Un ataque de whaling es un método que usan los cibercriminales para simular ocupar cargos de nivel superior en una organización y así atacar directamente a los altos ejecutivos u otras personas importantes dentro de ella, con el objeto de robar dinero, conseguir información confidencial u obtener acceso a sus sistemas informáticos con fines delictivos. El whaling, también conocido como CEO fraud, es similar al phishing en cuanto a que usa métodos, como la suplantación de sitios web y correos electrónicos, para engañar a la víctima y hacer que revele información confidencial o haga transferencias de dinero, entre otras acciones.
Estrategias de los atacantes
El paso de los años ha permitido que los cibercriminales adquieran más conocimiento acerca de la terminología clave del ámbito de los negocios, la industria y referencias que solamente las víctimas podrían entenderlas. Un mensaje de correo electrónico que sirve como puente para llevar a cabo el Whaling se disfraza como uno de los tantos mensajes que un jefe, gerente o director recibe a diario. Informes, balances e incluso, transacciones bancarias tanto personales como corporativas.
He aquí la importancia de la concientización en ciberseguridad de las personas con altos cargos. Por desgracia, es costumbre que estas tengan el prejuicio de que no ocurrirá nada en absoluto con sus datos y que pueden hacer lo que quieran en línea, tanto en el ámbito laboral como personal. Esta ingenuidad es aprovechada por los cibercriminales para aplicar la ingeniería social y llevar a cabo esta temida variante de phishing.
Cómo identificar este tipo de ataques
Identificar un ataque de whaling puede ser complicado. Los cibercriminales ponen mucho empeño en el diseño de estas estafas, porque los beneficios pueden ser sumamente jugosos. En el pasado han logrado engañar a muchos empleados altamente formados y han causado pérdidas sustanciales para sus compañías. Para evitar esto, las organizaciones con información delicada o un alto valor monetario deben mantener a sus empleados bien informados acerca de las tácticas de ingeniería social.
Los correos electrónicos de whaling pueden exhibir estas características:
- Personalización: el correo electrónico enviado para iniciar un ataque de whaling seguramente incluirá información personalizada acerca del director general o alto ejecutivo suplantado, la víctima (un gerente u otro ejecutivo) o la organización para crear una sensación de familiaridad.
- Urgencia: las estafas de whaling transmiten una sensación de urgencia pueden lograr que la víctima actúe antes de pensar en las prácticas de seguridad. Los atacantes suelen intentar asustar a las víctimas suplantando a individuos muy poderosos (como el director general de la empresa o a ejecutivos de alto rango). Es muy difícil desobedecer a estas personas.
- Lenguaje empleado: con frecuencia se emplea un lenguaje y tono empresariales para convencer a la víctima de que el correo electrónico lo ha enviado una persona con un alto cargo. Los atacantes suelen usar un escenario en que le piden a la víctima que realice una acción relativamente inocua (como una transferencia rápida a un proveedor habitual) basada en una amenaza falsa. También pueden hacer hincapié en la confidencialidad, para que la víctima no hable acerca del correo electrónico que ha recibido. Así nadie puede descubrir que se trata de un ataque de whaling.
- Firma legítima: los atacantes pueden usar elementos creíbles, como una dirección de correo electrónico, una firma y un enlace que lleve a una página web fraudulenta. Le mostraremos cómo reconocer todas estas características más adelante en el artículo.
- Archivos y enlaces: los cibercriminales pueden usar archivos adjuntos o enlaces para insertar malware o solicitar información sensible. Incluso si no ocurre nada cuando el gerente objetivo clica en un enlace o envía información en su página web, esto podría activar una descarga de malware oculta.