¿Qué es el whaling? El whaling es un tipo de ciberataque dirigido específicamente a altos ejecutivos o personas importantes dentro de una organización. Se trata de una forma de spear phishing diseñada para robar información confidencial u obtener acceso no autorizado a redes corporativas. En este blog analizaremos qué es el whaling, cómo funciona y qué pueden hacer los empleados para protegerse a sí mismos y a sus organizaciones de este tipo de ciberataque.
¿Qué es el whaling?
El "whaling phishing", también conocido como "fraude del CEO" o " compromiso del correo electrónico empresarial", es un ataque dirigido que utiliza técnicas de ingeniería social para engañar a ejecutivos de alto nivel con el fin de que faciliten información confidencial o realicen transacciones no autorizadas. Los ciberdelincuentes crean correos electrónicos en los que se hacen pasar por una fuente de confianza, como un director general o un director financiero. Los correos electrónicos suelen contener solicitudes urgentes de transferencias bancarias o instrucciones que requieren una acción inmediata, como transferir fondos o compartir datos confidenciales.
¿Cómo funciona el whaling phishing?
Los ataques de "phishing ballenero" son muy selectivos y requieren mucha investigación por parte de los hackers. Suelen utilizar información disponible públicamente, como perfiles de redes sociales, para recabar información sobre sus objetivos. También pueden utilizar correos electrónicos de phishing para recopilar credenciales de inicio de sesión u otra información sensible que pueda utilizarse para acceder a redes corporativas.
Una vez que los piratas informáticos han reunido suficiente información, crean un correo electrónico convincente que parece provenir del director general o de otro ejecutivo de alto nivel. El mensaje suele contener peticiones urgentes o instrucciones que requieren una acción inmediata, como transferir fondos o compartir datos confidenciales. El correo electrónico incluirá normalmente una sensación de urgencia, como una petición de confidencialidad o una fecha límite, para presionar al destinatario para que cumpla la petición.
¿Por qué es eficaz el whaling phishing?
El whaling phishing es una técnica de ciberataque eficaz por varias razones. He aquí algunos factores clave que contribuyen a su eficacia:
Apuntar a individuos de alto valor: El whaling se dirige específicamente a ejecutivos de alto rango o individuos con acceso a información sensible y recursos financieros dentro de una organización. Estas personas suelen tener autoridad para aprobar transacciones financieras o acceder a datos confidenciales, lo que las convierte en objetivos atractivos para los ciberdelincuentes. Al centrarse en individuos con tales privilegios, los atacantes aumentan sus posibilidades de romper con éxito las defensas de seguridad de la organización.
Técnicas de ingeniería social: Los ataques de whaling phishing emplean sofisticadas técnicas de ingeniería social para engañar a sus objetivos. Los atacantes invierten tiempo y esfuerzo en recopilar información detallada sobre sus víctimas, como sus funciones, responsabilidades y preferencias personales. Pueden estudiar perfiles de redes sociales, sitios web corporativos o artículos de noticias para crear correos electrónicos de phishing personalizados y convincentes. Al adaptar sus mensajes para que parezcan legítimos y urgentes, los atacantes pueden manipular las emociones y los procesos de toma de decisiones de la víctima, aumentando la probabilidad de éxito de la explotación.
Aprovechamiento de la confianza y la autoridad: Los ataques Whaling se basan en explotar la confianza y la autoridad asociadas a los ejecutivos de alto nivel. Cuando un mensaje de correo electrónico parece proceder de un director general, un director financiero u otro funcionario de alto rango, los destinatarios tienden a asumir que el mensaje es legítimo y llevan a cabo las acciones solicitadas. La autoridad y la urgencia percibidas en estos correos electrónicos pueden anular el escepticismo normal, llevando a las personas a actuar rápidamente sin verificar a fondo la autenticidad de la comunicación.
Exposición y escrutinio limitados: Los ataques whaling suelen ser muy selectivos y se centran en unos pocos individuos de una organización. A diferencia de las campañas de phishing masivo, que abarcan una red más amplia y pueden ser detectadas por los filtros de spam, los ataques whaling están diseñados para pasar desapercibidos. El número limitado de objetivos reduce las posibilidades de detección y aumenta la probabilidad de éxito. Además, es posible que los altos ejecutivos reciban menos sesiones de formación sobre seguridad que el resto de los empleados, lo que les hace más vulnerables a este tipo de ataques.
Impacto financiero y potencial de daños a gran escala: Los ataques de whaling phishing tienen como objetivo extraer importantes ganancias financieras o información corporativa sensible. Los ataques exitosos pueden resultar en pérdidas financieras significativas para las organizaciones, dañar su reputación y comprometer su ventaja competitiva. Al dirigirse a ejecutivos con autoridad para la toma de decisiones financieras, los atacantes pueden explotar su acceso a fondos y recursos, lo que puede provocar daños financieros sustanciales.
