Qué es Whaling, el modelo de ciberataque orientado a directivos de grandes empresas
Los ciberataques dirigidos a empresas no paran de aumentar, con técnicas cada vez más complejas con las que engañarnos. Y hay un término que debes conocer: los ataques whaling.
Hablamos de un tipo de ciberataque diseñado específicamente para comprometer a altos directivos y obtener un impacto mucho mayor que el de una campaña masiva tradicional.
Qué es un ciberataque whaling
El término whaling, que podría traducirse como “caza de ballenas”, hace referencia a la jerga utilizada en el phishing. Si el phishing convencional lanza redes amplias esperando que alguien muerda el anzuelo, el whaling selecciona cuidadosamente a su objetivo.
Se trata de una modalidad de phishing altamente personalizada que se dirige a miembros sénior de una empresa, como consejeros delegados, directores financieros o responsables de áreas estratégicas.
Como explican desde ESET, La técnica puede materializarse mediante correos electrónicos fraudulentos, mensajes de texto, llamadas telefónicas y otros sistemas en los que se suplanta la identidad de una persona de confianza. L
El motivo por el que los altos directivos resultan especialmente atractivos para los atacantes está claro: son una presa muy lucrativa, además de que es relativamente sencillo cazar a este tipo de ballenas.
Para empezar, su agenda suele estar marcada por la urgencia. Una solicitud aparentemente legítima que apela a la rapidez puede ser aprobada sin pasar por todos los controles habituales.
Y la visibilidad pública de estos directivos facilita el trabajo previo de los delincuentes. Redes sociales profesionales, entrevistas, comunicados corporativos o la propia web de la empresa ofrecen abundante información para construir un engaño creíble.
Antes de lanzar el ataque, los ciberdelincuentes investigan a fondo a su objetivo. Analizan su entorno laboral, identifican a sus colaboradores más cercanos y estudian su estilo de comunicación. Con esos datos elaboran mensajes que simulan proceder de una fuente de confianza y que suelen incluir elementos de presión temporal.
El objetivo puede ser obtener credenciales de acceso, inducir a la instalación de malware o conseguir la autorización de una transferencia fraudulenta de gran volumen. Y en muchos casos utilizan la cuenta de correo de un directivo que han sustraído previamente y que sirve como punto de partida para engañar a otros empleados y escalar el ataque dentro de la organización.
Por si no fuera suficiente, la irrupción de la inteligencia artificial ha elevado aún más el nivel de estos ataques. Ya que hay todo tipo de herramientas de IA capaces de automatizar la recopilación de información, generar textos con un lenguaje natural impecable e incluso imitar el estilo de escritura de una persona concreta.
Unas tecnologías que han facilitado la creación de deepfakes de voz o vídeo que pueden utilizarse en ataques de vishing, haciendo que la suplantación sea todavía más difícil de detectar. Así que, si trabajas en el sector, mejor que desconfíes y verifiques cualquier información que recibas.