¿Alguna vez has recibido un correo electrónico de un remitente de confianza que en realidad ha resultado ser un mensaje de phishing? Si es así no eres el único: incluso grandes organizaciones como Snapchat y Seagate han sido víctimas de ataques del whaling (del inglés whale: ballena).

En los sofisticados ataques de whaling, las direcciones de correo electrónico corporativas y los empleados de alto nivel suelen ser los principales objetivos. Aunque los servicios de protección premium que suelen tener las organizaciones funcionan bien contra los pequeños ataques, las amenazas de whaling pueden colarse entre sus defensas si los empleados y los posibles objetivos no son conscientes del riesgo.

Si alguna vez te has preguntado qué es el whaling al verlo mencionado en la Red, nuestra guía va a responder a tu pregunta y a aportarte algunas claves para defenderte contra este tipo de ataques.

¿Qué es el whaling?

El whaling es un tipo de ataque de phishing. Suele dirigirse a personas de alto rango en una empresa -directores generales, directores de operaciones y presidentes- y emplean tácticas más avanzadas y sofisticadas que otros tipos de amenazas.

En lugar de enviar correos electrónicos masivos a muchas personas o empresas, los ataques de whaling cuentan con una investigación y planificación previa y están dirigidos a organizaciones específicas. Se utilizan nombres, direcciones, cargos u otra información personal para crear una apariencia más sólida y creíble para el ataque.

El objetivo del whaling es convencer a los objetivos para que compartan credenciales, o bien acceder a redes más valiosas o simplemente robar dinero o datos. Para ello estos ciberataques incitan a los líderes a enviar o transferir dinero a los estafadores o a revelar información sensible como contraseñas y nombres de usuario que desbloqueen propiedad intelectual de una empresa.

Ordenador portátil con una ballena atrapada en un anzuelo que sale de la pantalla con la definición de caza de ballenas a la izquierda.

Ataques whaling: Cómo funcionan

A medida que las organizaciones van reforzando la formación en materia de seguridad, los hackers se ven obligados a buscar tácticas más sofisticadas para sus ataques. A diferencia de los correos electrónicos de phishing normales, los de whaling han ido adoptando características específicas para evitar ser detectados, entre ellas:

  • Terminología profesional y centrada en el mundo empresarial
  • Conocimiento preciso del sector
  • Direcciones de correo electrónico, páginas web y páginas de destino falsificadas
  • Información personal, referencias y anécdotas

Utilizando técnicas de ingeniería social, los hackers combinan varias características con contenidos específicos y mensajes urgentes para animar a los destinatarios a actuar con rapidez. Muchos ataques de whaling incluyen detalles como direcciones falsas que se hacen pasar por las de personas de confianza, páginas de destino detalladas, características personalizadas como el nombre o el cargo del objetivo y llamadas telefónicas de seguimiento.

Entre los elementos más comunes presentes en los correos electrónicos whaling se incluyen:

  • Pedir favores personales desde las direcciones de personas de alto rango o de confianza
  • Se desaconsejan reuniones presenciales
  • Peticiones urgentes de pagos mediante transferencias bancarias
  • Enlaces o archivos adjuntos en los que se puede hacer clic y a los que se accede mediante credenciales internas

Si los objetivos reaccionan a los correos electrónicos de whaling o a los sitios web falsos haciendo clic en un archivo adjunto o un enlace, los dispositivos pueden ser infectados con malware, que a su vez puede robar información confidencial, suplantar la identidad del objetivo o cambiar la configuración de permisos.

Detectar un ataque de whaling

Dado que los ataques de whaling ofrecen a sus instigadores la posibilidad de grandes recompensas, se planean de forma estratégica y pueden ser difíciles de detectar. No obstante, la mayoría pueden ser identificado a través de estas señales:

  • Correos electrónicos falsos y urgentes: muchos ataques de whaling utilizan correos electrónicos falsificados con urgentes mensajes para comenzar una intrusión. Estos mensajes son casi idénticos a los reales de organizaciones, lo que les da un aire de credibilidad que puede incitar a la acción.
  • Enlaces, archivos adjuntos y páginas de destino infectados: se utilizan para depositar malware en dispositivos vulnerables. Pueden estar incrustados en el cuerpo de un correo electrónico o mensaje de texto falsificado.
  • Objetivos de alto rango: los ataques de whaling a menudo se dirigen a personas importantes dentro de una organización. Estos objetivos pueden tener acceso directo a contraseñas o a fondos de la empresa.
  • Suplantación de identidad: cuando un ataque de whaling no tiene como objetivo a un CEO o COO, los hackers pueden optar por hacerse pasar por ellos. Los delincuentes se dirigen entonces a empleados de niveles inferiores que pueden tener acceso a servidores u otra información sensible.

