En los últimos años, el término "phishing"se ha extendido y es muy conocido. Comenzó a ser habitual dentro de la comunidad de la seguridad, pero pronto también se convirtió en un término normal utilizado sin más explicaciones en los artículos de noticias habituales y en otros medios.

Recientemente ha comenzado a aparecer una forma especializada de phishing y el término empleado para designarla es “spear phishing".

El sistema de phising “habitual" se centra en un número (normalmente alto) de personas más o menos aleatorias, con el objetivo de que realicen una acción especial que ponga en peligro sus datos personales de algún modo. El denominado “spear phishing", no se dirige normalmente hacia una persona aleatoria.
Su objetivo son organizaciones determinadas. Puede ser un intento de phishing de una organización contra un competidor (con más frecuencia en espionaje industrial), de una agencia de inteligencia contra una empresa sospechosa o de organizaciones delincuentes contra organizaciones del orden público.

A la mayoría de las personas se les ha advertido en numerosas ocasiones de las formas de phishing con las que se les intenta convencer de que revelen nombres de usuarios/contraseñas a bancos, etc. Suponemos que no hay muchas personas que sigan creyendo que un banco les pida por correo electrónico una confirmación, por ejemplo, del nombre de usuario, de contraseñas o de datos de la tarjeta de crédito.
Aparece el “spear phishing": El autor tiene la capacidad de personalizar un mensaje de correo electrónico falso y muy convincente, por ejemplo, que parezca que lo envía la persona encargada del departamento de IT. El mensaje se puede personalizar aún más, de modo que sea obvio que se refiere únicamente a esa organización en particular. En el contexto de los ataques de phising, las habilidades de ingeniería social del autor determinan el índice de éxito de los intentos de phishing. Sin embargo, en un ataque de “spear phishing", el potencial de éxito es mucho mayor.

La persona que establece el ataque de phishing dispone de diferentes herramientas que utiliza cuando cualquiera de las personas en la organización objetivo “muerde el anzuelo" con éxito. Puede instalar puertas traseras en los equipos intervenidos y así acceder a los equipos y a la red para obtener información confidencial. Puede instalar keyloggers que envían al atacante las pulsaciones de las teclas correspondientes a los nombres de usuario y las contraseñas. Puede instalar virus que envían al atacante todos los archivos de un tipo determinado al que acceda el equipo atacado. Etc., etc...

A diferencia de los intentos de phishing más comunes, los ataques de “spear phishing" son más difíciles de combatir. Esto se debe al menos a dos motivos:

• los ataques se dirigen a un número reducido de personas, por lo que a la comunidad de la seguridad le resulta difícil ser consciente de ellos, ofrecer protección contra ellos y alertar sobre los ataques
• puesto que los ataques se dirigen al personal de una organización determinada, las técnicas de ingeniería social pueden ser muy específicas y personalizadas únicamente para el personal de esa organización.