Entre los ciberataques que emplean la ingeniería social y que suponen una grave amenaza para las empresas, encontramos el denominado whaling, pero ¿qué es un ataque whaling exactamente?, ¿cómo funciona y qué objetivos tiene? ¿Cómo podemos protegernos ante los ataques de whaling?
En este artículo hablamos de:
¿Qué es el whaling?
El whaling en informática es un tipo de spear phishing (o phishing focalizado), que tiene como objetivo manipular o engañar a miembros de una empresa u organización de un perfil alto, como directores ejecutivos, ejecutivos seniors o jefes de departamento. Es decir, busca atacar a empleados que tienen peso en la empresa y que, además, pueden tomar decisiones y realizar determinadas acciones que empleados en niveles inferiores no pueden.
Por lo tanto, un ataque de whaling es un ataque de ingeniería social, que se dirige hacia objetivos de alto perfil en la empresa, empleando técnicas más sofisticadas y dedicando un mayor tiempo a estudiar a sus potenciales víctimas.
Los resultados deseados pueden incluir obligar al destinatario a tomar una acción no deseada y desencadenar una transferencia bancaria, por ejemplo, o hacer clic en un enlace o abrir un archivo adjunto que instala malware o envía el objetivo a un sitio web malicioso que se hace pasar por uno legítimo.
Señalar que whaling viene de whale, ballena en inglés, y que su traducción aproximada sería algo así como «cacería de ballena», por las connotaciones de «gran trofeo» que tiene.
¿Cómo funciona un ataque de tipo whaling?
Aunque existen diferentes estrategias para llevar a cabo un ataque de whaling, todas comparten una «estructura» y MO común, en los que la suplantación de identidad es una constante.
El atacante, para ganar la confianza de su víctima, se hará pasar por otro miembro de alto nivel de la misma empresa (normalmente, un cargo de nivel superior). También pueden hacerse pasar por altos cargos de otras compañías con las que se tengan tratos comerciales.
Para engañar a la víctima, el atacante habrá hecho un trabajo previo de estudio de la misma, reuniendo información de sus redes sociales, sobre todo. Además, también reúnen información sobre la empresa que van a atacar, e incluso sobre sus proveedores o socios habituales.
El atacante creará un email que imite la cuenta de email cuya identidad está suplantando. Este tipo de ataques suelen ser más cuidadosos y estar más trabajados, por lo que los emails empleados suelen ser buenas copias de los originales (aunque mirando bien la dirección, se puede descubrir el engaño).
Para no dejar tiempo a que las víctimas reflexionen o busquen señales de estar ante un email fraudulento o falso, el contenido del email suele ser urgente, para que la víctima actúe rápido, por ejemplo, se necesita una transferencia dinero para pagar a un proveedor o similar, o que se descargue el archivo adjunto que se ha enviado, que, generalmente, contendrá algún tipo de malware, que el atacante usará después para desplegar otras amenazas, en función de cuáles sean sus objetivos.
Una vez que la víctima accede a lo que pide el correo fraudulento, porque confía en el remitente, el ataque de whaling ha tenido éxito.
Cabe señalar que, aunque el whaling, como el phishing, están muy vinculados al correo electrónico, siendo este su principal vector de ataque, no es el único modo de contactar con las víctimas, puesto que los cibercriminales también recurren a la llamada telefónica fraudulenta, la mayoría de las veces para hacerse con el control remoto del equipo de la víctima e introducirse así en la red interna de la empresa. Además, el uso de IA para clonar voz y crear deepfakes, está facilitando también este tipo de ataque vía telefónica.
Ejemplos de ataques de whaling
A lo largo de los años, diferentes empresas han experimentado ataques whaling, como los siguientes tres ejemplos de whaling:
Un importante ataque de whaling ocurrió en 2016 cuando un empleado de alto rango en Snapchat recibió un correo electrónico de un atacante que pretendía ser el CEO. Se engañó al empleado para que le diera al atacante información sobre la nómina del empleado.
Otro ataque de whaling de 2016 involucró a un empleado de Seagate que, sin saberlo, envió por correo electrónico los datos del impuesto sobre la renta de varios empleados actuales y anteriores de la empresa a un tercero no autorizado. Después de informar la estafa de phishing al FBI, se anunció que los datos personales de miles de personas estaban expuestos en ese ataque de caza de ballenas.
La empresa Mattel también experimentó un ataque whaling, cuando un ejecutivo financiero recibió un email supuestamente del nuevo director ejecutivo, en el que solicitaba una transferencia de 3 millones de dólares. El supuesto director era un cibercriminal, y la estafa puedo evitarse.
¿Cómo protegerse de los ataques de tipo whaling?
Protegerse de un ataque de whaling pasa por la educación y concienciación de los empleados respecto a los ataques de phishing en general y los ataques de whaling en particular, con especial atención a los altos cargos.
Se debe implementar una cultura de cautela entre los altos cargos y perfiles de responsabilidad en la empresa ante la recepción de correos electrónicos que impliquen determinadas tomas de decisiones, realización de acciones o solicitudes de información confidencial de la empresa. Se les debe instruir para que cuando reciban estos correos no actúen sin pensar y sin hacer las debidas comprobaciones del origen del correo electrónico recibido. Y, en caso de duda, llamar o ponerse en contacto con el remitente, pero sin responder directamente a través del email recibido.
Se recomienda realizar también ensayos de whaling, algo que se puede incluir dentro de las pruebas de pentesting para comprobar que miembros de la empresa caen este tipo de trampa más a menudo.
Así mismo, se debe instruir a los empleados de la empresa para que no compartan excesiva información sobre la misma, sus puestos de trabajo y compañeros o jefes en redes sociales, ni sobre ellos mismos, para limitar así la información que pueden usar los atacantes para confeccionar sus correos falsos.
Otra medida de prevención es solicitar al departamento de TI que se marquen automáticamente todos los correos de origen externo, de esa forma, aunque el correo se intente hacer pasar por un correo interno, quedará marcado como externo.
Finalmente, se recomienda instalar una solución de seguridad que incluya protección contra el phishing.
¿Cuál es la diferencia entre un ataque de tipo whaling, phishing y phishing focalizado?
Aunque todos pertenecen al mismo tipo de ataque ingeniería social, pues todos son tipos de phishing, hay diferencias entre whaling, phishing y phishing focalizado, que resumimos en esta tabla:
| Tipo de ataque | Objetivo | Técnica |
|---|---|---|
| Phishing | Cualquier persona, sin diferenciar posición o pertenencia a una organización o empresa. | Envío masivo de correos (spam). |
| Phishing focalizado o spear phishing | Una persona o personas específicas, pero no necesariamente altos cargos de empresa. | Envío focalizado de correos fraudulentos, medianamente personalizados. |
| Whaling | Altos cargos de empresas o perfiles de empleados de alto nivel. | Envío focalizado de correo fraudulento a esta única víctima, altamente personalizado. |
En definitiva, el whaling es un tipo de phishing que puede causar serios daños y pérdidas a una empresa, por la capacidad de decisión y acción que tienen sus víctimas. Concienciar y educar a los perfiles objetivo de este tipo de ataque es fundamental para detectarlo y prevenirlo.