Si una o más de estas señales están presentes en un ciberataque, es posible que se esté preparando el terreno para un ataque de whaling.

Imágenes ilustradas que describen la suplantación de identidad, los enlaces infectados, los objetivos de alto valor y las direcciones de correo electrónico falsificadas.

Peligros del whaling

Aunque el beneficio económico es la principal motivación de los ataques de phishing de cualquier tipo, existen diferentes tipos de daños que pueden causar los ataques de whaling.

Daños financieros

En muchos ataques whaling el daño financiero a una organización es el objetivo principal. En las intrusiones exitosas, la empresa sufrirá pérdidas financieras, que son beneficios para el hacker o el grupo de hackers. En muchos casos, los objetivos de alto rango envían o transfieren dinero a una cuenta falsa, pero algunos ataques de piratas informáticos además roban información confidencial que posteriormente venden para obtener beneficios.

Daños en los datos

Además de los daños financieros, los ataques de whaling suelen causar daños en los datos. De hecho, el 76% se utilizan para acceder a credenciales de la organización, que pueden incluir información de empleados y clientes. Ese tipo de brechas de datos puede provocar pérdidas de beneficios y de propiedad intelectual.

Daños a la reputación

Tanto las pérdidas financieras como los daños en los datos pueden empañar la reputación de una organización. Además de las pérdidas internas, la imagen de marca de una empresa puede verse dañada, perder la confianza de los clientes y sufrir las consecuencias de la publicidad negativa. Además, dependiendo del producto o el sector de una empresa, puede perder acuerdos de marcas, sponsors y otros tipos de relaciones basadas en la reputación.

5 formas de defenderse de los ataques de whaling

Aunque el whaling es un ataque de phishing muy sofisticado, hay formas de prepararse y defenderse contra ellos. Estas cinco medidas de protección se pueden aplicar a todos los niveles de una organización, tanto si se trata de directivos como de empleados.

  1. Concienciación

La mejor forma en que una organización puede defenderse de los ataques de suplantación de identidad es dando prioridad a la concienciación del personal. La formación en seguridad sobre ataques de phishing, sobre el uso de redes sociales y otras formas de concienciación deben normalizarse en todas las organizaciones. Además, proporcionar a los empleados una lista de cuestiones a vigilar -como direcciones de correo electrónico incorrectas, solicitudes de dinero o de información de seguridad- hace que todos los usuarios sean conscientes de los peligros y posibilidades de un ataque whaling.

  1. Autenticación en varios pasos

La autenticación en dos o más pasos ha ganado popularidad en paralelo al aumento de los ciberataques. Este sistema suele implicar el uso de aplicaciones o software de terceros para validar la legitimidad de un mensaje o inicio de sesión. Al exigir la autenticación en varios pasos para las transferencias bancarias, el acceso a información sensible y el correo electrónico o las comprobaciones de datos, una empresa puede disminuir la posibilidad de que se produzcan ataques de whaling con éxito.

  1. Políticas de seguridad de datos

Aunque la monitorización online suele despertar reticencias, puede ser un mecanismo de defensa legítimo contra los sistemas de phishing. Designar un equipo o instalar elementos de seguridad de datos en toda la organización puede reducir el riesgo de ataques de phishing. Estos equipos o programas pueden supervisar las direcciones de correo electrónico en busca de actividad maliciosa o suplantación de identidad, y bloquear automáticamente cualquier dirección o contenido de correo electrónico sospechoso.

  1. Restricciones de privacidad

Además de la concienciación general, las organizaciones deben aumentar la formación sobre privacidad y restricciones. En concreto, las cuentas de redes sociales deben contar con restricciones de privacidad y seguridad de alto nivel, ya que pueden ser minas de oro llenas de información sensible y personal. Tanto las cuentas personales como las profesionales en las redes sociales deben ser tratadas como objetivos potenciales de ataques de phishing, especialmente las cuentas dirigidas y gestionadas por objetivos de alto rango, y tomar precauciones acorde.

