El phishing de ballenas, o whaling en inglés, es un tipo especial de ataque de phishing que se dirige a altos cargos de empresas con correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentos.Los mensajes están cuidadosamente redactados para manipular al destinatario con el fin de que autorice grandes pagos a los ciberdelincuentes o divulgue información confidencial o valiosa de carácter personal o empresarial.
Estos ataques se dirigen a altos ejecutivos (directores generales, directores financieros, directores de operaciones), otros altos directivos, cargos políticos y jefes de organizaciones en posición de autorizar grandes pagos o transferencias o la divulgación de información sensible sin la aprobación de terceros. A estos objetivos se les conocen como "peces gordos", en referencia a su importante influencia.
Es importante comprender la relación entre phishing, spear phishing y caza de ballenas, principalmente porque los términos se utilizan a menudo indistintamente, de forma incorrecta o sin contexto.
Phishing es cualquier correo electrónico, mensaje de texto o llamada telefónica fraudulentos que intentan inducir al destinatario a descargar malware(a través de un enlace malicioso o un archivo adjunto), compartir información sensible, enviar dinero a delincuentes o realizar otras acciones que podrían exponerle a él o a su organización a un ciberataque.
Cualquiera que tenga un ordenador o un smartphone ha recibido un ataque masivo de phishing, es decir, un mensaje que parece proceder de una empresa u organización conocida, describe una situación común o creíble y exige una acción urgente (por ejemplo, "Su tarjeta de crédito ha sido rechazada. Haga clic en el siguiente enlace para actualizar sus datos de pago".Los destinatarios que hacen clic en el enlace son conducidos a un sitio web malicioso que podría robar su número de tarjeta de crédito o descargar malware en sus ordenadores.
La efectividad de una campaña de phishing masivo reside en su alcance: los ciberdelincuentes envían mensajes al mayor número de personas posible, sabiendo perfectamente que un determinado porcentaje morderá el anzuelo. Un estudio detectó más de 255 millones de mensajes de phishing durante un periodo de seis meses en 2022 (enlace externo). Según el informe Cost of a Data Breach 2022 de IBM, el phishing fue la segunda causa más común de filtraciones de datos en 2022, y el método más común para entregar ransomware a las víctimas.
El spear phishing es un ataque de phishing dirigido a un individuo o grupo de individuos específicos dentro de una organización.Los ataques de spear phishing suelen lanzarse contra directivos de nivel medio que pueden autorizar pagos o transferencias de datos (responsables de cuentas, directores de recursos humanos) por parte de un atacante que se hace pasar por un compañero de trabajo con autoridad sobre el objetivo, o un colega (por ejemplo, un proveedor, un socio comercial, un asesor) en el que el objetivo confía.
Los ataques de spear phishing son más personalizados que los ataques de phishing masivo, y requieren más trabajo e investigación.Pero el trabajo extra puede resultar rentable para los ciberdelincuentes. Por ejemplo, los ciberdelincuentes robaron más de 100 millones de dólares a Facebook y Google entre 2013 y 2015 haciéndose pasar por proveedores legítimos y engañando a los empleados para que pagaran facturas fraudulentas (enlace externo).
Un ataque de caza de ballenas o whaling es un ataque de spear phishing dirigido exclusivamente a un ejecutivo o alto cargo.El atacante suele hacerse pasar por un compañero dentro de la organización del objetivo, o por un colega o asociado de igual o mayor nivel de otra organización.
Los mensajes de caza de ballenas son muy personalizados. Los atacantes se esfuerzan mucho por suplantar el estilo de escritura del remitente real y, cuando es posible, hacen referencia al contexto de conversaciones comerciales reales en curso.Los estafadores que participan en la caza de ballenas suelen espiar las conversaciones entre el remitente y el objetivo, muchos intentan piratear la cuenta de correo electrónico o de mensajería de texto del remitente para enviar el mensaje de ataque directamente desde allí, para conseguir la máxima autenticidad.
Dado que los ataques de caza de ballenas se dirigen a personas que pueden autorizar pagos de mayor cuantía, ofrecen al atacante la posibilidad de obtener un beneficio inmediato más elevado.
La caza de ballenas a veces se compara con el correo electrónico empresarial comprometido (BEC, por sus siglas en inglés), otro tipo de ataque de spear phishing en el que el atacante envía al objetivo un correo electrónico fraudulento que parece proceder de un compañero de trabajo o colega.El BEC no siempre es una caza de ballenas (porque con frecuencia se dirige a empleados de bajo nivel), y la caza de ballenas no siempre es BEC (porque no siempre implica correo electrónico), pero la mayoría de los ataques de caza de ballenas que salen más caros también implican ataques BEC.Por ejemplo:
El phishing, el spear phishing y la caza de ballenas son ejemplos de ataques de ingeniería social, ataques que explotan principalmente vulnerabilidades humanas en lugar de vulnerabilidades técnicas para comprometer la seguridad.Como dejan muchas menos pruebas digitales que el malware o la piratería informática, estos ataques pueden ser mucho más difíciles de detectar o prevenir para los equipos de seguridad y los profesionales de la ciberseguridad.
El objetivo de la mayoría de los ataques es robar grandes sumas de dinero a una organización, engañando a un alto cargo para que realice, autorice u ordene una transferencia bancaria a un proveedor o cuenta bancaria fraudulentos.Pero los ataques de caza de ballenas pueden tener otros objetivos, en particular
Como hemos dicho, la mayoría de los ataques de caza de ballenas están motivados por la codicia,pero también pueden estar motivadas por una venganza personal contra un ejecutivo o una empresa, presiones competitivas o activismo social o político.Los ataques contra altos cargos gubernamentales pueden ser actos de ciberterrorismo independiente o patrocinado por el Estado.
