¿Qué es un ataque de whaling? Identificar y evitar el fraude del CEO

Lukas Grigas
Redactor de contenidos sobre ciberseguridad
Whaling attack

Desde 2013, las empresas estadounidenses han transferido involuntariamente más de 12 000 millones de dólares a los delincuentes que están detrás de los ataques de whaling. Podrías pensar que nunca caerías en la trampa de un correo electrónico sospechoso. Aun así, los ataques de whaling imitan meticulosamente a tu director general o director financiero y se salen con la suya robando los archivos y la información más preciados de tu empresa.

Entonces, ¿cómo funciona un ataque de whaling? ¿Y qué puedes hacer ahora mismo para evitarlo? En este post, te enseñaremos precisamente eso.

¿Qué es un ataque de whaling?

Un ataque de whaling, también conocido como fraude del CEO, tiene como objetivo a los peces gordos de una empresa. En este tipo de ataque, un ciberdelincuente se hace pasar por un alto cargo de una empresa para robar información financiera y confidencial o acceder a los sistemas informáticos.

El ataque de whaling es parecido al phishing , y se puede denominar whale phishing, ya que utiliza el correo electrónico y la suplantación de sitios web para engañar a los empleados o clientes para que revelen información confidencial o transfieran dinero. Pero a diferencia del phishing, los ataques de whaling hacen que el mensaje parezca provenir de un director general o alguien de igual rango. De este modo, los ciberdelincuentes confían en la obediencia de una persona a la autoridad para ejecutar su plan fraudulento.

Diferencias entre phishing, whaling phishing y spear phishing

El phishing, el spear phishing y el whaling, aunque suenan como tipos de actividades pesqueras, son tres tipos distintos de ciberataques que se basan en una comunicación engañosa para extraer información de un individuo desprevenido. La diferencia entre los tres tipos de ataques radica en la precisión de sus objetivos y el perfil de las víctimas.

El phishing es el tipo de ataque más genérico en el que se envían correos electrónicos no deseados a un gran número de personas. En la mayoría de los casos, estos mensajes de correo electrónico simulan proceder de una organización conocida con la esperanza de engañar a un individuo desprevenido para que facilite datos confidenciales como credenciales de inicio de sesión y números de tarjetas de crédito.

El spear phishing o phising dirigido difiere del phishing tradicional en que este tipo de ataque se considera que está dirigido a un individuo o una organización específicos. A diferencia del phishing, que extiende una amplia red, el spear phishing se centra en cualquier información personal sobre la víctima, que normalmente se obtiene de las redes sociales. De este modo, es más probable que el destinatario haga caso al mensaje.

El whaling es una forma muy especializada de spear phishing, en la que los objetivos de alto perfil son más bien ejecutivos u otras figuras importantes de una organización. La razón por la que se adoptó el término «whaling» (caza de ballenas) es que estos ataques se dirigen contra figuras importantes de una organización, las llamadas «whales» (ballenas). Estos ataques suelen estar muy adaptados. Algunos pueden reutilizar comunicaciones internas o proceder de una dirección muy similar a otra de la empresa. Suelen estar diseñados para extraer grandes sumas de dinero o recopilar datos sensibles y confidenciales.

Ejemplos de ataques de whaling o fraudes del CEO

Ahora que ya conoces los conceptos básicos, pongamos en contexto un fraude del CEO con algunos ejemplos.

La transferencia urgente

En un intento estresante de conseguir dinero gratis, el atacante envía un correo electrónico «urgente». Suele ser como un mensaje personal del jefe, para establecer confianza antes de pedir una transferencia urgente. La transferencia se debe hacer a una cuenta designada en un día determinado.

Seguramente estarás pensando: «¿Por qué iba a hacerlo sin antes hablar con mi jefe y confirmarlo?»Bien, imagina una organización global de más de 10 000 personas. Con subdirectores, altos directivos y responsables de operaciones y finanzas en cada departamento que se ocupan constantemente de pagos de todo tipo, una solicitud de transferencia de dinero puede que no sea nada fuera de lo común.

Una solicitud de envío de archivos

Imagina que empiezas tu jornada laboral con 45 correos electrónicos sin leer. Los examinas rápidamente y te ocupas de todo lo urgente para poder seguir con tu día. Tu jefe necesita que le envíes un documento que contiene los registros de pagos e incluye los datos de la tarjeta de crédito de la empresa. Lo envías sin pensártelo dos veces, sobre todo porque tu «jefe» necesita tu ayuda. Y así, sin más, con un mínimo esfuerzo por parte del delincuente, te han estafado con un whaling o fraude del CEO.

