Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Whaling: Qué es, ejemplos y cómo funciona

Entre los ciberataques que emplean la ingeniería social y que suponen una grave amenaza para las empresas, encontramos el denominado whaling, pero ¿en qué consiste un ataque tipo whaling exactamente?, ¿cómo funciona y qué objetivos tiene? ¿Cómo podemos protegernos ante los ataques de whaling?

¿Qué es el whaling?

El whaling en informática se refiere a un tipo de ataque spear phishing (o phishing focalizado), dirigido contra cargos de perfil alto de una empresa u organización, como pueden ser directores ejecutivos, ejecutivos seniors o jefes de departamento e incluso contra altos cargos políticos, cargos que tienen la capacidad de tomar decisiones y realizar determinadas acciones que otros empleados de nivel inferior no pueden, como puede ser la autorización de grandes transferencias de dinero, pagos o la divulgación de información confidencial.

La técnica del whaling (o «caza de ballenas», por la connotación de gran trofeo que suponen estos objetivos) es, por lo tanto, un ataque de ingeniería social más sofisticado y elaborado, que puede usar como vía para comunicarse con la víctima el correo electrónico, mensajes de texto o incluso llamadas telefónicas.

Aunque generalmente, el ataque tipo whaling tiene como objetivos el robo de dinero o de información, en ocasiones también se emplea para desplegar otro ataque instalando algún de tipo de malware que sirva a los intereses de los ciberdelincuentes (como un ransomware o spyware que quieran mantener activo más tiempo).

Los ataques de whaling para la ciberseguridad son una de las mayores amenazas y sobre la que menos control se tiene, porque se centran en explotar una vulnerabilidad que no es técnica, sino humana, y aunque existen soluciones de seguridad que pueden minimizar las probabilidades sufrir este tipo de ataque, dado el factor humano que comprenden, siempre existe una posibilidad de que acaben ocurriendo, especialmente porque son ataques muy trabajados, en los que se ha estudiado a fondo a la víctima elegida.

¿Cómo funciona un ataque de tipo whaling?

Aunque existen diferentes estrategias para llevar a cabo un ataque de whaling, todas comparten una «estructura» y MO común, en los que la suplantación de identidad es una constante.

El atacante, para ganar la confianza de su víctima, se hará pasar por otro miembro de alto nivel de la misma empresa (normalmente, un cargo de nivel superior). También pueden hacerse pasar por altos cargos de otras compañías con las que se tengan tratos comerciales.

Para engañar a la víctima, el atacante habrá hecho un trabajo previo de estudio de la misma, reuniendo información en redes sociales (LinkedIn es una fuente primaria para este tipo de tarea, puesto que en esta red social de carácter profesional los usuarios tienen publicada o accesible información sobre su perfil laboral, su puesto, sus relaciones laborales, etc.), en algunos casos, incluso habrán hackeado el correo de la víctima para poder monitorear sus emails y conversaciones y usar ese contenido para el futuro ataque. Así mismo, también reúnen información sobre la empresa que van a atacar, e incluso sobre sus proveedores o socios habituales.

Una vez tenga toda la información que necesita, el atacante creará un email que imite la cuenta de email cuya identidad está suplantando (o puede incluso haber tomado control de la cuenta auténtica, todo depende del nivel de sofisticación del ataque). Este tipo de ataques suelen ser más cuidadosos y estar más trabajados, por lo que los emails empleados suelen ser buenas copias de los originales (aunque mirando bien la dirección, se puede descubrir el engaño).

Para no dejar tiempo a que las víctimas reflexionen o busquen señales de estar ante un email fraudulento o falso, el contenido del email suele ser urgente, para que la víctima actúe rápido, por ejemplo, se necesita una transferencia dinero para pagar a un proveedor o similar, o que se descargue el archivo adjunto que se ha enviado, que, generalmente, contendrá algún tipo de malware, que el atacante usará después para desplegar otras amenazas, en función de cuáles sean sus objetivos.

Además, también es bastante habitual que el correo incluya un aviso sobre la confidencialidad de la información compartida, pidiendo que no se comunique a terceros.

Una vez que la víctima accede a lo que pide el correo fraudulento, porque confía en el remitente, el ataque de whaling ha tenido éxito.

Cabe señalar que, aunque el whaling, como el phishing, están muy vinculados al correo electrónico, siendo este su principal vector de ataque, no es el único modo de contactar con las víctimas, puesto que los cibercriminales también recurren a la llamada telefónica fraudulenta, la mayoría de las veces para hacerse con el control remoto del equipo de la víctima e introducirse así en la red interna de la empresa. Además, el uso de IA para clonar voz y crear deepfakes, está facilitando también este tipo de ataque vía telefónica.

Ejemplos de ataques de whaling

A lo largo de los años, diferentes empresas han experimentado ataques whaling, como los siguientes cuatro ejemplos de whaling:

Un importante ataque de whaling ocurrió en 2016 cuando un empleado de alto rango en Snapchat recibió un correo electrónico de un atacante que pretendía ser el CEO. Se engañó al empleado para que le diera al atacante información sobre la nómina del empleado.

Otro ataque de whaling de 2016 involucró a un empleado de Seagate que, sin saberlo, envió por correo electrónico los datos del impuesto sobre la renta de varios empleados actuales y anteriores de la empresa a un tercero no autorizado. Después de informar la estafa de phishing al FBI, se anunció que los datos personales de miles de personas estaban expuestos en ese ataque de caza de ballenas.

