La amenaza de la ciberseguridad ha evolucionado durante la última década, donde los ataques de ingeniería social se están refinando. El ataque de whaling es una de las formas de phishing más precisas y costosas, ya que se refiere a un tipo de ciberamenaza que se dirige específicamente a personas de alto perfil que son los principales responsables de la toma de decisiones en una organización. Por un lado, a diferencia de los correos electrónicos de phishing genéricos, que se envían a miles de personas, los ataques de whaling son personalizados, bien planificados y, por lo general, lo suficientemente persuasivos como para engañar incluso a los profesionales más expertos en seguridad.
Este artículo analizará en qué consisten los ataques de whaling, señalará algunos casos de la vida real y brindará algunas soluciones prácticas sobre cómo evitar estas estafas altamente refinadas.
¿Qué son los ataques de whaling?
Los ataques de whaling son un tipo de phishing selectivo dirigido a personas de alto nivel, como directores ejecutivos, directores financieros, directores de operaciones o cualquier otra persona de alto rango dentro de una empresa. Su objetivo es engañar a la víctima para que envíe fondos, revele información confidencial o acceda a enlaces maliciosos que socavan la seguridad de la organización.
Los atacantes de whaling dedican tiempo a investigar a sus víctimas utilizando datos públicos (p. ej., LinkedIn, comunicados de prensa, sitios web de empresas o redes sociales). Con esta información, pueden redactar correos electrónicos plausibles y convincentes que suelen adoptar estilos de comunicación interna, lo que dificulta la detección de la estafa.
¿Cómo funcionan los ataques de whaling?
Los correos electrónicos de búsqueda de whaling generalmente se enmascaran como:
- Solicitudes de pago ahora o transferencias bancarias.
- Bufetes de abogados o reguladores falsos que aparecen en forma de avisos legales o de cumplimiento.
- Correos electrónicos de otros ejecutivos o miembros de la junta directiva solicitando información confidencial.
- Facturas falsas o consultas de tipo contratación.
Estos mensajes tienden a instar al objetivo a actuar con rapidez y renunciar al proceso de control normal y confiar en el poder y la confianza que conlleva la posición de alto nivel.
Ataques de whaling en la vida real
1. Ubiquiti Networks (2015)
La empresa de tecnología de redes Ubiquiti Networks fue víctima de un ataque de whaling, que resultó en pérdidas de casi 47 millones de dólares. Los delincuentes pretendían hacerse pasar por los ejecutivos de la empresa y enviaron correos electrónicos para engañar a los empleados y que depositaran dinero en cuentas extranjeras. Los invasores emplearon técnicas de suplantación de dominio e ingeniería social para legitimar sus correos.
2. Mattel (2016)
Mattel, un gigante de la fabricación de juguetes, fue atacado por estafadores que se hicieron pasar por el nuevo director ejecutivo. Con un correo electrónico persuasivo, engañaron a un director financiero para que transfiriera 3 millones de dólares a un proveedor chino. Afortunadamente, la empresa logró recuperar el dinero tras denunciar el caso a las autoridades, lo que demostró que los empleados de alto perfil son fáciles de engañar.
3. Compañía Aeroespacial de Austria FACC (2016)
FACC, fabricante de piezas aeroespaciales, perdió 47 millones de dólares en una estafa de caza de whaling. Las acciones fraudulentas en la empresa son las siguientes: el director ejecutivo y el departamento de finanzas fueron engañados por los atacantes para que enviaran dinero durante la compra de un proyecto de adquisición falso. Esta violación resultó en el despido tanto del director ejecutivo como del director financiero, ya que no lograron evitar el fraude.
¿Por qué son tan efectivos los ataques de whaling?
Personalización específica: A diferencia del phishing masivo, el whaling se construye con precisión, por lo que parece muy realista.
Sesgo de autoridad: los empleados pueden mostrarse reacios a desafiar o verificar las demandas que les hace el director ejecutivo o algún otro jefe de alto rango.
Presión del tiempo: la urgencia de estos correos electrónicos impide que las víctimas los revisen dos veces.
Detección de filtros débiles: debido a la ausencia de archivos adjuntos de malware o enlaces de phishing, los correos electrónicos de búsqueda pueden evadir las disposiciones de seguridad de correo electrónico clásicas.
Prevención de ataques de whaling
La detección de deepfakes contra la caza de whaling requiere una combinación de tecnología, procesos y concientización. Algunas estrategias de prevención son las siguientes:
1. Capacitación en concientización sobre seguridad
Capacite a todos los empleados, en particular a los ejecutivos y al personal financiero, sobre la identificación de métodos de ingeniería social y phishing. Practique con simulacros de phishing.
2. Procedimientos de verificación de varios pasos
Implementar medidas estrictas sobre las transacciones financieras y el intercambio de información. Por ejemplo, exigir autorización verbal o indirecta para solicitudes de transferencias grandes, independientemente de quién las haya entregado.
3. Tecnologías de verificación de correo electrónico
Implemente mecanismos de autenticación de correo electrónico como DMARC, SPF y DKIM para minimizar la suplantación de dominio. Estas herramientas se utilizan para confirmar los remitentes de los correos electrónicos y depurar los mensajes maliciosos.
4. Reducir la cantidad de información sensible que se expone a la población en general.
Es aconsejable no revelar demasiada información personal sobre viajes de ejecutivos, descripciones de trabajos o datos de contacto en las redes sociales porque estos detalles son utilizados por los atacantes en sus actividades de ingeniería social.
5. Vigile y advierta sobre actividades sospechosas
Aplicar sistemas de análisis de comportamiento y detección de anomalías para detectar inicios de sesión inusuales o actividad financiera inusual o inicios de sesión realizados desde un dispositivo o ubicación desconocidos.
6. Seguridad específica para ejecutivos
Impartir más formación y seguimiento en materia de ciberseguridad a objetivos de alto perfil, como directores ejecutivos y directores financieros, ya que son los más vulnerables a los ataques de whaling.
Reflexiones finales
Los ataques de caza de whaling son una amenaza muy preocupante para una organización, no solo en términos económicos, sino también por su impacto negativo en la reputación y las implicaciones regulatorias. Al comprender cómo se llevan a cabo estos ataques y tomar medidas de precaución rigurosas, las empresas pueden reducir drásticamente la probabilidad de convertirse en un objetivo.
Aunque ningún sistema es infalible, establecer una cultura de concienciación sobre ciberseguridad en general, y a nivel ejecutivo en particular, es una de las formas más sólidas de defensa contra el engaño digital. La amenaza que representan los atacantes es que siempre darán el siguiente paso, y nuestras medidas de seguridad también deberían hacerlo para proteger a los peces más grandes del estanque corporativo.