Para mitigar la eficacia de los ataques de suplantación de identidad, las organizaciones deben centrarse en medidas de seguridad integrales. Esto incluye la aplicación de protocolos sólidos de seguridad del correo electrónico, la formación periódica de los empleados para identificar y denunciar los intentos de suplantación de identidad, y el mantenimiento de una cultura de escepticismo y verificación cuando se trate de solicitudes delicadas. Combinando las salvaguardas tecnológicas con la concienciación de los empleados y las buenas prácticas, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de ataques de "whaling".
Ejemplos de ataques de whaling
Ha habido varios ejemplos de ataques en la vida real que infligieron daños significativos a las empresas:
Snapchat
En febrero de 2016, Snapchat sufrió un ataque de phishing. Un individuo que se hizo pasar por el CEO Evan Spiegel envió un correo electrónico a un empleado de RRHH, solicitando datos de nómina de empleados actuales y antiguos, incluyendo opciones sobre acciones y W-2s.
Ubiquiti Networks
En 2015, Ubiquiti Networks fue víctima de una sofisticada estafa al CEO. Los estafadores lograron convencer al departamento financiero de una de sus filiales con sede en Hong Kong para que transfiriera 46,7 millones de dólares a cuentas no relacionadas en el extranjero. Aunque la empresa consiguió recuperar 14,9 millones de dólares, el daño a su reputación fue irreversible.
FBI
En 2008, la campaña de citación del FBI surgió como uno de los primeros casos documentados de ataques de estafa. El objetivo eran unos 20.000 directores ejecutivos, de los cuales 2.000 cayeron víctimas de la estafa al hacer clic en un enlace malicioso. El enlace se hacía pasar por un complemento seguro del navegador, pero en su lugar instalaba un registrador de pulsaciones de teclado que capturaba sus credenciales y contraseñas.
FACC
Otro ataque notable que sacudió el mundo corporativo ocurrió en 2016, dirigido a FACC, un fabricante aeroespacial austriaco conocido por su producción de piezas para Airbus y Boeing. Este incidente consistió en la clásica suplantación de la identidad de un CEO, lo que dio lugar a la transferencia de 55,8 millones de dólares a cuentas no reveladas en el extranjero. Varios empleados, incluidos el consejero delegado y el director financiero, fueron despedidos posteriormente.
Levitas Capital
Levitas Capital, un fondo de cobertura australiano, fue víctima de un extenso ataque facilitado a través de un enlace malicioso de Zoom. A pesar de recuperar la mayor parte de los fondos, la empresa decidió cesar sus operaciones debido al grave daño causado a su reputación.
¿Qué pueden hacer los empleados para protegerse de ataques de whaling?
Al igual que con cualquier tipo de ataque de phishing, la mejor forma de protegerse del whaling es ser consciente de la amenaza y estar alerta cuando se trata de correos electrónicos que solicitan información confidencial o requieren una acción inmediata. He aquí algunos consejos que los empleados pueden utilizar para protegerse de los ataques de whaling:
Verifique las solicitudes: Si recibes un correo electrónico que solicita información sensible o te pide que realices una acción urgente, verifica siempre la solicitud con el supuesto remitente utilizando otro método de comunicación, como una llamada telefónica o una conversación en persona.
Tenga cuidado con los enlaces y archivos adjuntos: No hagas clic en enlaces ni abras archivos adjuntos en correos electrónicos que no esperes o que procedan de fuentes desconocidas. Aunque el correo parezca legítimo, podría tratarse de un intento de phishing que instala malware.
Compruebe las direcciones de correo electrónico: Fíjate bien en la dirección de correo electrónico del remitente. Los ataques de whaling phishing suelen utilizar direcciones de correo electrónico similares a la dirección real del remitente, pero con ligeras variaciones, como añadir una letra o un número de más.
Utiliza la autenticación de dos factores: La autenticación de dos factores puede ayudar a evitar el acceso no autorizado a las redes corporativas al requerir una segunda forma de autenticación, como un código enviado a tu teléfono, además de tu contraseña.
Manténgase informado: Mantente al día sobre las últimas tácticas y estafas de phishing. Esto puede ayudarte a reconocer y evitar los intentos de phishing, incluidos los ataques de whaling.
Los correos electrónicos de "whaling" son una grave amenaza que puede provocar importantes pérdidas económicas y dañar la reputación de una organización. Al ser conscientes de la amenaza y tomar medidas para protegerse, los empleados pueden ayudar a prevenir los ataques de whaling y mantener a salvo a sus organizaciones. Recuerde ser siempre precavido con los correos electrónicos que soliciten información sensible o requieran una acción inmediata, y verificar las solicitudes con el supuesto remitente utilizando otro método de comunicación. Manténgase informado y a salvo.
