Whaling: ¿cómo funciona este ataque y cómo podemos evitarlo?

Los ataques cibernéticos evolucionan constantemente y muchas empresas y organizaciones están siendo víctimas de formas avanzadas de ataques para acceder a sus datos. Con la mayoría de las corporaciones funcionando bajo esquemas de trabajo remoto durante la pandemia de COVID-19, ha habido un incremento notable de ataques phishing. Durante casi dos años, Google ha registrado unos 240 millones de correos electrónicos bloqueados y marcados como phishing relacionado a asistencias o beneficios por el COVID-19.

A medida que aumentan los ataques phishing, las organizaciones y empresas tienen el deber de adoptar mayores y mejores medidas de seguridad para protegerse contra crímenes cibernéticos, tales como los ataques whaling.

¿Qué sabemos sobre el whaling? Sigue leyendo para entender qué es el whaling en la seguridad cibernética, cómo funciona este tipo de ataque y cómo podemos evitarlo.

¿Qué es el whaling en términos de seguridad cibernética?

El whaling se define como un método de ataque phishing de avanzada. Los piratas informáticos lo utilizan para hacerse pasar por ejecutivos de alto nivel dentro de una organización. El rol más común que asumen es el de ejecutivos nivel C como un Director de Contabilidad o un Director Ejecutivo. Este tipo de ataque también es conocido como fraude CEO, ya que el whaling se vale de técnicas de suplantación de identidad de sitios web y direcciones de correo electrónico para engañar a sus objetivos y hacer que revelen información confidencial de la empresa o hacerles transferir dinero a una cuenta.

Con el phishing de whaling, los piratas cibernéticos generalmente hacen una investigación profunda del objetivo dentro de la organización o empresa, también realizan estudios profundos de sus procesos comerciales y toman pasos cuidadosamente planificados al momento de comunicarse con su víctima. Este tipo de amenaza va en aumento, con múltiples multinacionales en la actualidad contándose como víctimas del whaling.

Diferencias entre whaling y otros tipos de ataque phishing

Para comprender mejor cómo funciona el whaling, es necesario conocer las diferencias entre este ataque y otros tipos de phishing. Aunque el phishing, el whaling y el spear-phishing están relacionados, todos siguen un modus operandi diferente.

El phishing es un ataque en línea que utiliza SMS, correos electrónicos y otras formas de comunicación usados por un atacante para hacerse pasar por alguien de confianza y engañar a las víctimas para hacer que transfieran fondos o divulguen información confidencial. Por ejemplo, un atacante puede hacerse pasar por un socio o cliente de una organización y engañar al departamento financiero para que autorice un pago o reembolso.

El spear-phishing es un ataque que se hace pasar por alguien conocido y se dirige a personas muy específicas dentro de una organización o empresa. Para este tipo de ataque, el pirata cibernético elige un objetivo y aprende todo lo posible sobre este individuo, usando este conocimiento para un ataque a la medida. En lugar de dirigir sus esfuerzos con una red amplia de objetivos, como se hace con el ataque phishing estándar, el spear-phishing se dedica a identificar los privilegios especiales que tiene un usuario y se dedica a explotarlos.

El whaling es un ataque phishing dirigido a miembros de alto nivel dentro de una empresa u organización, tal como altos ejecutivos o incluso funcionarios gubernamentales de alto nivel. El whaling es similar al spear-phishing porque es un ataque dirigido, pero el whaling solo se dirige a alguien que podría ser considerado un pez gordo dentro de una organización.

¿Cómo funciona el whaling?

Como ya hemos mencionado, los ataques whaling requieren una profunda investigación y amplia comprensión de la estructura comercial de una empresa en comparación con los ataques phishing o spear-phishing. Para hacerse pasar por un miembro de alto perfil dentro de una empresa, el pirata informático necesita entender a su objetivo plenamente con el fin de imitarlo.

Los piratas informáticos se toman su tiempo consultando y estudiando registros públicos, redes sociales y demás información de una compañía para crear un perfil falso y ejecutar un ataque a la medida del objetivo. Pueden incluir una dirección de correo electrónico enviado desde la dirección del CEO o un ejecutivo de alto nivel.

Este correo puede incluir detalles que lo hacen pasar como fuente confiable. Puede incluir el logotipo de la empresa, texto común usado dentro de la corporación, etc. Todo con el fin de enviar un enlace a un sitio web que luce legítimo, pero consolida el fraude. Los piratas cibernéticos hacen un esfuerzo adicional para que la estafa luzca tan real como sea posible ya que tener la confianza de su interlocutor les garantiza acceso a privilegios de alto nivel dentro de la empresa que es su objetivo.

Ejemplos de whaling

En el año 2016, el departamento encargado de procesar la nómina en Snapchat recibió un correo electrónico del CEO solicitando información sobre la nómina del personal. Afortunadamente el personal que trabaja en Snapchat tenía formación sobre ataques cibernéticos y pudieron descubrir la estafa. Otras empresas no tienen tanta suerte. Ubiquiti Networks realizó una transferencia de 46,7 millones de dólares después de que, aparentemente, su director general enviará un correo electrónico.

En otro ataque de whaling a otra empresa, el departamento de finanzas transfirió $17,2 millones a un pirata informático después de recibir un correo electrónico con una solicitud expresa del director ejecutivo. Dicha solicitud parecía genuina, ya que la organización tenía planes de expansión de sus actividades comerciales a China.

Estos ataques tuvieron éxito porque las víctimas no supieron identificar los correos como ataques phishing whaling, ni se tomaron el tiempo para verificar que las solicitudes fuesen emitidas de la persona de la que aparentemente provenían.