  1. Herramientas o recursos contra el phishing

Además de las campañas internas de concienciación, las restricciones de privacidad y la autorización en varias etapas, las organizaciones deben invertir en herramientas o recursos antiphishing para lograr una protección adicional. Muchas organizaciones externas, como el Anti-Phishing Working Group (APWG) ofrecen software específico, defensas de seguridad adicionales y recursos fundamentales que pueden proporcionar información y ayudar a proteger a las empresas del whaling phishing.

Phishing vs spear phishing vs whaling

Los ataques de phishing, spear phishing y whaling pueden confundirse fácilmente porque pertenecen a la misma familia de ciberamenazas. Sin embargo, son diferentes y cada tipo utiliza tácticas específicas.

Los ataques de phishing se engloban en la amplia categoría de estafas de suplantación de identidad. Pueden ser ataques amateurs o bien sofisticados y se dirigen a una variedad de entidades diferentes, incluidos individuos, grupos y organizaciones. Los ataques de phishing intentan engañar o convencer a alguien para que realice una acción, que puede ser tan sencilla como hacer clic en un enlace o tan compleja como transferir fondos a una cuenta bancaria.

El spear phishing se incluye en la categoría general de phishing, pero los ataques de este tipo suelen dirigirse a personas concretas y no a grupos. Estos ataques utilizan información específica, como información sobre acontecimientos actuales, registros financieros o noticias de la organización, para ganarse la confianza de los usuarios.

Finalmente el whaling se puede considerar como un tipo específico de ataque de spear phishing. Pero mientras el spear phishing puede dirigirse a cualquier individuo, el whaling se dirige a personas de alto rango, que suelen tener acceso a datos o fondos. Al igual que los ataques de spear phishing, los de whaling utilizan correos electrónicos personalizados para convencer a las personas de que realicen una acción. Los atacantes de whaling no envían correos electrónicos masivos y pueden incluso utilizar llamadas de seguimiento para parecer más legítimos.

Ilustración de un sobre rodeado de muchos avatares, siendo arponeado, y junto a una ballena.

Ejemplos de ataques whaling

Dadas sus sofisticadas tácticas y objetivos, muchos ataques de whaling se dirigen a empresas más grandes y valiosas. Por ejemplo, algunos de los ataques de whaling más conocidos se han producido contra organizaciones como Scoular, Snapchat y Seagate.

Ataque de whaling a Scoular en 2015

Utilizando un acuerdo falso de fusión y adquisición como tapadera, en 2015 los hackers lograron hacerse pasar por el CEO de The Scoular Company -así como por varios miembros de la empresa que lleva la contabilidad a la empresa-, lo que provocó una pérdida de más de 17 millones de dólares. Este ataque sostenía que hablar del correo electrónico con cualquier persona violaría los procedimientos extranjeros y los hackers respondieron a cualquier llamada de consulta de las víctimas con información falsa.

Ataque a Snapchat en 2016

A principios de 2016, la empresa tecnológica Snapchat fue víctima de un ataque de whaling. Los hackers se hicieron pasar por el CEO y enviaron un correo electrónico a otro objetivo de alto rango solicitando información sobre las nóminas de los empleados, actuales y anteriores. El usuario reveló esta información a los atacantes, provocando así una importante brecha. La Oficina Federal de Investigación (FBI) fue llamada a intervenir para analizar el ataque.

Ataque a Seagate en 2016

Un empleado de Seagate fue víctima de un ataque de whaling en marzo de 2016. Asumiendo que el destinatario se estaba comunicando con el CEO de la compañía, la información de nómina de todos los empleados pasados y actuales fue entregada a los hackers. Esto llevó a una violación masiva de datos, en la que se filtraron 10.000 registros de empleados. Estos registros incluían números de la Seguridad Social, información salarial y otros datos identificables. Tras la filtración Seagate se enfrentó a una demanda colectiva liderada por los propios empleados.

Aunque seguramente no pensarás a diario en el whaling , es importante ser consciente de lo peligrosos que pueden ser los ataques de suplantación de identidad de cualquier tipo. Para mantener tu información segura, elige contraseñas únicas y utiliza una VPN para navegar por Internet de forma segura.

Fuentes: Agari | Office of the Director of National Intelligence | The Guardian | Infosecurity Magazine | IT Governance USA Blog