Fiabilidad

Ataque de Whaling (Whale Phishing)

¿Qué es un ataque de whaling?

Un ataque de whaling es un ataque de seguridad dirigido a ejecutivos y responsables de alto nivel dentro de una organización específica. En este tipo de ataque de spear phishing, el atacante busca a propósito a “peces gordos” que tengan autoridad para realizar una acción específica en nombre del atacante.

Por ejemplo, se puede pedir a la víctima que:

  • Autorice una transacción financiera.
  • Conceder al atacante acceso a la red.
  • Cambiar la información de la nómina.
  • Enviar algo valioso a otro lugar.
  • Divulgar un secreto comercial.
  • Instalar software malicioso (malware).

Los ataques de phishing ordinarios lanzan una amplia red; el atacante suele comprar una lista de direcciones de correo electrónico o números de teléfono móvil y envía el mismo correo electrónico o mensaje de texto a miles de personas al mismo tiempo.

En cambio, los mensajes de correo electrónico y de texto de whaling se adaptan a un destinatario específico. Los ciberdelincuentes que emplean el whaling como vector de ataque dedican mucho tiempo a investigar la organización objetivo para comprender la estructura jerárquica de la empresa y averiguar quién es el pez gordo (ballena) que tiene el poder para llevar a cabo la acción deseada por el atacante.

Entre las víctimas de ataques de alto cargo más populares se encuentran:

  • Presidentes de empresa
  • Vicepresidentes de empresa
  • Interventores de empresa
  • Directores de Recursos Humanos
  • Directores Ejecutivos (CEO)
  • Directores Financieros (CFO)
  • Directores de Información (CIO)
  • Directores de Tecnología (CTO)
  • Directores de Operaciones (COO),
  • Directores de Ingresos (CRO)
  • Directores de Compras (CPO)
  • Directores Jurídicos (CLO)
  • Directores de la cadena de suministro (CSCM)

En algunos países, el whale phishing se considera un tipo de ataque para comprometer el correo electrónico de la empresa (“business email compromise” o “BEC“) y también puede denominarse fraude al CEO o phishing VIP.

¿Cómo funciona el whale phishing?

No es inusual que un atacante de whale phishing pase semanas, o incluso meses, investigando a las víctimas potenciales antes de iniciar un ataque. Para ello, utiliza información pública y tácticas de ingeniería social con el fin de obtener toda la información posible sobre su víctima.

A veces, un atacante incluso realiza pruebas para determinar qué canal de comunicación prefiere utilizar su víctima. Por ejemplo, el atacante puede hacerse pasar por una secretaria que trabaja para un proveedor de confianza y llamar para ver si su víctima contesta al teléfono personalmente, o puede hacerse pasar por un antiguo empleado y enviarle un correo electrónico o un mensaje de texto inocuo para confirmar la dirección de correo electrónico o el número de teléfono móvil de la víctima.

A continuación se muestra un ejemplo de cómo podría funcionar un ataque de whaling:

  • El atacante se hace pasar por el Director General de la empresa ABC y envía un correo electrónico al Director de Tesorería de ABC. El correo electrónico parece haber sido enviado internamente y hace referencia a algo de lo que el Director General había hablado en el pasado.
  • El correo electrónico explica que el Director General está de viaje y acaba de almorzar con el nuevo Director Financiero de su competidor. Continúa diciendo que el Director Financiero reveló por accidente que su nuevo empleador tiene problemas de liquidez y necesita vender su nuevo avión lo antes posible.
  • El Director General explica que no quiere perder la oportunidad de comprar el avión y pide al Director de Tesorería que haga una transferencia de 3 millones de dólares a la cuenta X lo antes posible.
  • El Director de Tesorería sabe que su empresa lleva tiempo queriendo comprar un avión de empresa, pero el último avión que consideraron costaba 5 millones de dólares. 3 millones por un avión casi nuevo parece una buena oferta. El Director de Tesorería realiza la transferencia.
  • Unas horas más tarde, el verdadero Director General pasa por el despacho del director de Tesorería. Resulta que no estaba de viaje y no solicitó la transferencia. La empresa ABC acaba de convertirse en otra estadística de los ataques de whaling.

