¿Qué es “whaling” y ¿cuál es la diferencia con el phishing?

A finales de diciembre, el término “whaling” comenzó a aparecer en los medios relacionados con la seguridad cibernética. El término no es exactamente nuevo, pero no se puede encontrar tan seguido como el término “phishing”.

A finales de diciembre, el término “whaling” comenzó a aparecer en los medios relacionados con la seguridad cibernética. El término no es exactamente nuevo, pero no se puede encontrar tan seguido como el término “phishing”. De hecho, como muchos de ustedes pudieron haberlo adivinado, “whaling” es una clase específica de phishing. ¿Qué tan específica?

La razón del mencionado “pico” es sencilla: los expertos en seguridad de Mimecast afirman que han encuestado a varios cientos de profesionales informáticos en diciembre y descubrieron que ha habido una ola de “whaling” que afecta a las empresas – una clase de ataque de phishing que tiene como objetivo a ejecutivos de nivel C en adelante. “Los peces gordos”.

Sí, los cetáceos no son peces, pero no importa; la diferencia entre el phishing y el cyberwhaling es casi la misma que la de los peces y los cetáceos: el tamaño, el empleo de arpón en lugar de red, etc.

Peces Gordos

Los objetivos del “cyberwhaling” son en su mayoría ejecutivos, de preferencia los de más alto nivel, como CEOs, CFOs, y otros puestos que involucren tomas de decisión de alto nivel, gente responsable de manejar las finanzas y la información de las corporaciones.

Las oportunidades de que caigan en un phishing de spam no son muchas, y en la mayoría de los casos caen con algo “especial”.

Uso de Arpón

Normalmente, las cartas de phishing son filtradas, existe la esperanza de que al menos un par de víctimas potenciales se conviertan en víctimas reales. En el caso del cyberwhaling, el objetivo es aun más estrecho, así que se utilizan cartas pensadas y elaboradas de manera inteligente para lograr una apariencia creíble y confiable.

Elaborar dichas cartas requiere de esfuerzo, claro. Se deben de reducir las posibilidades de dudas y reservas de la víctima. Así que se deben especificar muy bien los datos de la víctima.

Estos detalles son extraídos de cualquier manera posible, normalmente de fuentes abiertas o semiabiertas como las cuentas en redes sociales – Facebook, LinkedIn, Twitter, etc.

En la mayoría de los casos, el whaling involucra más ingeniería social que trucos tecnológicos. Si existen asuntos de la compañía involucrados, requerimientos, cartas del fisco, etc.- es muy probable que la persona que toma la decisión caiga en la trampa.

En su carta, los atacantes podrían requerir la descarga de software adicional para abrir el texto completo del requerimiento. En realidad, eso sería un malware de credenciales, no un arcaico plugin a Adobe Acrobat. Y, aunque es muy poco probable que los documentos oficiales sean enviados en formatos exóticos, la gente normalmente cae en la trampa.

Hubo una campaña phishing muy publicado – o de whaling – en 2008, cuando literalmente miles de ejecutivos de alto nivel en todo EU recibieron requerimientos oficiales de la Corte de Distrito de Estados Unidos en San Diego. Cada mensaje incluía el nombre del ejecutivo, la compañía y su teléfono, y ordenaba al receptor a presentarse ante un gran jurado en un caso civil; en lugar de la copia de un requerimiento, sin embargo, las víctimas cayeron.

Gran pez, poca diferencia

Después de todo, el whaling es un tipo de phishing, y aunque está más relacionado con la ingeniería social, las medidas defensivas comunes contra el phishing siguen siendo efectivas. Aunque nada se compara con la habilidad de un humano para identificar una correo de estafa de uno normal, las medidas técnicas y tecnologías de seguridad también ayudan bastante, permitiendo confirmar de manera rápida y confiable si el mensaje contiene algo peligroso y si el enlace es peligroso o seguro.

¡Manténganse seguros!

Consejos