Anteriormente hemos hablado acerca del phishing que, comúnmente está relacionado con la actividad de pesca pero, en el mundo digital, interconectado, se refiere a enviarle trampas o señuelos a diversas presas, con el fin de ver cuál de ellos a su vez “muerde el anzuelo”, proporcionando información de interés para el Hacker que ha planeado la operación.
El “whaling” por su parte, se refiere a un tipo de ataque cibernético que está hecho a la medida o, mejor dicho, dirigido a presas de alto nivel (individuos o empresas), como ejecutivos de empresas, políticos o personas de alto perfil, con el objetivo de robar información confidencial o datos sensibles con el fin de realizar actividades fraudulentas.
Así las cosas, el Phishing es más genérico, como cuando los pescadores tiran una red al mar esperando atrapar de todo mientras que, el Whaling, es más enfocado en grandes presas que ameritan el esfuerzo de perseguirlas de manera focalizada.
En un ataque de “whaling”, los ciberdelincuentes suelen utilizar métodos de ingeniería social para manipular a sus víctimas e intentar obtener información confidencial, como contraseñas, números de tarjeta de crédito o datos financieros. Estos ataques suelen involucrar la suplantación de identidad (los atacantes se hacen pasar por personas de confianza o entidades legítimas a través de correos electrónicos falsificados o mensajes de texto) con el fin de obtener información valiosa o inducir a la víctima a realizar acciones que comprometan su seguridad.
Este tipo de operaciones de ingeniería social denominadas Whaling son, prácticamente, dignas de las películas de Hollywood. El “whaling” puede llegar a ser considerado como una forma más avanzada de ataque cibernético, ya que requiere un mayor nivel de sofisticación y conocimiento por parte de los atacantes para identificar y seleccionar a objetivos específicos de alto valor.
Obviamente no hay formas infalibles para protegerse del “whaling” pero, la concientización ayuda al fortalecer el eslabón más débil de la cadena, el usuario. Es importante que las personas y las empresas sean conscientes de las amenazas en línea, utilicen medidas de seguridad robustas como una buena política de manejo de contraseñas, y mucha malicia (cautela) al interactuar con correos electrónicos, mensajes de texto y otros mensajes en línea, especialmente, si en estos hay solicitudes de información confidencial.
Qué hacer entonces para protegerse del Whaling?
- La educación y la conciencia son fundamentales dado que es importante familiarizarse con los conceptos básicos de la ingeniería social, el phishing, y las diferentes tipologías e estafas para poder identificar los correos electrónicos o mensajes sospechosos, y de esta manera, no dar información confidencial pueda llegar a ser una herramienta valiosa para el cibercriminal.
-
Zero confianza y verificar todo, (coherente, prácticas habituales, identidad del remitente y demás) especialmente los correos electrónicos, mensajes de texto u otras formas de comunicación que soliciten información confidencial o realicen solicitudes inusuales.
-
Utilizar contraseñas fuertes y únicas para todas las cuentas junto a la autenticación de dos o más factores para agregar una capa adicional de seguridad.
-
Mantener el software y los sistemas operativos actualizados con las últimas actualizaciones de seguridad y parches puede ayudar a cerrar vulnerabilidades conocidas que los ciberdelincuentes podrían aprovechar para llevar a cabo ataques.
-
Prudencia / malicia en la navegación y descarga de archivos, al igual que en el mundo físico, no hay que andar como turista de vacaciones haciéndole clic y descargando todo.
-
Limitar el acceso a la cantidad de información sensible por perfil y, sobre todo a la que se comparte en línea y tener precaución al compartir datos personales o financieros en sitios web o en respuesta a correos electrónicos u otras solicitudes en línea.