Ejemplos de ataques exitosos

El ejemplo anterior no está muy lejos de la realidad. Algo parecido le ocurrió al fabricante de juguetes Mattel, a pesar de que el protocolo de la empresa exigía dos firmas para las transferencias bancarias.

El fabricante aeroespacial FACC también se convirtió en una estadística de blanqueo cuando alguien de su departamento financiero recibió un correo electrónico que creyó que procedía del Director General de la empresa. El correo electrónico, que parecía legítimo, pedía al destinatario que transfiriera inmediatamente 42 millones de euros a una cuenta específica para que el Director General pudiera cerrar un importante acuerdo comercial. El empleado, creyendo que el correo electrónico que había recibido era del Director General, procedió a transferir los fondos. Cuando la empresa se dio cuenta de que el correo electrónico era fraudulento, el atacante ya había desaparecido.

En 2020, el cofundador de Levitas Capital fue víctima de un ataque al hacer clic en un enlace de Zoom que instaló malware en la red de la empresa. Una vez comprometida la red, el atacante pudo moverse lateralmente, obtener más privilegios de acceso y, finalmente, engañar al administrador de la empresa para que aprobara los pagos de facturas falsas.

Consecuencias de un ataque exitoso

Mattel es la única empresa de los ejemplos anteriores que se libró de las consecuencias, y fue pura suerte porque los fondos se transfirieron por la noche y el día siguiente en China era festivo. Mattel pudo ponerse en contacto con la policía en China antes de que el atacante pudiera retirar los fondos y así recuperó su dinero.

FACC y Levitas Capital no tuvieron tanta suerte. El Director General y el Director Financiero de FACC fueron despedidos cuando se determinó que su dinero no podía recuperarse, y Levitas Capital se vio obligada a cerrar sus puertas después de perder su dinero, porque los inversores ya no confiaban en el fondo de cobertura.

Cómo evitar que los ataques de whaling tengan éxito

Los ejecutivos de alto cargo han demostrado ser objetivos lucrativos de ataques porque tienen permisos de acceso de superusuario para una amplia variedad de recursos de información y la autoridad para aprobar transacciones de última hora. Irónicamente, estas mismas personas rara vez se ven obligadas a participar en sesiones de formación de RR.HH. en materia de concienciación sobre seguridad.

Para minimizar el riesgo de un ataque de whaling, las organizaciones deben invertir en políticas y procedimientos de seguridad fuertes y fomentar una cultura de concienciación y verificación de la seguridad. A continuación se exponen algunas medidas prácticas que pueden ayudar a evitar que un ataque de whaling tenga éxito:

  • Implemente una política que obligue a los empleados a comprobar y verificar cualquier solicitud inusual o inesperada de información confidencial o transacciones financieras, especialmente si implican a ejecutivos de alto cargo.
  • Exija que todos los empleados, incluidos los ejecutivos de alto cargo, reciban formación periódica sobre seguridad.
  • Implemente la autenticación multifactor (“multi-factor authentification” o “MFA“) y revise periódicamente los privilegios de acceso para aplicar el principio del mínimo privilegio (“Principle of least privilege” o “PoLP“) en todos los niveles de la organización.
  • Desarrolle y ponga en práctica un plan integral de respuesta a incidentes para ayudar a garantizar que los ataques de piratas informáticos se identifiquen y mitiguen rápidamente.
  • Despliegue mecanismos de seguridad que impidan a los usuarios no autorizados ejecutar whoami y otras utilidades de línea de comandos.

Temas relacionados

Margaret Rouse
Experta en tecnología

Margaret Rouse es una galardonada escritora técnica y profesora conocida por su habilidad para explicar temas técnicos complejos a una audiencia de negocios no técnica. Durante los últimos veinte años, sus explicaciones han aparecido en sitios web de TechTarget y ha sido citada como autoridad en artículos del New York Times, Time Magazine, USA Today, ZDNet, PC Magazine y Discovery Magazine. La idea de diversión de Margaret es ayudar a profesionales de TI y negocios a aprender a hablar los idiomas altamente especializados de cada uno. Si tienes una sugerencia para una nueva definición o cómo mejorar una explicación técnica,…