Un ataque de whaling es un método que usan los ciberdelincuentes para simular ocupar cargos de nivel superior en una organización y así atacar directamente a los cargos sénior u otras personas importantes dentro de ella con el objeto de robar dinero, conseguir información confidencial u obtener acceso a sus sistemas informáticos con fines delictivos. El whaling, también conocido como fraude de CEO, es similar al phishing en cuanto a que usa métodos, como la suplantación de sitios web y correos electrónicos, para engañar a la víctima con el objetivo de que realice acciones específicas, como revelar información confidencial o transferir dinero.
A diferencia de las estafas de phishing (que no tienen un objetivo específico) y spear phishing (que tienen como objetivo personas determinadas), el whaling lleva el ataque al siguiente nivel: no solo está dirigido a estas personas importantes, también lo hace de una forma en que parezca que las comunicaciones fraudulentas provienen de una persona influyente o que tiene un cargo de nivel superior dentro de la organización. Piensa en ellos como "peces grandes" o "ballenas" en la empresa, como directores ejecutivos o gerentes de finanzas. Esto incorpora un elemento de ingeniería social al ataque, ya que los empleados sienten la obligación de responder a las solicitudes de una persona que consideran importante.
La amenaza está muy presente en la actualidad y continúa en crecimiento. En el año 2016, el Departamento de Nóminas de Snapchat recibió un correo electrónico de whaling que parecía provenir de su director ejecutivo y solicitaba información sobre la nómina de empleados. El año pasado, Mattel (una de las principales empresas de fabricación de juguetes) fue víctima de un ataque de whaling después de que un ejecutivo financiero de alto nivel recibiera un correo electrónico de un estafador que suplantaba al nuevo director ejecutivo y que solicitaba una transferencia de dinero. Como resultado, la empresa casi pierde 3 000 000 $.
Cómo funcionan los ataques de whaling y cómo protegerte de ellos
Como mencionamos antes, los ataques de whaling se diferencian del spear phishing, ya que las comunicaciones fraudulentas parecen provenir de una persona en un cargo sénior. Estos ataques adquieren una apariencia más legítima cuando los ciberdelincuentes investigan con atención recursos disponibles al público, como las redes sociales, para diseñar una estrategia personalizada por cada víctima que desean engañar.
Una de las estrategias podría ser un correo electrónico que pareciera provenir de algún gerente sénior y en el que se haga referencias a información que el atacante obtuvo en línea. Por ejemplo, podría ver las fotografías de la fiesta de Navidad de la empresa en redes sociales y enviar un correo con el siguiente mensaje: "Hola, Juan, soy Esteban. ¡Estabas bastante ebrio en la fiesta del jueves pasado! Espero que hayas logrado sacar la mancha de cerveza de tu camiseta roja".
Además, la dirección de correo electrónico del remitente suele parecer legítima e incluso es posible que en el correo se incluyan logotipos corporativos o enlaces a sitios web fraudulentos diseñados para verse como los reales. Dado que las personas en estos cargos suelen gozar de alta credibilidad y un gran nivel de acceso dentro de la organización, el ciberdelincuente tiene una muy buena razón para esforzarse más en diseñar un ataque que parezca más creíble.
La primera estrategia para mantenerse a salvo de los ataques de whaling es capacitar a las personas importantes de la organización para que se mantengan alertas ante la posibilidad de ser víctimas de estos ataques. Pídeles a los empleados principales que actúen con cautela cuando reciban comunicaciones inesperadas, en especial si se trata de información importante o transacciones financieras. Deben hacerse siempre algunas preguntas claves: ¿esperaban recibir un correo electrónico, un archivo adjunto o un enlace? ¿La solicitud tiene algo extraño?
También deben saber detectar los indicios típicos de un ataque, como direcciones de correo electrónico y nombres de remitentes suplantados (falsos). Con solo dejar el cursor sobre el nombre del remitente en un correo electrónico, se puede ver la dirección de correo completa. De esta forma, es fácil estudiarla con atención y determinar si coincide exactamente con el nombre y el formato de la empresa. El Departamento de TI debería llevar a cabo ensayos de whaling para evaluar cómo actúan los empleados principales ante estos ataques.
Por otra parte, el personal ejecutivo debe tener especial cuidado cuando publique y comparta información en línea en redes sociales, como Facebook, Twitter y LinkedIn. Los ciberdelincuentes pueden usar cualquier tipo de información personal, como fechas de cumpleaños, pasatiempos, vacaciones, cargos laborales, ascensos y relaciones, para confeccionar ataques más sofisticados.
Una excelente manera de reducir el daño que pueden causar los correos falsos es pedirle al Departamento de TI que marque de forma automática para revisión todos los correos que provengan de ubicaciones externas. En general, los ataques de whaling se basan en engañar a los empleados importantes para que piensen que los mensajes provienen del interior de la organización; por ejemplo, una solicitud de transferencia de dinero enviada por un gerente de finanzas. Si se marcan los mensajes externos, es más fácil detectar aquellos que son falsos y a simple vista parecen legítimos, incluso para personas que no poseen mucha experiencia.
También es aconsejable implementar un software antiphishing especializado que proporcione servicios como la detección de direcciones URL y la validación de enlaces. Otro paso recomendado es agregar un nivel adicional de validación para el envío de información confidencial o grandes cantidades de dinero. Por ejemplo, en lugar de realizar los intercambios de forma electrónica, una reunión en persona o una llamada telefónica pueden ser la mejor forma de realizar tareas críticas o confidenciales.
Además, cuando se trata de estafas por Internet, dos cabezas piensan mejor que una. Considera la posibilidad de modificar los procedimientos para que dos personas deban autorizar pagos, en lugar de una. Esto no solo ofrece la perspectiva de una segunda persona para resolver las dudas, también reduce la probabilidad de que el empleado tema sufrir represalias por parte de esa persona en un cargo sénior en caso de que se moleste por haberle rechazado la solicitud, ya que el miedo es una táctica clave de ingeniería social de la que dependen los atacantes.