los correos salientes y DMARC define qué hacer cuando un mensaje falla las comprobaciones. El objetivo es DMARC en p=reject con SPF y DKIM correctos para todos los servicios que envían en tu nombre. Sin esto, la suplantación directa de tu dominio es trivial.

MFA resistente a phishing (FIDO2/WebAuthn)

Como los kits adversary in the middle capturan cookies de sesión y eluden la MFA por código o notificación push, la única MFA que resiste de forma sólida es la resistente a phishing basada en FIDO2/WebAuthn: passkeys y llaves físicas de seguridad. Estas vinculan la autenticación al dominio real mediante criptografía de clave pública, de modo que la credencial no funciona en la página falsa del atacante. Es la recomendación de NIST (SP 800-63B, nivel AAL3) y de CISA para cuentas privilegiadas, finanzas y administración cloud.

EDR y detección en el endpoint

Si el correo llega y la víctima abre el adjunto, el EDR es la última oportunidad técnica: bloquea la ejecución de macros y loaders por comportamiento, aísla el equipo y notifica al SOC. Combinado con una pasarela de correo que haga sandboxing de adjuntos y reescritura de URLs, cierra el hueco entre el clic y el compromiso. Contra variantes por voz que a veces acompañan al correo, conviene revisar además qué es el vishing.

Preguntas frecuentes

¿En qué se diferencia el spear phishing del phishing normal?

El phishing normal (masivo) envía el mismo correo genérico a miles de destinatarios sin personalizar y confía en que un pequeño porcentaje caiga. El spear phishing selecciona a una persona o equipo concreto, investiga su contexto con OSINT y construye un mensaje a medida con datos reales (nombre del jefe, proyecto en curso, proveedor habitual). Esa personalización lo hace mucho más creíble y más difícil de detectar, por eso su tasa de éxito es muy superior a la del phishing masivo.

¿Qué es el spear phishing?

Es un ataque de correo dirigido en el que el atacante suplanta a una entidad de confianza para engañar a un objetivo específico y lograr que revele credenciales, ejecute un archivo malicioso o autorice una operación fraudulenta. Su rasgo distintivo es la personalización previa a partir de información pública o filtrada de la víctima.

¿Cuáles son ejemplos reales de spear phishing?

Los tres casos más citados son el hackeo de Twitter en 2020 (spear phishing telefónico contra empleados para tomar herramientas internas), el fraude a Google y Facebook entre 2013 y 2015 (más de 100 millones de dólares mediante facturas falsas suplantando a un proveedor real) y el caso Ubiquiti de 2015 (unos 46,7 millones transferidos tras suplantar a directivos). Los tres empezaron por un mensaje dirigido y creíble, no por malware sofisticado.

¿Cómo se protege una empresa del spear phishing?

Con defensa por capas: formación específica por rol para ejecutivos y finanzas, procedimientos de verificación fuera de banda para pagos y cambios de IBAN, DMARC en p=reject con DKIM y SPF, MFA resistente a phishing con FIDO2/WebAuthn en cuentas críticas, pasarela de correo con sandboxing y EDR en los endpoints. Ninguna medida basta por separado; su valor está en reforzarse entre sí.

Recursos relacionados


El spear phishing gana porque parece legítimo, así que la defensa no puede depender solo del ojo del usuario. En Secra combinamos concienciación y simulaciones dirigidas a roles de riesgo con la revisión de las capas técnicas (DMARC, MFA FIDO2, filtro de correo, EDR) que cierran la puerta al correo dirigido. Cuéntanos cómo está hoy tu defensa y vemos dónde reforzarla.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo