¿Qué es la caza de ballenas?

Entre los objetivos del whale phishing se encuentran ejecutivos de nivel C (directores generales, directores financieros, directores de operaciones), otros altos ejecutivos, titulares de cargos políticos y líderes de organizaciones que pueden autorizar grandes pagos o transferencias bancarias o la divulgación de información sensible sin la aprobación de otros. A estos objetivos se les conocen como peces gordos, en referencia a su importante influencia.

Es importante comprender la relación entre phishing, spear phishing y whale phishing, principalmente porque los términos se utilizan a menudo indistintamente, de forma incorrecta o sin contexto.

El phishing es cualquier correo electrónico, mensaje de texto o llamada telefónica sensibles que intentan inducir al destinatario a descargar malware (a través de un enlace malicioso o un archivo adjunto), compartir información sensible, enviar dinero a delincuentes o realizar otras acciones que podrían exponerle a él o a su organización a ciberataque.

Cualquiera que tenga un ordenador o un smartphone ha recibido un ataque masivo de phishing, es decir, un mensaje que parece proceder de una empresa u organización conocida, describe una situación común o creíble y exige una acción urgente (por ejemplo, "Su tarjeta de crédito ha sido rechazada. Haga clic en el siguiente enlace para actualizar sus datos de pago". Los destinatarios que pulsan en el enlace son dirigidos a un sitio web malicioso que podría robar su número de tarjeta de crédito o descargar malware en sus ordenadores.

Una campaña de phishing masiva es un juego de números. Los atacantes envían mensajes al mayor número de personas posible, a sabiendas de que algún porcentaje caerá en la trampa y morderá el anzuelo. Un estudio detectó más de 255 millones de mensajes de phishing durante un período de seis meses en 2022. Según el informe "Cost of a Data Breach" de 2024 de IBM, el phishing fue la segunda causa más común de filtraciones de datos en 2024 y el método más común para entregar ransomware a las víctimas.

El spear phishing es un ataque de phishing dirigido a un individuo o grupo de individuos específicos dentro de una organización. Los ataques de spear phishing suelen lanzarse contra mandos intermedios que pueden autorizar pagos o transferencias de datos, incluidos los gestores de cuentas por pagar y los directores de recursos humanos, mediante un atacante que se hace pasar por un compañero de trabajo con autoridad sobre el objetivo, o por un colega (proveedor, Business Partner, asesor) en el que el objetivo confía.

Los ataques de spear phishing son más personalizados que los ataques de phishing masivo y requieren más trabajo e investigación. Pero el trabajo extra puede resultar rentable para los ciberdelincuentes. Por ejemplo, los estafadores robaron más de 100 millones de dólares a Facebook y Google entre 2013 y 2015 haciéndose pasar por proveedores legítimos y engañando a los empleados para que pagaran facturas fraudulentas.

Un ataque de whale phishing o whaling es un ataque de spear phishing dirigido exclusivamente a un ejecutivo o alto cargo. El atacante suele hacerse pasar por un compañero dentro de la organización del objetivo, o por un colega o asociado de igual o mayor nivel de otra organización.

Los mensajes de whale phishing están muy personalizados. Los atacantes se esfuerzan mucho por hacerse pasar por el estilo de escritura del remitente real y, cuando es posible, hacer referencia al contexto de conversaciones comerciales reales en curso. Los estafadores de whale phishing suelen espiar las conversaciones entre el remitente y el objetivo; muchos intentarán secuestrar la cuenta de correo electrónico o de mensajería de texto real del remitente para enviar el mensaje de ataque directamente desde allí, para conseguir la máxima autenticidad.

Dado que los ataques de caza de ballenas se dirigen a personas que pueden autorizar pagos de mayor cuantía, ofrecen al atacante la posibilidad de obtener un beneficio inmediato más elevado.

El whale phishing a veces se compara con el correo electrónico empresarial comprometido (BEC), otro tipo de ataque de spear phishing en el que el atacante envía al objetivo un correo electrónico fraudulento que parece proceder de un compañero de trabajo o colega. El BEC no siempre es un whale phishing (porque con frecuencia se dirige a empleados de bajo nivel), y el whale phishing no siempre es BEC (porque no siempre implica correo electrónico), pero la mayoría de los ataques de whale phishing que salen más caros también implican ataques BEC. Por ejemplo:

• En 2015, Ubiquity Networks perdió casi 47 millones de dólares en tan solo 17 días cuando unos atacantes de whale phishing que se hicieron pasar por el CEO y el asesor jurídico jefe de la empresa enviaron correos electrónicos convenciendo al director de contabilidad de que realizara una serie de transferencias bancarias para financiar una adquisición secreta.
  
  
• En 2018, Pathe Film Group perdió 19,2 millones de euros (21 millones de dólares) cuando los estafadores que se hacían pasar por el CEO de la sede de Pathe en Francia enviaron un correo electrónico al director general de la oficina de Pathe en los Países Bajos, solicitando transferencias bancarias para financiar una adquisición.
  
  
• También en 2018, unos atacantes que se hacían pasar por el CEO, los altos ejecutivos y el asesor legal de la firma italiana Tecnimont SpA engañaron al líder de la unidad de negocio india de la empresa para que transfiriera 1300 millones de rupias indias (18,25 millones de dólares) a un banco en Hong Kong, también aparentemente para financiar una adquisición. Como parte de esta estafa, los atacantes dieron el paso adicional de organizar varias conferencias telefónicas falsas para discutir los detalles de la "adquisición".

El phishing, el spear phishing y el whale phishing son ejemplos de ataques de ingeniería social , ataques que explotan principalmente vulnerabilidades humanas en lugar de vulnerabilidades técnicas para comprometer la seguridad. Como dejan muchas menos pruebas digitales que el malware o la piratería informática, estos ataques pueden ser mucho más difíciles de detectar o prevenir para los equipos de seguridad y los profesionales de la ciberseguridad.

El objetivo de la mayoría de los ataques es robar grandes sumas de dinero a una organización, engañando a un alto cargo para que realice, autorice u ordene una transferencia bancaria a un proveedor o cuenta bancaria fraudulentos. Pero los ataques de whale phishing pueden tener otros objetivos:

• Robo de datos sensibles o información confidencial. Esto puede incluir el robo de datos personales, como la información de las nóminas de los empleados o los datos financieros personales de los clientes. Pero las estafas de whale phishing también pueden tener como objetivo la propiedad intelectual, los secretos comerciales y otra información sensible.
  
  
• Robo de credenciales de usuario. Algunos ciberdelincuentes lanzan un ataque de whale phishing previo para robar las credenciales de correo electrónico, de modo que puedan lanzar un ataque de whale phishing posterior desde una cuenta de correo electrónico pirateada. Otros utilizan las credenciales para obtener acceso de alto nivel a los activos o datos de la red del objetivo.
  
  
• Instalación de malware. Una parte relativamente pequeña de los ataques de caza de ballenas intentan engañar a los objetivos para que propaguen ransomware u otro malware abriendo un archivo adjunto malicioso o visitando un sitio web malicioso.

Una vez más, la mayoría de los ataques de whale phishing están motivados por la codicia, pero también pueden estar motivados por una venganza personal contra un ejecutivo o una empresa, presiones competitivas o activismo social o político. Los ataques contra altos cargos gubernamentales pueden ser actos de ciberterrorismo independiente o patrocinado por el Estado.

Los ciberdelincuentes eligen un pez gordo con acceso a su objetivo y un remitente con acceso a ese pez gordo. Por ejemplo, un ciberdelincuente que quiera interceptar pagos a un socio de la cadena de suministro de una empresa podría enviar al director financiero de la empresa una factura y solicitar el pago al director general del socio de la cadena de suministro. Un atacante que quiera robar datos de los empleados podría hacerse pasar por el director financiero y solicitar información sobre las nóminas al vicepresidente de recursos humanos.

Para que los mensajes de los remitentes sean creíbles y convincentes, los estafadores de whale phishing investigan minuciosamente sus objetivos y remitentes junto con las organizaciones en las que trabajan.

Gracias a la cantidad de intercambios y conversaciones que la gente mantiene en las redes sociales y en otros lugares de Internet, los estafadores pueden encontrar gran parte de la información que necesitan con solo buscar en las redes sociales o en la web. Por ejemplo, con sólo estudiar el perfil de LinkedIn de un objetivo potencial, un atacante puede conocer el cargo de la persona, sus responsabilidades, la dirección de correo electrónico de la empresa, el nombre del departamento, los nombres y cargos de sus compañeros de trabajo y Business Partners, los eventos a los que ha asistido recientemente y sus planes de viajes de negocios.

En función del objetivo, los medios de comunicación convencionales, empresariales y locales pueden proporcionar información adicional, como acuerdos rumoreados o completados, proyectos licitados y costos de construcción proyectados que los estafadores pueden usar. Los hackers a menudo pueden crear un correo electrónico de spear phishing convincente con solo una búsqueda general en Google.

Sin embargo, cuando se preparan para un ataque de caza de ballenas, los delincuentes suelen ir más allá y piratean al objetivo y al remitente para recabar información adicional. Esto puede ser tan sencillo como infectar los ordenadores del objetivo y del remitente con un programa espía que permita al estafador ver el contenido de los archivos para realizar investigaciones adicionales. Los estafadores más ambiciosos piratean la red del remitente y acceden a sus cuentas de correo electrónico o de mensajería de texto, desde donde pueden observar las conversaciones reales y participar en ellas.