Los ciberdelincuentes eligen un pez gordo con acceso a su objetivo y un remitente con acceso a ese pez gordo.Por ejemplo, un ciberdelincuente que quiera interceptar pagos a un socio de la cadena de suministro de una empresa podría enviar al director financiero de la empresa una factura y solicitar el pago al director general del socio de la cadena de suministro.Un atacante que quiera robar datos de los empleados podría hacerse pasar por el director financiero y solicitar información sobre las nóminas al vicepresidente de recursos humanos.
Para que los mensajes de los remitentes resulten creíbles y convincentes, los estafadores investigan a fondo a sus objetivos y remitentes, así como las organizaciones en las que trabajan.
Gracias a la cantidad de intercambios y conversaciones que la gente mantiene en las redes sociales y en otros lugares de Internet, los estafadores pueden encontrar gran parte de la información que necesitan con solo buscar en las redes sociales o en la web.Por ejemplo, simplemente estudiando el perfil de LinkedIn de un objetivo potencial, un atacante puede conocer el cargo de la persona, sus responsabilidades, la dirección de correo electrónico de la empresa, el nombre del departamento, los nombres y cargos de sus compañeros de trabajo y socios comerciales, los eventos a los que ha asistido recientemente y sus planes de viaje de negocios.
Dependiendo del objetivo, los medios de comunicación convencionales, especializados y locales pueden proporcionar información adicional (por ejemplo, rumores de acuerdos o transacciones completadas, proyectos licitados, costes de construcción previstos) que los estafadores pueden utilizar.Según un informe del analista del sector Omdia, los hackers pueden crear un correo electrónico de spear phishing convincente tras unos 100 minutos de búsqueda general en Google (enlace externo).
Sin embargo, cuando se preparan para un ataque de caza de ballenas, los delincuentes suelen ir más allá y piratean al objetivo y al remitente para recabar información adicional.Esto puede ser tan sencillo como infectar los ordenadores del objetivo y del remitente con un programa espía que permita al estafador ver el contenido de los archivos para realizar investigaciones adicionales.Los estafadores más ambiciosos piratean la red del remitente y acceden a sus cuentas de correo electrónico o de mensajería de texto, desde donde pueden observar las conversaciones reales y participar en ellas.
Cuando llegue el momento de atacar, el estafador enviará el o los mensajes de ataque.Los mensajes de caza de ballenas más eficaces parece que son aquellos que se interponen en el contexto de una conversación en curso, incluyen referencias detalladas a un proyecto u oportunidad específicos, presentan una situación creíble (una táctica de ingeniería social denominada pretexting) y formulan una petición igualmente creíble.Por ejemplo, un atacante que se haga pasar por el director general de la empresa podría enviar este mensaje al director financiero:
Según nuestra conversación de ayer, se adjunta una factura de los abogados que se ocupan de la adquisición de BizCo.Por favor, pague mañana antes de las 5 p.m. ET como se especifica en el contrato.Gracias.
En este ejemplo, la factura adjunta puede ser una copia de una factura del bufete de abogados, modificada para dirigir el pago a la cuenta bancaria del estafador.
Para parecer auténticos a los ojos del objetivo, los mensajes de caza de ballenas pueden incorporar una serie de tácticas de ingeniería social:
Los ataques de caza de ballenas, como todos los ataques de phishing, se encuentran entre los ciberataques más difíciles de combatir, ya que no siempre pueden ser identificados por las herramientas tradicionales de cyberseguridad (basadas en firmas).En muchos casos, el atacante solo tiene que superar las defensas de seguridad "humanas".Los ataques de caza de ballenas son especialmente complejos ya que su carácter selectivo y su contenido personalizado los hacen aún más convincentes para el objetivo o los observadores.
Aun así, hay medidas que las organizaciones pueden tomar para ayudar a mitigar el impacto de la caza de ballenas o incluso evitar este tipo de ataques por completo.
Formación de concienciación sobre seguridad. Dado que la caza de ballenas se aprovecha de las vulnerabilidades humanas, la formación de los empleados es una importante línea de defensa contra estos ataques.La formación contra el phishing puede incluir
Autenticación multifactor y adaptativa. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o la autenticación adaptativa (que requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los hackers obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si son capaces de robar su contraseña de correo electrónico.
Software de seguridad. Ninguna herramienta de seguridad por sí sola puede evitar por completo la caza de ballenas, pero varias herramientas pueden desempeñar un papel en la prevención de los ataques de caza de ballenas o minimizar el daño que causan:
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha los análisis y la IA para supervisar la información sobre amenazas, anomalías en la red y comportamiento de los usuarios, y para priorizar las áreas que requieren atención y acción inmediatas.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de programas maliciosos y ataques de suplantación de identidad protegiendo a sus clientes minoristas y de empresa.
Proteja los puntos finales de los ciberataques, detecte comportamientos anómalos y corríjalos prácticamente en tiempo real con esta solución de detección y respuesta de puntos finales (EDR) sofisticada pero fácil de usar.
Lea sobre las últimas tendencias en caza de ballenas y técnicas de prevención en Security Intelligence, el blog de liderazgo intelectual alojado por IBM Security.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para desencriptar y restaurar el acceso a los datos.
Este informe, ya en su 17ª edición, presenta la información más reciente sobre la evolución de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.