La empresa Mattel también experimentó un ataque whaling, cuando un ejecutivo financiero recibió un email supuestamente del nuevo director ejecutivo, en el que solicitaba una transferencia de 3 millones de dólares. El supuesto director era un cibercriminal, y la estafa puedo evitarse.

Otro ejemplo es el ataque de whaling sufrido por Pathé Film Group en 2018, que supuso para la compañía una pérdida de 19,2 millones de euros. En este caso, los cibercriminales se hicieron pasar por el director general de Pathé en Francia en un correo electrónico enviado al director general de la compañía en Países Bajos; en el correo se solicitaban diferentes transferencias bancarias para financiar una adquisición.

Peligros del whaling para la empresa

Vistos los ejemplos de whaling anteriores, y teniendo en cuenta el tipo de perfiles que tienen como víctimas (con gran capacidad de decisión y operativa) podéis haceros una idea sobre los peligros que este tipo de ciberataque tiene para la empresa, especialmente en lo que se refiere a la pérdida de dinero, ya que muchas veces el objetivo de este tipo de ataque es conseguir grandes sumas de dinero.

Pero los peligros que entraña el whaling van más allá del robo de dinero, ya que el robo de información confidencial es otro de los principales objetivos. La pérdida de información confidencial puede suponer otro coste económico para la empresa, en este caso por la pérdida de competitividad, si hablamos de información relativa a patentes, know how, etc., o, si se trata de datos personales, por las sanciones que se le pueden imponer a la empresa

A ello, además, habría que sumar la pérdida de reputación y confianza de clientes, socios y empleados.

tarifas proteccion datos

¿Por qué tienen éxito los ataques de whaling?

El éxito de los ataques de whaling reside en lo trabajados que están; no se trata, cómo ya hemos dicho de un email genérico como los que son habituales en los ataques de phishing masivo, sino que los cibercriminales han estudiado a la víctima y a la empresa, conocen información suficiente sobre ellas y sobre las posibles relaciones o tratos que mantienen con otras empresas o socios; si han conseguido hackear el correo electrónico de un interlocutor habitual de la víctima, será todavía más fácil hacer pasar por suyos los correos electrónicos que envíen a la víctima, puesto que la dirección del remitente será de fiar.

En ocasiones, el ataque no se limita a un solo email o llamada, sino que se construye todo un escenario a través de varias comunicaciones para ganarse la confianza de la víctima de cara al email o llamada en la que solicitarán el dinero o información que quieren obtener.

El cuidado y el tiempo que los cibercriminales dedican a un ataque de whaling, hacen que estos tengan una amplia tasa de éxito; desconfiar de un email que parece mal traducido es fácil, no lo es tanto cuando el texto está bien redactado, imitando el estilo habitual del remitente.

Además, el carácter de urgencia y confidencialidad que suele acompañar estos mensajes o llamadas, también ayudan a evitar que la víctima consulte con otros compañeros o superiores (si los tiene).

¿Cómo protegerse de los ataques de tipo whaling?

Protegerse de un ataque de whaling pasa por la educación y concienciación de los empleados respecto a los ataques de phishing en general y los ataques de whaling en particular, con especial atención a los altos cargos.

Se debe implementar una cultura de cautela entre los altos cargos y perfiles de responsabilidad en la empresa ante la recepción de correos electrónicos que impliquen determinadas tomas de decisiones, realización de acciones o solicitudes de información confidencial de la empresa. Se les debe instruir para que cuando reciban estos correos no actúen sin pensar y sin hacer las debidas comprobaciones del origen del correo electrónico recibido. Y, en caso de duda, llamar o ponerse en contacto con el remitente, pero sin responder directamente a través del email recibido.

Se recomienda realizar también ensayos de whaling, algo que se puede incluir dentro de las pruebas de pentesting para comprobar que miembros de la empresa caen este tipo de trampa más a menudo.

Así mismo, se debe instruir a los empleados de la empresa para que no compartan excesiva información sobre la misma, sus puestos de trabajo y compañeros o jefes en redes sociales, ni sobre ellos mismos, para limitar así la información que pueden usar los atacantes para confeccionar sus correos falsos.

Otra medida de prevención es solicitar al departamento de TI que se marquen automáticamente todos los correos de origen externo, de esa forma, aunque el correo se intente hacer pasar por un correo interno, quedará marcado como externo.

Finalmente, se recomienda instalar una solución de seguridad que incluya protección contra el phishing.

¿Cuál es la diferencia entre un ataque de tipo whaling, phishing y phishing focalizado?

Aunque todos pertenecen al mismo tipo de ataque ingeniería social, pues todos son tipos de phishing, hay diferencias entre whaling, phishing y spear phishing, que resumimos en esta tabla:

Tipo de ataque Objetivo Técnica
Phishing Cualquier persona, sin diferenciar posición o pertenencia a una organización o empresa. Envío masivo de correos (spam).
Spear phishing Una persona o personas específicas, pero no necesariamente altos cargos de empresa. Envío focalizado de correos fraudulentos, medianamente personalizados.
Whaling Altos cargos de empresas o perfiles de empleados de alto nivel. Envío focalizado de correo fraudulento a esta única víctima, altamente personalizado.

 

En definitiva, el whaling es un tipo de phishing que puede causar serios daños y pérdidas a una empresa, por la capacidad de decisión y acción que tienen sus víctimas. Concienciar y educar a los perfiles objetivo de este tipo de ataque es fundamental para detectarlo y prevenirlo.