Un ataque de whaling es un método que usan los cibercriminales para simular ocupar cargos de nivel superior en una organización y así atacar directamente a los altos ejecutivos u otras personas importantes dentro de ella, con el objeto de robar dinero, conseguir información confidencial u obtener acceso a sus sistemas informáticos con fines delictivos. El whaling, también conocido como CEO fraud, es similar al phishing en cuanto a que usa métodos, como la suplantación de sitios web y correos electrónicos, para engañar a la víctima y hacer que revele información confidencial o haga transferencias de dinero, entre otras acciones.

A diferencia de las estafas de phishing (que no tienen un objetivo específico) y de spear phishing (que tiene como objetivo personas en específico), el whaling lleva el ataque al siguiente nivel: no solo está dirigido a estas personas importantes, también lo hace de una forma en que parezca que las comunicaciones fraudulentas provienen de una persona influyente o que tiene un cargo de nivel superior dentro de la organización. De esta estrategia proviene el nombre de "whaling" (caza de ballenas, en inglés): un ataque específico dirigido a los "peces gordos" de las empresas, como el director ejecutivo (CEO) o el gerente de finanzas. Esto incorpora un elemento de ingeniería social al ataque, ya que los empleados sienten la obligación de responder a las solicitudes de una persona que consideran importante.

La amenaza está muy presente en la actualidad y continúa en crecimiento. En el año 2016, el departamento de nóminas de Snapchat recibió un correo electrónico de whaling que parecía provenir de su director ejecutivo. En él, se solicitaba información sobre la nómina de empleados. El año pasado, Mattel (una de las principales empresas de fabricación de juguetes) fue víctima de un ataque de whaling luego de que un ejecutivo financiero de alto nivel recibiera un correo electrónico de un estafador que suplantaba al nuevo director ejecutivo y que solicitaba una transferencia de dinero. Como resultado, la empresa casi pierde USD 3 millones.

Cómo funcionan los ataques de whaling y cómo protegerte de ellos

Como mencionamos anteriormente, los ataques de whaling se diferencian del spear phishing, ya que las comunicaciones fraudulentas parecen provenir de una persona de nivel superior. Estos ataques adquieren una apariencia más legítima cuando los cibercriminales investigan cuidadosamente recursos abiertos disponibles, como las redes sociales, para diseñar una estrategia personalizada por cada víctima que desean engañar.

Una de las estrategias podría ser un correo electrónico que pareciera venir de algún gerente de nivel superior y en el que se haga referencias a información que el atacante obtuvo en línea; por ejemplo, podrían ver las fotografías de la fiesta de Navidad de la empresa en las redes sociales y enviar un correo con el siguiente mensaje: "Hola, John, soy Steve. ¡Estabas bastante ebrio en la fiesta del jueves pasado! Espero que hayas logrado sacar la mancha de cerveza de tu camiseta roja".

Además, la dirección de correo electrónico del remitente generalmente parece ser legítima e incluso es posible que en el correo se incluyan logotipos de la empresa o vínculos a sitios web fraudulentos y diseñados para verse como los reales. Dado que estos "peces gordos" suelen gozar de alta credibilidad y un gran nivel de acceso dentro de la organización, el cibercriminal tiene una muy buena razón para esforzarse más en diseñar un ataque que parezca más creíble.

La primera estrategia para mantenerse a salvo de los ataques de whaling es educar a las personas importantes de la organización para que se mantengan atentos ante la posibilidad de ser víctimas de estos ataques. Pídeles a los empleados claves que actúen con cautela cuando reciban comunicaciones inesperadas, en especial si se trata de información importante o transacciones financieras. Deben hacerse siempre algunas preguntas claves: ¿esperaban recibir un correo electrónico, un archivo adjunto o un vínculo? ¿La solicitud tiene algo extraño?

También deben saber detectar las señales típicas de un ataque, como direcciones de correo electrónico y nombres de remitentes falsificados (fraudulentos). Con solo dejar el cursor sobre el nombre del remitente en un correo electrónico, se puede ver la dirección de correo completa. Así, es fácil estudiarla cuidadosamente y determinar si coincide exactamente con el nombre y el formato de la empresa. El departamento de TI debería llevar a cabo ensayos de whaling para evaluar cómo actúan los empleados claves ante estos ataques.

Por otra parte, los ejecutivos deben tener especial cuidado cuando publiquen y compartan información en línea en redes sociales, como Facebook, Twitter y LinkedIn. Los cibercriminales pueden usar cualquier tipo de información personal, como fechas de cumpleaños, pasatiempos, vacaciones, cargos laborales, ascensos y relaciones, para confeccionar ataques más sofisticados.

Una excelente manera de reducir el daño que pueden causar los correos falsificados es pedirle al departamento de TI que marque automáticamente para revisión todos los correos que provengan de ubicaciones externas. Generalmente, los ataques de whaling se basan en engañar a los empleados importantes para que piensen que los mensajes provienen del interior de la organización; por ejemplo, una solicitud de transferencia de dinero enviada por un gerente de finanzas. Si se marcan los mensajes externos, es más fácil detectar aquellos que son falsos y a simple vista parecen legítimos, incluso para personas que no poseen mucha experiencia.

También se recomienda implementar software de protección contra el phishing en el que se incluyan diversos servicios, como revisión de URL y validación de vínculos. Otro paso recomendado es agregar un nivel adicional de validación para el envío de información confidencial o grandes cantidades de dinero. Por ejemplo, en lugar de realizar los intercambios de forma electrónica, una reunión en persona o una llamada telefónica pueden ser la mejor forma de realizar tareas críticas o confidenciales.

Además, cuando se trata de las estafas por Internet, dos cabezas piensan mejor que una. Considera la posibilidad de modificar los procedimientos para que dos personas deban autorizar los pagos, en lugar de una. Esto no solo ofrece la perspectiva de una segunda persona para resolver las dudas, también reduce la probabilidad de que el empleado sienta temor de sufrir represalias por parte de esa persona de nivel superior en caso de que se sienta molesto por el rechazo de la solicitud, ya que el miedo es una táctica clave de ingeniería social de la que dependen los atacantes.