¿Qué es el whaling? El whaling es un tipo de ciberataque que se dirige específicamente a altos ejecutivos o personas importantes de una organización. Es una forma de spear phishing que está diseñada para robar información sensible u obtener acceso no autorizado a las redes corporativas. En este blog, hablaremos de qué es el whaling, cómo funciona y qué pueden hacer los empleados para protegerse a sí mismos y a sus organizaciones de este tipo de ciberataque.

¿Qué es el phishing ballenero?

El «whaling phishing», también conocido como fraude del director general o compromiso del correo electrónico empresarial, es un ataque dirigido que utiliza técnicas de ingeniería social para engañar a ejecutivos de alto nivel para que faciliten información confidencial o realicen transacciones no autorizadas. Los ataques de whaling phishing suelen llevarse a cabo a través del correo electrónico, donde los ciberdelincuentes crean correos electrónicos que suplantan la identidad de una fuente de confianza, como un director general o un director financiero. Los correos electrónicos suelen contener solicitudes urgentes de transferencias bancarias o instrucciones que requieren una acción inmediata, como transferir fondos o compartir datos confidenciales.

¿Cómo funciona el phishing ballenero?

Los ataques de phishing con ballenas son muy selectivos y requieren mucha investigación por parte de los piratas informáticos. A menudo utilizan información disponible públicamente, como los perfiles de las redes sociales, para recabar información sobre sus objetivos. También pueden utilizar correos electrónicos de phishing para recopilar credenciales de inicio de sesión u otra información sensible que pueda utilizarse para acceder a redes corporativas.

Una vez que los piratas informáticos hayan reunido suficiente información, crearán un correo electrónico convincente que parezca proceder del director general o de otro ejecutivo de alto nivel. El correo electrónico contendrá a menudo peticiones urgentes o instrucciones que requieren una acción inmediata, como transferir fondos o compartir datos sensibles. El correo electrónico incluirá normalmente una sensación de urgencia, como una petición de confidencialidad o una fecha límite, para presionar al destinatario para que cumpla con la solicitud.

¿Por qué es eficaz el phishing de ballenas?

El phishing ballenero es una técnica de ciberataque eficaz por varias razones. He aquí algunos factores clave que contribuyen a su eficacia:

    Apuntar a individuos de alto valor: El pirateo se dirige específicamente a ejecutivos de alto rango o individuos con acceso a información sensible y recursos financieros dentro de una organización. Estos individuos suelen tener autoridad para aprobar transacciones financieras o acceder a datos confidenciales, lo que los convierte en objetivos atractivos para los ciberdelincuentes. Al centrarse en individuos con tales privilegios, los atacantes aumentan sus posibilidades de vulnerar con éxito las defensas de seguridad de la organización.

    Técnicas de ingeniería social: Los ataques balleneros emplean sofisticadas técnicas de ingeniería social para engañar a sus objetivos. Los atacantes invierten tiempo y esfuerzo en recopilar información detallada sobre sus víctimas, como sus funciones, responsabilidades y preferencias personales. Pueden estudiar perfiles de redes sociales, sitios web corporativos o artículos de noticias para crear correos electrónicos de phishing personalizados y convincentes. Al adaptar sus mensajes para que parezcan legítimos y urgentes, los atacantes pueden manipular las emociones y los procesos de toma de decisiones del objetivo, aumentando la probabilidad de éxito de la explotación.

    Explotar la confianza y la autoridad: Los ataques balleneros se basan en explotar la confianza y la autoridad asociadas a los ejecutivos de alto nivel. Cuando un correo electrónico parece proceder de un CEO, CFO u otro funcionario de alto rango, los destinatarios tienden a asumir que el mensaje es legítimo y cumplen con las acciones solicitadas. La autoridad y la urgencia percibidas en estos correos electrónicos pueden anular el escepticismo normal, llevando a los individuos a actuar rápidamente sin verificar a fondo la autenticidad de la comunicación.

    Exposición y escrutinio limitados: Los ataques whaling suelen ser muy selectivos y se centran en unos pocos individuos de una organización. A diferencia de las campañas de phishing masivo, que lanzan una red más amplia y pueden ser señaladas por los filtros de spam, los ataques whaling están diseñados para volar bajo el radar. El número limitado de objetivos reduce las posibilidades de detección y aumenta la probabilidad de éxito. Además, los ejecutivos de alto nivel pueden recibir menos sesiones de formación sobre seguridad en comparación con otros empleados, lo que les hace más vulnerables a este tipo de ataques.

    Impacto financiero y potencial de daños a gran escala: Los ataques de pirateo suelen tener como objetivo extraer importantes beneficios financieros o información confidencial de las empresas. Los ataques exitosos pueden provocar pérdidas financieras significativas para las organizaciones, dañar su reputación y comprometer su ventaja competitiva. Al dirigirse a ejecutivos con autoridad para tomar decisiones financieras, los atacantes pueden explotar su acceso a fondos y recursos, lo que puede provocar daños financieros sustanciales.

