¿Qué es un ataque de ballenas?

Blog

En un ataque de tipo "Whaling", los atacantes se dirigen a personas que ocupan puestos de autoridad o de toma de decisiones en una organización, para estafar a una empresa.

por YunesTarada

Última actualización:
Tiempo de lectura: 5 min
¿Qué es un ataque de ballenas?
Índice-

Los ataques de caza de ballenas son sinónimo de fraude al director ejecutivo, una táctica muy utilizada por los ciberdelincuentes para estafar a las empresas. En un ataque de whaling, los atacantes se dirigen a personas que ocupan puestos de autoridad o de toma de decisiones en una organización, como altos ejecutivos y funcionarios de alto nivel. Se trata de una forma potente y muy específica de phishing o spear phishing diseñada para engañar a objetivos de alto valor (HVT) y que estos revelen información corporativa, credenciales, hagan clic en enlaces maliciosos, abran archivos maliciosos o inicien transferencias bancarias. El objetivo suele ser robar datos confidenciales, obtener acceso a sistemas críticos (como aquellos con datos financieros) o utilizar credenciales comprometidas para llevar a cabo otras actividades maliciosas. Los ataques de phishing siguen siendo una amenaza importante; CISCO descubrió que el 86 % de las empresas tenía al menos un empleado que había caído en una estafa de phishing en su investigación de 2021, y el Grupo de Trabajo Anti-Phishing (APWG) registró más de un millón de ataques de phishing únicos solo en el primer trimestre de 2022.

Puntos clave

  1. Los ataques de caza de ballenas utilizan investigaciones sofisticadas para dirigirse a altos ejecutivos con el fin de obtener datos confidenciales de la empresa o acceso al sistema.
  2. El "whaling" difiere del "phishing" habitual en su objetivo específico, su mayor sofisticación y sus consecuencias potencialmente más devastadoras (financieras, de reputación).
  3. Una defensa eficaz requiere un enfoque multicapa que combine la autenticación del correo electrónico (DMARC en p=reject), las mejores prácticas de seguridad (2FA, actualizaciones) y la formación de concienciación de los empleados.
  4. Los atacantes suelen investigar los objetivos utilizando las redes sociales e información pública para elaborar correos electrónicos convincentes y personalizados.
  5. Implantar DMARC, SPF y DKIM es fundamental para bloquear la suplantación de dominios en ataques de whaling y controlar las amenazas.

¿Cómo se produce un ataque de ballenas?

Para entender cómo se produce el whaling, intentemos primero comprender la diferencia entre los ataques de whaling, phishing y spear phishing:

¿Qué es el phishing habitual?

La ingeniería social, o phishing habitual, consiste en engañar a las personas para que revelen información confidencial, como credenciales de inicio de sesión o información financiera. El atacante suele hacerse pasar por una entidad de confianza, como un banco o una agencia gubernamental, y envía un correo electrónico o un mensaje solicitando información o un enlace a un sitio web falso. Los ataques de phishing habituales suelen enviarse a grandes grupos de personas con la esperanza de que un pequeño porcentaje caiga en la trampa.

La caza de ballenas frente a la suplantación de identidad

  • Focalización: Un ataque de phishing normal no se dirige a personas concretas de alto rango, sino que lanza una amplia red dirigida a un público amplio. Un ataque de whaling se dirige específicamente a altos ejecutivos y funcionarios de alto nivel ("ballenas" o "peces gordos").
  • Sofisticación: Los ataques de phishing habituales suelen ser sencillos. Los ataques de whaling suelen ser más elaborados, bien diseñados y personalizados, y a menudo utilizan logotipos oficiales, lenguaje y direcciones de correo electrónico aparentemente legítimas tras una cuidadosa investigación de la función, las responsabilidades y los hábitos del objetivo.
  • Información objetivo: El phishing habitual suele buscar credenciales de inicio de sesión o información financiera personal. El whaling busca información corporativa sensible de alto valor, como secretos comerciales, documentos confidenciales o acceso a cuentas y sistemas financieros de la empresa.
  • Tácticas: El phishing normal puede utilizar tácticas de miedo genéricas. La suplantación de identidad puede emplear tácticas más elaboradas, como crear sitios web falsos que reflejen sitios legítimos o crear una falsa sensación de urgencia relacionada con asuntos comerciales.
  • Impacto: Aunque cualquier phishing puede ser perjudicial, un ataque de whaling con éxito suele ser más devastador debido al acceso de alto nivel y a los datos confidenciales implicados, causando potencialmente pérdidas financieras significativas y daños a la reputación. Un ataque de whaling es dos veces más exitoso y peligroso, ya que juega con la fiabilidad y autoridad de un individuo existente para engañar a las víctimas.
  • Modo de ataque: Ambos suelen utilizar el correo electrónico, pero la caza de ballenas también puede implicar llamadas telefónicas selectivas u otros métodos de comunicación.

La caza de ballenas frente a la pesca submarina

  • Los ataques de spear phishing son también ataques de phishing muy selectivos que apuntan a personalidades o grupos específicos dentro de una organización para lanzar campañas fraudulentas.
  • El "whaling" difiere del "spear phishing" general en el aspecto de que sólo elige como objetivo principal a los más altos ejecutivos de la empresa (las "ballenas").

En el whaling, un atacante enviará un correo electrónico de phishing a un alto ejecutivo, haciéndose pasar por su gerente, director general o director financiero, o a veces dirigiéndose a un empleado de nivel inferior haciéndose pasar por un ejecutivo. Este correo electrónico instigará una transferencia bancaria de fondos de la empresa o solicitará credenciales corporativas que ayudarían al atacante a obtener acceso al sistema de la organización.