Cómo prevenir los ataques whaling 

Para evitar que tu empresa u organización sufra ataques whaling solo necesitas tomar medidas similares a la prevención de ataques phishing estándar. Sin embargo, debido al alto impacto de los ataques whaling, los piratas informáticos hacen un esfuerzo extra para hacer que este tipo de estafa parezca legítima. Las empresas están obligadas a promover programas informativos y de concientización sobre el whaling para educar a sus empleados sobre las prácticas más efectivas para evitar este tipo de amenazas.

Educa a tus empleados sobre el whaling

El whaling está dirigido a ejecutivos de alto nivel, por eso los mensajes de correo electrónico para este tipo de ataque parecen legítimos a niveles insospechados, con el fin de garantizar su éxito. Las organizaciones deben educar tanto a su personal como a los altos ejecutivos para identificar y prevenir las amenazas a la seguridad cibernética de la empresa.

Mantén la información confidencial de la empresa fuera de las redes sociales

Hacerse pasar por un ejecutivo de alto nivel debería ser algo bastante fácil. La triste realidad es que hay mucha información sobre estas personas en Internet. Los piratas cibernéticos buscan esta información donde sea que puedan encontrarla, y los perfiles públicos de estos individuos en las diversas redes sociales son una mina de oro para ellos, particularmente en páginas como LinkedIn.

Los altos ejecutivos de una compañía necesitan mantener su información personal fuera del ojo público y de la forma más privada posible, sobre todo en las redes sociales. Esta es una de las mejores formas de evitar convertirse en blanco de ataques phishing. La mayoría de las cuentas en redes sociales tienen controles de restricción de privacidad que permiten acceso limitado a lo que se puede ver o acceder en tu perfil.

Consulta directamente al remitente antes de tomar medidas

Uno de los métodos de whaling más comunes gira en torno a la respuesta de la víctima a una urgencia. En la mayoría de los casos, el pirata informático envía un correo electrónico con una solicitud urgente, lo cual instantáneamente provoca que el destinatario tome medidas para cumplir con la solicitud sin verificar su veracidad. Conocer esta táctica previene que tus empleados puedan caer en trampas whaling.

Con esto en mente, el personal y los ejecutivos de alto nivel de una empresa necesitan recibir capacitación periódica y verificar cualquier solicitud que llegue por correo. Esto puede ser clave para prevenir e identificar un correo phishing whaling. La solución es tan sencilla como hacer una simple llamada a la persona que hace la solicitud para verificar si esta fue emitida en efecto, de su parte.

¿Cómo formar conciencia cibernética del whaling y cómo podemos mejorarla?

Tener conciencia de los ataques whaling, es una combinación entre conocer y seguir prácticas para la protección de tu organización contra los ataques de whaling. Esto es lo que tú y tu empresa pueden hacer al respecto.

Pruebas de infiltración

Las pruebas de infiltración implican la ejecución de ataques simulados en las redes internas de la empresa para identificar debilidades del sistema y prevenir ataques desde afuera. Las pruebas pueden imitar los ataques whaling usando tácticas comunes para identificar vulnerabilidades entre los empleados o en los sistemas de seguridad que ya están configurados.

Ofrecer entrenamiento de concientización sobre el whaling

Puedes organizar talleres de capacitación para educar a tus empleados sobre las múltiples tácticas usadas para el phishing whaling y cómo evitarlas. Traza una meta para brindar herramientas a tus trabajadores que los ayuden a verificar las fuentes de envío de sus mensajes de correo electrónico y los procesos que fomentan la discusión sobre el tópico dentro de tu organización.

Configura y utiliza SPF, DKIM y DMARC

La seguridad del sistema de correos electrónicos en cualquier empresa es un tema complicado, sobre todo cuando se trata de ataques de ingeniería social como el whaling. Educar a tus empleados es el primer paso. También necesitas una base con tecnología sólida y protección eficiente para evitar los ataques cibernéticos que pueden implicar la pérdida de activos o fuga de datos.

La adopción de protocolos de seguridad de correo electrónico es la mejor vía para el incremento de la seguridad en todas las empresas sin importar su tamaño. Una vez configurado tus protocolos SPF y DKIM, puedes pasar a la implementación de políticas DMARC. A medida que avance el tiempo, los informes de DMARC y el control de fuentes te ayudarán a mejorar tu infraestructura de correo electrónico y la hará más fuerte. Gracias a esto harás de tu organización un espacio de trabajo más seguro y confiable para tus clientes, socios y empleados.

Establece pautas de seguridad

Las empresas necesitan establecer pautas estrictas de seguridad y procesos de verificación que todos sus empleados deben seguir constantemente, sobre todo en caso de lidiar con cualquier actividad sospechosa. Tu personal debe sentirse cómodo enviando solicitudes de confirmación a través de múltiples canales de comunicación en la empresa, sobre todo si se cuestiona la legitimidad de un mensaje de correo.

Conclusión

Los ataques whaling plantean graves amenazas a empresas y organizaciones. Estos ataques son más sofisticados que las clásicas estafas de phishing y son difíciles de detectar. Además, debido al perfil del objetivo, tiene la capacidad de causar pérdidas de alto perfil debido al rango del individuo dentro del organigrama empresarial.

¿Qué es una firma DKIM?

¿Qué es una firma DKIM?

En el año 2020, hubo un aumento vertiginoso en el uso de los correos...

Read More
Los 10 mejores canales de YouTube sobre seguridad cibernética

Los 10 mejores canales de YouTube sobre seguridad cibernética

Si tienes interés en iniciar una carrera en el desafiante mundo de la seguridad...

Read More
DMARC y su relación con las Instituciones Financieras de Sudáfrica

DMARC y su relación con las Instituciones Financieras de Sudáfrica

El sector financiero sudafricano, en especial los bancos, las compañías de préstamos y las...

Read More