¿Qué es un ataque whaling (whaling phishing)?

Definición de ataque whaling

Un ataque whaling (también denominado ataque "whaling phishing") es un tipo de ataque de ingeniería social cuyo objetivo son empleados ejecutivos de alto nivel o de la cúpula directiva de una empresa, con el propósito de robar dinero o información, o bien de obtener acceso al equipo de la víctima a fin de ejecutar más ciberataques. Los ataques whaling pueden resultar muy lucrativos porque el ataque se enmascara detrás de un nombre o grupo fiable, como otro empleado de alto nivel en la organización, que podría engañar al individuo para que realice la acción deseada.

Todos los ataques de ingeniería social se basan en el fraude. A una víctima se le incita a realizar una acción, como hacer clic en un enlace malicioso. Mientras que los ataques de phishing no son específicos y los ataques de phishing selectivo están dirigidos a un determinado grupo demográfico, empresa o sector, los ataques whaling utilizan técnicas de compromiso de correo electrónico empresarial (BEC) muy personalizadas para lanzar cada ataque único.

¿Cómo funciona un ataque whaling?

Los ataques whaling logran engañar a personas sofisticadas porque se basan en una cantidad significativa de investigación. Por ejemplo, un director ejecutivo puede recibir un correo electrónico que parece ser de su director financiero, que está de vacaciones. El correo electrónico puede decir algo como: "Estoy a punto de montarme en el avión, necesito pagar urgentemente al proveedor X o se retrasará un envío crítico. ¿Puedes mandar una transferencia bancaria de 2 millones de dólares al siguiente número de cuenta…?".

El director ejecutivo sabe que el director financiero está de viaje; además, también le consta que el proveedor es legítimo. El estilo de redacción coincide con el habitual del director financiero y la dirección de correo parece correcta. ¿Cómo es posible todo esto?

Los estafadores emplean múltiples técnicas, como la ingeniería social, la suplantación de correos y la falsificación de contenido, para crear correos electrónicos convincentes. Investigan a la persona a la que suplantan, así como a quien intentan engañar, explorando las redes sociales y otras fuentes abiertas de datos. Pueden usar un ataque de phishing como etapa preliminar, obteniendo acceso al ordenador de un empleado de nivel inferior para saltar a los registros de RR. HH. y ver cuándo los actores clave de la empresa tienen programado ausentarse, o bien pueden espiar bandejas de entrada de correo electrónico específicas para obtener detalles personales que puedan usar para redactar un mensaje creíble. Incluso pueden practicar ingeniería social física; por ejemplo, frecuentando una cafetería conocida por ser popular entre los empleados de una empresa objetivo.

Cómo reconocer un correo electrónico de whaling

Si bien las empresas han mejorado mucho a la hora de exigir formación de concienciación sobre seguridad, el personal ejecutivo de alto nivel tiene menos probabilidades de cumplir con dicho programa. Esto puede deberse a que tienen guardianes que deciden por ellos que no necesitarán la formación, porque esta les resulta inconveniente o porque la formación diseñada para el empleado promedio no es relevante para las necesidades de un ejecutivo.

Además, independientemente de cuán rigurosos sean tus esfuerzos contra el whaling, siempre existe la posibilidad de que un correo de este tipo logre atravesar tus defensas. La única forma de proteger a la empresa de las estafas que llegan a la bandeja de entrada de un ejecutivo es reforzar el objetivo, proporcionándoles a estos formación de concienciación sobre seguridad que sea relevante para sus puestos.

Incluso si los empleados de alto nivel ya son conscientes de la amenaza que supone el compromiso de correo electrónico empresarial, deben comprender que los correos de whaling son mucho más sofisticados que los correos de phishing o phishing selectivo, y que incluso la persona más cautelosa puede caer en la trampa. Enséñales a detectar lo siguiente:

• Contenido: la primera señal de alerta es la naturaleza de la solicitud. Si esta guarda relación con una transferencia bancaria o la transmisión de datos confidenciales, es necesario analizarla más exhaustivamente.
• Urgencia: si la solicitud tiene un límite de tiempo y afirma que surgirán consecuencias negativas si no se cumple el plazo, considérala altamente sospechosa y sométela a un proceso de verificación de varios pasos, como un examen por parte del equipo de seguridad.
• Dominio: el dominio debe coincidir exactamente con el dominio corporativo. Cuidado con los dominios que sustituyan dos "rn" por "m", "vv" por "w", etc.

Objetivos de ataques whaling

Todo este esfuerzo vale la pena para los estafadores porque las recompensas pueden ser enormes. Entre las víctimas del whaling que han aparecido en los medios se incluyen una empresa de cereales que perdió 17,2 millones de dólares y una compañía cinematográfica que perdió 21 millones de dólares. Un fabricante de piezas de aviones perdió 54 millones de dólares y despidió a su director ejecutivo, quien había estado al frente de la empresa durante 17 años.

Otras empresas informan de la exfiltración de grandes cantidades de datos sensibles. Un fabricante de discos duros envió datos tributarios sobre la renta de varios empleados y datos confidenciales de miles de personas más a un estafador. Los propios empleados demandaron a la entidad. Una empresa de redes sociales envió información de nóminas de empleados tras la solicitud de un estafador que se hizo pasar por su director ejecutivo. La información robada puede venderse en la dark web o acabar siendo usada por actores de Estados con fines políticos.

El ataque whaling promedio no produce resultados tan catastróficos, pero las cantidades que exigen los ciberdelincuentes están aumentando. La solicitud de transferencia bancaria promedio aumentó de 48 000 dólares a 75 000 dólares tan solo en el último trimestre del 2020. Los sectores más afectados por el whaling en ese mismo año fueron las instituciones financieras, el correo web y el SaaS.

Cómo evitar un ataque whaling

Como un ataque whaling se lanza del mismo modo que un ataque de phishing, muchas de las mismas protecciones ya implementadas ayudarán a proteger la empresa, como las siguientes:

• Exponer direcciones falsificadas deteniendo el correo electrónico proveniente de fuera de la red si el dominio es sospechoso; por ejemplo, si un correo electrónico que parece provenir de Widget.com en realidad proviene de VVidget.com.
• Implementar un software de prevención de pérdida de datos (DLP) que bloquee los correos electrónicos que infrinjan las reglas de la empresa y marque los correos electrónicos según la antigüedad del dominio frente a la del respectivo del supuesto remitente, la inclusión de frases sospechosas como "transferencia bancaria" u otros atributos.
• Establecer prácticas de prevención del whaling; por ejemplo, institucionalizando una norma que establezca que las solicitudes de información confidencial enviadas por correo electrónico o las transferencias bancarias superiores a un determinado importe deben verificarse por teléfono y una segunda persona debe firmar dichas transacciones.
• Exigir a los empleados que limiten sus perfiles de redes sociales a solo sus amigos para evitar que los estafadores los examinen en busca de datos útiles.
• Brindar formación especializada de concienciación sobre seguridad para ejecutivos, quienes tienen vulnerabilidades y necesidades diferentes a las de los usuarios generales.