Ataques de whaling: un desastre multimillonario para los CEO

Los altos ejecutivos de las grandes empresas son fáciles de suplantar: su voz, su tono y su ubicación suelen estar en Internet para que el mundo los vea. Así, los delincuentes pueden copiarlos y aprovecharse de ellos. Los ataques de whaling derriban casualmente los cortafuegos y sortean incluso las defensas informáticas más complejas con tal facilidad que pueden hacer que una persona se sienta totalmente incompetente, razón por la que normalmente no se denuncian. Entre el 60 y el 70 % de los directores financieros de EE. UU. han caído en un ataque que les ha causado pérdidas multimillonarias. Sin embargo, admitir que se ha «caído en la trampa» puede resultar demasiado embarazoso, lo que sofoca cualquier posibilidad de tomar medidas correctivas.

Miles de empresas se han acostumbrado a amortizar miles de millones cada año en «pérdidas evitables». Pero evitar el whaling es tan sencillo como el propio ataque.

¿Cómo evitar el whaling?

Los ciberataques de whaling utilizan la ingeniería social para engañar a las víctimas y obligarlas a entregar fondos. Pero no te dejes intimidar por un término que significa simplemente «aprovecharse de la naturaleza humana». Desde este nuevo ángulo, las curas para el whaling o fraudes del CEO pasan a ser de bajo coste y gran eficacia:

  1. Conciencia del equipo

Para combatir eficazmente los ataques de whaling, las sesiones de formación para concienciar a los empleados en materia de seguridad deben evolucionar y abarcar temas más avanzados. Tal vez te interese poner en práctica simulaciones avanzadas que reflejen situaciones del mundo real, que mejoren la capacidad de los empleados para reconocer y responder a los ataques de whaling. Las sesiones avanzadas de formación deben hacer hincapié en las tácticas psicológicas que se usan en los ataques de whaling, como la suplantación de identidad y la manipulación. Además, debes considerar la posibilidad de realizar talleres interdepartamentales, ya que pueden ayudar a garantizar que todos los niveles del personal, desde los principiantes hasta los ejecutivos, estén en la misma página en lo que respecta a la vigilancia general. Al fomentar el aprendizaje continuo y al animar a los empleados a mantenerse al día sobre las últimas técnicas de whaling, puedes crear un equipo capaz de defenderse de estos ataques.

2. Doble autorización para las transferencias bancarias

Hablamos de buscar una segunda opinión cuando alguien exige un pago. Hacer que dos personas firmen las transferencias salientes siempre ayuda a prevenir un ataque inminente.

3. Los altos cargos deben tener cuentas privadas en las redes sociales

El whaling se dirige a los peces gordos de una empresa. Si un miembro sénior publica un post sobre una barbacoa que hizo el fin de semana, el agresor podría utilizar esta información para persuadir a la víctima de que es el auténtico.

4. Directrices y políticas de ciberseguridad

Directrices y políticas de ciberseguridad. Establecer un perímetro organizativo seguro requiere un enfoque polifacético. Cuando se trata de ataques de whaling, es fundamental aplicar una estrategia global que abarque todos los aspectos de la comunicación. El enfoque debe incluir el análisis en tiempo real del contenido del correo electrónico para automatizar la detección de posibles intentos de suplantación de identidad mediante ingeniería social. Además, deberías considerar la posibilidad de emplear herramientas de seguridad avanzadas, como cortafuegos, cifrado y sistemas de detección de intrusos.

5. Cifrar tu información confidencial

Además de promover todas las cosas obvias, como una buena higiene del correo electrónico y la comprobación cruzada de demandas y reclamaciones sospechosas, una segunda precaución nunca hace daño a nadie. Protege y asegura la información confidencial de tu empresa con NordPass. NordPass utiliza el cifrado XChaCha20 Cifrado XChaCha20 para almacenar los datos de las tarjetas de crédito y las contraseñas del sistema de tu empresa, encerrándolos en un almacén web basado en la nube y protegido con bloqueos biométricos. En caso de que un miembro del personal caiga en la trampa de un mensaje de fraude, la información más comprometedora de tu empresa permanecerá protegida con una contraseña maestra a la que solo podrán acceder los miembros autorizados.

Las pequeñas empresas pueden sufrir enormes pérdidas por los ataques de whaling, ya que no pueden permitirse el lujo de amortizar pérdidas como las grandes corporaciones. Empezar con un buen gestor de contraseñas para empresas mantendrá tus archivos confidenciales a salvo de accesos casuales y contribuirá a impedir cualquier daño irreversible causado por ataques de whaling.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.