Cuando llegue el momento de atacar, el estafador enviará el o los mensajes de ataque. Los mensajes de caza de ballenas más eficaces parece que son aquellos que se interponen en el contexto de una conversación en curso, incluyen referencias detalladas a un proyecto u oportunidad específicos, presentan una situación creíble (una táctica de ingeniería social denominada pretexting) y formulan una petición igualmente creíble. Por ejemplo, un atacante que se haga pasar por el director general de la empresa podría enviar este mensaje al director financiero:

Según nuestra conversación de ayer, se adjunta una factura de los abogados que se ocupan de la adquisición de BizCo. Por favor, pague mañana antes de las 5 p.m. ET como se especifica en el contrato. Gracias.

En este ejemplo, la factura adjunta puede ser una copia de una factura del bufete de abogados, modificada para dirigir el pago a la cuenta bancaria del estafador.

Para parecer auténticos a los ojos del objetivo, los mensajes de caza de ballenas pueden incorporar una serie de tácticas de ingeniería social:

• Dominios de correo electrónico falsificados. Si los atacantes no pueden piratear la cuenta de correo electrónico del remitente, crearán dominios de correo electrónico similares (por ejemplo,bill.smith@cornpany.com para bill.smith@company.com). Los correos electrónicos falsos también pueden contener firmas de correo electrónico copiadas, declaraciones de privacidad y otras señales visuales que los hacen parecer auténticos a primera vista.
  
  
• Una sensación de emergencia. Una sensación de emergencia (por ejemplo, referencias a plazos cruciales o cuotas atrasadas) puede llevar al objetivo a actuar más rápido sin considerar detenidamente la petición.
  
  
• Insistencia en la confidencialidad. Los mensajes de caza de ballenas suelen contener instrucciones como "Por favor, no comparta esto con nadie de momento" para evitar que el objetivo se dirija a otras personas que puedan cuestionar la petició.
  
  
• Vishing por voz o vishing. Cada vez más, los mensajes de phishing incluyen números de teléfono a los que el objetivo puede llamar para obtener confirmación. Algunos delincuentes incluso acompañan los correos electrónicos de phishing con mensajes de voz que utilizan inteligencia artificial para hacerse pasar por el remitente.

Los ataques de whale phishing, como todos los ataques de phishing, se encuentran entre los ciberataques más difíciles de combatir, ya que no siempre pueden ser identificados por las herramientas tradicionales de ciberseguridad (basadas en firmas). En muchos casos, el atacante sólo necesita superar las defensas de seguridad "humanas". Los ataques de whale phishing son especialmente complejos, ya que su carácter selectivo y su contenido personalizado los hacen aún más convincentes para el objetivo o los observadores.

Aun así, hay medidas que las organizaciones pueden tomar para ayudar a mitigar el impacto del whale phishing o incluso incluso incluso evitar este tipo de ataques por completo.

Formación de concienciación sobre seguridad. Dado que el whale phishing se aprovecha de las vulnerabilidades humanas, la formación de los empleados es una importante línea de defensa contra estos ataques. La formación contra el phishing puede incluir:

• Enseñar a los empleados técnicas para reconocer correos electrónicos sospechosos (por ejemplo, comprobar los nombres de los remitentes de correos electrónicos en busca de nombres de dominio fraudulentos)
  
  
• Consejos para evitar "compartir demasiado" en las redes sociales
  
  
• Hacer hincapié en los hábitos de trabajo seguros, como nunca abrir archivos adjuntos no solicitados, confirmar solicitudes de pago inusuales a través de un segundo canal, llamar por teléfono a los proveedores para confirmar las facturas y navegar directamente a los sitios web en lugar de pulsar en los enlaces de los correos electrónicos.
  
  
• Simulaciones de whale phishing en las que los ejecutivos pueden aplicar lo que aprenden.

Autenticación multifactor y adaptable. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o autenticación adaptativa (que requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los hackers obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si son capaces de robar la contraseña.

Software de seguridad. Ninguna herramienta de seguridad por sí sola puede evitar el whale phishing por completo, pero varias herramientas pueden contribuir a evitar los ataques de whale phishing o a minimizar los daños que causan:

• Algunas herramientas de seguridad del correo electrónico, como el software antiphishing basado en inteligencia artificial, los filtros antispam y las pasarelas seguras de correo electrónico, pueden ayudar a detectar y desviar los correos de caza de ballenas.
  
  
• El software antivirus puede ayudar a neutralizar el spyware o malware que los atacantes podrían utilizar para piratear las redes objetivo con el fin de realizar investigaciones, escuchar conversaciones o tomar el control de las cuentas de correo electrónico. También puede ayudar a neutralizar las infecciones de ransomware o malware causadas por el whale phishing.
  
  
• Los parches del sistema y del software pueden cerrar las vulnerabilidades técnicas que suelen explotar los suplantadores de identidad.
  
  
• Las pasarelas web seguras y otras herramientas de filtrado web pueden bloquear los sitios web maliciosos a los que se enlaza en los correos electrónicos de whale phishing.
  
  
• Las soluciones de seguridad empresarial pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad a detectar e interceptar el tráfico malicioso y la actividad de la red relacionada con los ataques de whale phishing. Estas soluciones incluyen (entre otras) orquestación, automatización y respuesta de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta extendidas (XDR).