El spear phishing es una forma de phishing especialmente pérfida y selectiva. A diferencia de los correos electrónicos masivos ampliamente distribuidos, este método se dirige a individuos dentro de una empresa. Los atacantes llevan a cabo una amplia investigación previa: analizan el estilo de comunicación, el diseño corporativo y la estructura organizativa de la empresa. Identifican específicamente a los empleados cuya función proporciona acceso a información sensible o recursos financieros, y también recopilan datos personales -como intereses, aficiones o antecedentes profesionales- a través de plataformas como LinkedIn, Xing o las redes sociales.
Los atacantes utilizan esta información para crear mensajes personalizados engañosamente auténticos, a menudo aparentemente en nombre de superiores, colegas o socios comerciales. El objetivo es ganarse la confianza de la víctima para persuadirla de que revele información confidencial, ejecute transferencias bancarias o abra archivos adjuntos o enlaces maliciosos. Como los ataques se adaptan individualmente, a menudo son difíciles de reconocer como falsos y, por tanto, especialmente peligrosos.