    Para mitigar la eficacia de los ataques de suplantación de identidad, las organizaciones deben centrarse en medidas de seguridad exhaustivas. Esto incluye la aplicación de protocolos sólidos de seguridad del correo electrónico, la formación periódica de los empleados para identificar y denunciar los intentos de phishing, y el mantenimiento de una cultura de escepticismo y verificación cuando se trate de solicitudes delicadas. Combinando las salvaguardas tecnológicas con la concienciación de los empleados y las mejores prácticas, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de ataques de suplantación de identidad.

    Ejemplos de ataques balleneros

    Ha habido varios ejemplos de ataques en la vida real que infligieron daños significativos a las empresas:

      Snapchat
      En febrero de 2016, Snapchat sufrió un ataque de phishing. Un individuo que se hizo pasar por el consejero delegado Evan Spiegel envió un correo electrónico a un empleado de Recursos Humanos en el que solicitaba los datos de nómina de los empleados actuales y antiguos, incluidas las opciones sobre acciones y los formularios W-2.

      Ubiquiti Networks
      En 2015, Ubiquiti Networks fue víctima de una sofisticada estafa de directores ejecutivos. Los estafadores lograron convencer al departamento financiero de una de sus filiales con sede en Hong Kong para que transfiriera 46,7 millones de dólares a cuentas no relacionadas en el extranjero. Aunque la empresa logró recuperar 14,9 millones de dólares, el daño a su reputación fue irreversible.

      FBI
      En 2008, la campaña de citación del FBI surgió como uno de los primeros casos documentados de ataques de estafa. Aproximadamente 20.000 directores ejecutivos fueron el objetivo, y 2.000 cayeron víctimas de la estafa al hacer clic en un enlace malicioso. El enlace estaba camuflado como un complemento seguro del navegador, pero en su lugar instalaba un registrador de pulsaciones de teclado, capturando sus credenciales y contraseñas.

      FACC
      Otro ataque notable que sacudió el mundo corporativo se produjo en 2016, dirigido contra FACC, un fabricante aeroespacial austriaco famoso por su producción de piezas para Airbus y Boeing. Este incidente consistió en la clásica suplantación de la identidad del director general, lo que dio lugar a la transferencia de 55,8 millones de dólares a cuentas no reveladas en el extranjero. Varios empleados, incluidos el consejero delegado y el director financiero, fueron despedidos posteriormente.

      Levitas Capital
      Levitas Capital, un fondo de cobertura australiano, fue víctima de un extenso ataque facilitado a través de un enlace malicioso de Zoom. A pesar de recuperar la mayor parte de los fondos, la empresa decidió cesar sus operaciones debido al grave daño causado a su reputación.

      ¿Qué pueden hacer los empleados para protegerse de la caza de ballenas?

      Al igual que con cualquier tipo de ataque de phishing, la mejor forma de protegerse del whaling es ser consciente de la amenaza y estar alerta cuando se trata de correos electrónicos que solicitan información confidencial o requieren una acción inmediata. He aquí algunos consejos que los empleados pueden utilizar para protegerse de los ataques de whaling:

        Verifique las solicitudes: Si recibe un correo electrónico en el que se le solicita información confidencial o se le pide que realice una acción urgente, verifique siempre la solicitud con el supuesto remitente utilizando otro método de comunicación, como una llamada telefónica o una conversación en persona.

        Sea precavido con los enlaces y archivos adjuntos: No haga clic en enlaces ni abra archivos adjuntos en correos electrónicos que no espere o que procedan de fuentes desconocidas. Aunque el correo electrónico parezca legítimo, podría tratarse de un intento de phishing que instale malware.

        Compruebe las direcciones de correo electrónico: Fíjese bien en la dirección de correo electrónico del remitente. Los ataques balleneros suelen utilizar direcciones de correo electrónico similares a la dirección real del remitente, pero con ligeras variaciones, como añadir una letra o un número de más.

        Utilice la autenticación de dos factores: La autenticación de dos factores puede ayudar a evitar el acceso no autorizado a las redes corporativas al requerir una segunda forma de autenticación, como un código enviado a su teléfono, además de su contraseña.

        Manténgase informado: Manténgase al día sobre las últimas tácticas y estafas de phishing. Esto puede ayudarle a reconocer y evitar los intentos de phishing, incluidos los ataques balleneros.

        Simular. Educar. Defender – El poder de MetaPhish

        Los correos electrónicos balleneros son una forma sofisticada de phishing que tiene como objetivo a ejecutivos de alto nivel y puede provocar graves pérdidas financieras y daños a la reputación de una organización. Para combatir esta amenaza, es esencial concienciar a los empleados y reforzar su capacidad para reconocer y responder a las comunicaciones sospechosas. Una de las formas más eficaces de hacerlo es mediante la simulación del phishing. Con plataformas como MetaPhish, las organizaciones pueden llevar a cabo simulaciones realistas de phishing e impartir una formación a medida que prepare al personal para las amenazas del mundo real, incluidos los ataques balleneros. Estas simulaciones no sólo educan, sino que también ayudan a identificar posibles vulnerabilidades en el cortafuegos humano de su organización.

        Anime a su equipo a verificar las solicitudes inesperadas de información sensible a través de canales de comunicación alternativos. Manténgase informado, alerta y protegido con MetaPhish.

        imagen

        [faq_posts]