Desde ESET, explican que el whaling viene siendo un tipo de phishing dirigido que busca engañar a quienes tienen cargos de alto nivel dentro de una organización; los denominados “peces gordos”, de allí el nombre de este ataque dirigido, caza de ballenas.
Según se ha podido conocer, estos ataques tienen una sofisticación que combina técnicas de ingeniería social avanzada y requieren de una investigación previa bastante bien detallada. El resultado puede variar desde que la víctima entregue datos confidenciales de la empresa, o descargue malware en la red de la organización, hasta inclusive que, engañada, apruebe transferencias de dinero que va directo a la cuenta de los cibercriminales.
Esto es todo lo que tiene que conocer acerca del whaling
Vale la pena destacar que, una técnica que usan los cibercriminales para ejecutar este tipo de engaño es el denominado “fraude del CEO”, en el que los cibercriminales suplantan la identidad de personas que ocupan altos rangos y envían mensajes a otras personas de alto rango haciéndose pasar por ellas aunque también tiene la posibilidad de ir dirigido a todo colaborador de la compañía u organización.
“Este tipo de ataques hacen necesario aumentar la conciencia de que toda la información pública puede ayudarles a los cibercriminales a cometer estos ataques en los que se suplanta la identidad de una persona o entidad. A los atacantes le serán útiles los perfiles públicos de las personas, tanto en redes personales como Facebook, Instagram, Twitter, o perfiles profesionales en, por ejemplo, LinkedIn”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Los ataques de whaling (caza de ballenas) funcionan al seguir una secuencia estratégica y bien estructurada para garantizar la máxima efectividad. Los pasos clave incluyen:
- Primero que nada, investigación sobre la organización y sus ejecutivos, a partir de fuentes públicas, como redes sociales, sitios web corporativos e inclusive, informes de medios de comunicación, con el fin de comprender la estructura organizacional e identificar posibles debilidades.
- Así mismo, creación de correos electrónicos falsos altamente personalizados con la información obtenida, diseñados para parecer que provienen de fuentes confiables, frecuentemente imitando direcciones de correo electrónico de colegas, socios comerciales u otras entidades acreditadas, mediante la técnica de spoofing. Cabe aclarar que, esta técnica permite ocultar la verdadera dirección de correo electrónico y cambiarla por una que parece legítima.
- Finalmente, envío del correo electrónico con un sentido de urgencia para inducir una respuesta rápida. Tiene la capacidad de poder incluir solicitudes para transferir fondos, compartir información confidencial, o incluso, hacer clic en un enlace malicioso.
No se debe pasar por alto señalar que por su nivel de personalización y sofisticación puede ser difícil de detectar, sin embargo, existen algunas señales de advertencia a las que hay que prestar especial atención, las mismas son:
- Remitente falsificado: en ocasiones, puede parecer que los correos electrónicos provienen de una fuente confiable, pero un examen detallado tiene la posibilidad de revelar ligeras discrepancias en la dirección de correo electrónico.
- Solicitudes inusuales: siempre se tiene que comprobar por otros canales de comunicación, si se recibe una solicitud de información confidencial o transferencias financieras urgentes.
- Errores gramaticales y ortográficos: aunque es una tendencia el uso de IA para la confección de las estrategias de ingeniería social que hacen a los correos de phishing más convincente, es realmente útil prestar atención a posibles errores que puedan contener.
Por si no lo sabía, es crucial señalar que, la defensa contra estos ataques comienza con la educación de quienes trabajen o colaboren con organización, sobre todo si son de altos rangos, para que se mantengan en alerta y al corriente sobre las tácticas que los cibercriminales intentan y cómo estás van mutando. Desde ESET comparten algunos puntos clave para protegerse, que evidentemente, a continuación se los presentamos:
- Primero que nada, tener especial cuidado cuando se comparte información personal y profesional en las redes sociales, puesto que estos datos tienen la capacidad de poder ser utilizados por los delincuentes para crear ataques más persuasivos.
- De igual forma, implementar procedimientos claros para comprobar las solicitudes, fundamentalmente aquellas que impliquen transmisión de datos sensibles, o ejecución de movimientos de dinero.
- Añadir un nivel adicional de confirmación para las transacciones críticas, como las reuniones en persona o las llamadas telefónicas, tiene la posibilidad de proporcionar una capa adicional de seguridad.
- Así mismo, activar la autenticación multifactor y usar herramientas de seguridad avanzadas, son parte esencial de las políticas de seguridad.
- Usar reglas de marcado de correos electrónicos externos ayuda a detectar y bloquear intentos de fraude.
- Por último y no menos importante, es realmente esencial que las compañías se mantengan al día sobre las nuevas técnicas y tendencias en cibercrimen, inviertan en tecnologías emergentes de ciberseguridad y del mismo modo, colaboren con expertos de la industria para poder anticipar y al mismo tiempo, neutralizar las amenazas antes de que causen daños significativos.
“Los ataques de whaling representan una amenaza grave y creciente para las organizaciones, que pueden resultar en pérdidas financieras significativas y comprometer información confidencial. La concientización, la formación y la implementación de medidas de seguridad sólidas son esenciales para proteger a las organizaciones de esta forma insidiosa de ciberdelincuencia. La ciberresiliencia es una prioridad estratégica, y un enfoque integrado y bien informado puede marcar la diferencia en la protección contra este y otros tipos de fraude cibernético”, concluye Gutiérrez Amaya de ESET Latinaomérica.