Definición de ataque a la ballena

El término "ballenero" se utiliza para designar a los ejecutivos de las empresas o peces gordos como el CEO y el CFO. Dado que estas personas ocupan puestos de alto rango en la empresa, tienen acceso a información sensible como nadie. Por eso, hacerse pasar por ellos o engañarlos puede resultar perjudicial para el negocio y la reputación de una empresa, lo que puede acarrear pérdidas financieras, filtraciones de datos, pérdida de productividad e incluso consecuencias legales.

Ejemplos de ataques de ballenasEjemplo de correo electrónico de ataque ballenero en el que el Director General pide al Director Financiero una transferencia urgente

En el ejemplo anterior, John, el responsable del equipo financiero, recibe un correo electrónico de Harry, el director general de la organización, en el que se le pide que inicie una transferencia urgente. En este caso, si John no verifica la solicitud a través de otro canal o no reconoce los signos de phishing, acabaría transfiriendo los fondos a los que tiene acceso y, por tanto, sería presa del ataque ballenero.

Cómo detener los ataques de balleneros: proteger su organización y sus datos

Para que estos ataques sean aún más eficaces como táctica de ingeniería social, los atacantes suelen hacer sus deberes de forma elaborada y con gran detalle. Utilizan información de dominio público recopilada de plataformas de redes sociales como Facebook, Twitter y LinkedIn, así como de sitios web de empresas, para conocer la vida diaria, las actividades, las responsabilidades y las relaciones profesionales de un ejecutivo. Esto les hace parecer creíbles y legítimos, lo que les ayuda a engañar fácilmente a sus víctimas.

¿Hay alguna forma de detener los ataques balleneros? Sí, la hay. A continuación se indican algunas medidas proactivas que puede adoptar para combatir el phishing, el spoofing, el whaling y otras formas de ataques de ingeniería social. Lo mejor es un enfoque multicapa:

  1. Protocolos de autenticación de correo electrónico:
    • Sender Policy Framework (SPF) le ayuda a autorizar sus fuentes de envío legítimas. Si utiliza varios dominios o terceros para enviar correos electrónicos, un registro SPF le ayudará a especificarlos para que puedan identificarse los dominios maliciosos que se hagan pasar por el suyo.
    • DomainKeys Identified Mail o DKIM es un protocolo de autenticación de correo electrónico que utiliza firmas criptográficas para ayudar a garantizar que sus mensajes se mantienen inalterados durante todo su trayecto.
    • Y por último, DMARC (Domain-based Message Authentication, Reporting, and Conformance) ayuda a alinear los identificadores SPF o DKIM y especifica a los servidores receptores de correo electrónico cómo desea tratar los mensajes falsos de whaling enviados desde su dominio (por ejemplo, rechazarlos). Una política DMARC configurada como `p=reject` puede combatir eficazmente la suplantación de dominio directa utilizada en el whaling. Le permite rechazar el correo electrónico que no supere las comprobaciones, exigir autenticación para el correo saliente e impedir que se entreguen correos electrónicos falsificados.
  2. Informes DMARC: Después de aplicar su modo de política, active informes agregados y forenses DMARC para supervisar sus fuentes de correo electrónico, comprender la capacidad de entrega y detectar rápidamente cualquier intento de ataque a su dominio. Una herramienta de análisis DMARC puede ayudar a gestionar estos informes y actualizar las políticas de forma segura.
  3. Educación y formación de los empleados: Asegúrese de que los empleados, especialmente los ejecutivos de alto nivel y los equipos financieros, son conscientes de los riesgos de la caza de ballenas y están formados para reconocer correos electrónicos sospechosos, verificar las solicitudes (especialmente las financieras) a través de un canal de comunicación independiente y evitar hacer clic en enlaces desconocidos o abrir archivos adjuntos inesperados. La formación periódica en cibersensibilización es crucial.
  4. Autenticación fuerte: Implanta la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) siempre que sea posible, especialmente para el correo electrónico y el acceso a sistemas sensibles.
  5. Seguridad de contraseñas: Aplique políticas de contraseñas fuertes y únicas para todas las cuentas.
  6. Software de filtrado y seguridad del correo electrónico: Utilice soluciones sólidas de filtrado de correo electrónico para bloquear los mensajes sospechosos o marcarlos para su revisión. Utiliza sistemas de seguridad como antivirus y cortafuegos.
  7. Actualizaciones periódicas del software: Mantén todo el software, los sistemas operativos y los navegadores actualizados con los últimos parches de seguridad para evitar la explotación de vulnerabilidades.
  8. Seguridad de la red: Aplique fuertes medidas de seguridad de la red, incluyendo potencialmente la segmentación de la red y estrictos controles de acceso.
  9. Plan de respuesta a incidentes: Disponga de un plan claro para responder a incidentes de seguridad como ataques de phishing o whaling para minimizar los daños y permitir una rápida recuperación.

Con estas medidas de seguridad, puede reducir definitivamente el índice de éxito de los ataques de ingeniería social dirigidos a los empleados de su organización. Combinar controles técnicos como DMARC con una educación y concienciación continuas es clave para construir una defensa sólida contra el whaling. La implantación de DMARC también puede allanar el camino para tecnologías como BIMIque le permiten adjuntar el logotipo de su marca verificada a los mensajes de correo electrónico, aumentando aún más la confianza y el reconocimiento.

Llamamiento a la acción PowerDMARC

Últimos mensajes de Yunes Tarada (ver todos)
Última actualización:
Mejora de la seguridad de los dominios con el análisis DMARCAnálisis dmarc¿Qué es la vulnerabilidad DMARC?¿Qué es la vulnerabilidad DMARC?