pandasecurity-whaling

Alpha Payroll se dedica a gestionar el pago de las nóminas a los trabajadores de otras empresas, sus clientes. Un día, un trabajador de Alpha Payroll recibe por correo electrónico la inequívoca orden de su jefe: “Envíame copias de todas las nóminas que hayamos gestionado durante 2015”. Solícito y obediente, el subalterno cumple con su cometido.

Tiempo después, el protagonista de esta historia es despedido. Ni su jefe había enviado tal correo ni él había respetado la política de la empresa que prohíbe a todos sus trabajadores compartir las nóminas de sus clientes. Quién le iba a decir que esa norma también se aplicaba al máximo responsable de la compañía. Y quién le iba a decir que no era él, sino que estaba siendo suplantado.

Uno de los clientes de la empresa descubrió algo raro en las nóminas de su plantilla y notificó el fraude a las autoridades. Se abrió una investigación, Alpha Payroll se metió en un lío y la víctima del fraude, el empleado que sufrió el engaño, fue el primero en pagar las consecuencias. Perdió su trabajo.

Lo que había sucedido es un ejemplo de la sofisticación de una técnica que los cibercriminales emplean desde hace mucho. Primero fue el ‘phising’, la forma más básica de suplantación, que no fija objetivos concretos; después el ‘spear phising’, más personalizado y dirigido; y ahora lo que se ha empezado a conocer como ‘whaling’, pues los suplantados son, exclusivamente, los altos directivos de las compañías.

¿Cómo funciona el ‘whaling’?

Tras conseguir acceso a las claves de los ejecutivos de una empresa -o crear una suficientemente parecida como para dar el pago-, resulta muy sencillo para el atacante utilizar la identidad de los jefes para engañar a ciertos empleados, sobre todo los menos precavidos o familiarizados con el fraude en internet y las medidas para detectarlo.

El ‘whaling’ se está convirtiendo en un problema tal que, según el FBI, ya ha costado más de 2.300 millones de dólares (más de 2.000 millones de euros) a las empresas de casi 80 países diferentes que se han visto afectadas en los últimos tres años. Desde enero de 2015, el número de víctimas identificadas se han incrementado en un 270 %, entre ellas grandes y famosas compañías como Mattel, Snapchat o Seagate Technologies.

El ‘whaling’ ya ha costado más de 2.300 millones de dólares (más de 2.000 millones de euros) a las empresas de casi 80 países

Para defenderse, lo mejor es entrenar debidamente a los empleados, especialmente aquellos que tienen acceso a la información más sensible o permiso para realizar operaciones delicadas como transferencia, y establecer políticas claras sobre el tránsito de información e informes entre departamentos y empleados, incluidos los ejecutivos.

Las soluciones clásicas de protección de puesto de trabajo o perímetro impiden una correcta detección, muchas veces  actuando cuando el ataque ya ha tenido éxito, siendo imposible la remediación. Para obtener una protección proactiva ante este tipo de ataques es recomendable una solución de nueva generación tipo EDR, ya que no solo basan su análisis en lo malo conocido , sino en controlar el 100% de los procesos , sean Malware o Goodware, controlando en todo momento cualquier acción inadecuada hecha por el usuario.