El whale phishing, o whaling, es un tipo de ataque especial de phishing que se dirige a oficiales corporativos de alto nivel con correos electrónicos fraudulentos, mensajes de texto o llamadas telefónicas. Los mensajes se escriben cuidadosamente para manipular al destinatario y autorizar pagos grandes a delincuentes cibernéticos, o para divulgar información confidencial valiosa corporativa o personal.
Los objetivos del whale phishing son ejecutivos de nivel C (directores ejecutivos, directores financieros, directores de operaciones), otros altos ejecutivos, titulares de cargos políticos y líderes de organizaciones que pueden autorizar grandes pagos o transferencias electrónicas o la divulgación de información confidencial sin la aprobación de otros. A estos objetivos se les denomina whales (ballenas) por el término popular con el que se designa a los clientes (o jugadores) que tienen acceso a más dinero que la generalidad de la gente.
Es importante entender cómo se relacionan el phishing, el spear phishing y el whale phishing, principalmente porque los términos se utilizan a menudo indistintamente, de forma incorrecta o sin contexto.
El phishing es cualquier correo electrónico, mensaje de texto o llamada telefónica fraudulenta diseñada para engañar a los usuarios para que descarguen malware (mediante un enlace maligno o archivo adjunto), compartiendo información confidencial, enviando dinero a delincuentes o tomando otras acciones que se expongan a sí mismos o a sus organizaciones.
Cualquier persona que tenga una computadora o un teléfono inteligente ha recibido un ataque de phishing masivo (básicamente un mensaje que parece provenir de una empresa u organización conocida, describe una situación común o creíble y exige una acción urgente), por ejemplo: Su tarjeta de crédito ha sido rechazada. Haga clic en el enlace a continuación para actualizar su información de pago. Los destinatarios que hacen clic en el enlace son llevados a un sitio web maligno que podría robar su número de tarjeta de crédito o descargar malware en sus computadoras.
La efectividad de una campaña de phishing masivo reside en su alcance: los ciberdelincuentes envían mensajes al mayor número de personas posible, sabiendo perfectamente que un determinado porcentaje morderá el anzuelo. Un estudio detectó más de 225 millones de mensajes de phishing durante un periodo de seis meses en 2022 (enlace externo a ibm.com). Según el informe Cost of a Data Breach 2022 de IBM, el phishing fue la segunda causa más común de filtraciones de datos en 2022, y el método más común para entregar ransomware a las víctimas.
El spear phishing es un ataque de phishing dirigido a un individuo o grupo de individuos específicos dentro de una organización. Los ataques de spear phishing suelen lanzarse contra mandos intermedios que pueden autorizar pagos o transferencias de datos (responsables de cuentas por pagar, directores de recursos humanos) mediante un atacante que se hace pasar por un compañero de trabajo con autoridad sobre el objetivo, o un colega (p. ej., proveedor, asociado de negocios, asesor) en el que el objetivo confía.
Los ataques de spear phishing son más personalizados que los ataques de phishing masivos y requieren más trabajo e investigación. Pero el trabajo extra puede resultar rentable para los delincuentes cibernéticos. Por ejemplo, los spear phishers robaron más de USD 100 millones a Facebook y Google entre 2013 y 2015 haciéndose pasar por proveedores legítimos y engañando a los empleados para que pagaran facturas fraudulentas (enlace externo a ibm.com).
Un whale phishing o whaling es un ataque de spear phishing dirigido exclusivamente a un ejecutivo u funcionario de alto nivel. El atacante suele hacerse pasar por un compañero dentro de la organización del objetivo, o por un colega o asociado igual o superior de otra organización.
Los mensajes de whale phishing son muy personalizados: los atacantes se esfuerzan mucho por suplantar el estilo de escritura del remitente real y, cuando es posible, hacen referencia al contexto de conversaciones comerciales reales en curso. Los estafadores del whale phishing suelen espiar las conversaciones entre el remitente y el objetivo; muchos intentarán secuestrar la cuenta real de correo electrónico o mensajería de texto del remitente para enviar el mensaje de ataque directamente desde allí, para conseguir la máxima autenticidad.
Debido a que los ataques se dirigen a personas que pueden autorizar pagos más grandes, ofrecen el potencial de un pago inmediato más alto para el atacante.
El whaling a veces se compara con el compromiso de correo electrónico comercial (BEC), otro tipo de ataque de spear phishing en el que el atacante envía el correo electrónico fraudulento objetivo que parece provenir de un compañero de trabajo o colega. El BEC no siempre es whaling (porque frecuentemente se dirige a empleados de nivel inferior), y el whaling no siempre es BEC (porque no siempre implica correo electrónico), pero muchos de los ataques whaling más costosos también involucran ataques de BEC. Por ejemplo:
- En 2015, Ubiquity Networks perdió casi USD 47 millones en solo 17 días (enlace externo a ibm.com) cuando atacantes de whale phishing que se hacían pasar por el director ejecutivo (CEO) y el asesor en jefe de la empresa enviaron correos electrónicos convenciendo al director de contabilidad de que realizara una serie de transferencias bancarias para financiar una adquisición secreta.
- En 2018, Pathe Film Group perdió EUR 19,2 millones (USD 21 millones) (enlace externo a ibm.com) cuando unos estafadores que se hacían pasar por el director ejecutivo de la sede de Pathe en Francia enviaron un correo electrónico al director ejecutivo de la oficina de Pathe en los Países Bajos, solicitando transferencias bancarias para financiar una adquisición.
- También en 2018, los atacantes que se hicieron pasar por el director ejecutivo, altos ejecutivos y asesores legales de la firma italiana Tecnimont SpA engañaron al líder de la compañía de la unidad de negocio en India para que transfiriera INR 1.300 millones (USD 18,25 millones) a un banco en Hong Kong (enlace externo a ibm.com), también supuestamente para financiar una adquisición. Como parte de esta estafa, los atacantes dieron el paso extra de poner en escena varias llamadas de conferencia falsas para discutir los detalles de la "adquisición".
El phishing, el spear phishing y el whale phishing son ejemplos de ataques de ingeniería social, que aprovechan principalmente vulnerabilidades humanas en lugar de vulnerabilidades técnicas para comprometer la seguridad. Debido a que dejan mucha menos evidencia digital que el malware o la piratería, estos ataques pueden ser mucho más difíciles de detectar o prevenir para los equipos de seguridad y los profesionales de ciberseguridad.
La mayoría de los ataques tienen como objetivo robar grandes sumas de dinero de una organización, engañando a un funcionario de alto nivel para hacer, autorizar o solicitar una transferencia bancaria a un proveedor fraudulento o cuenta bancaria. Pero los ataques pueden tener otros objetivos, incluyendo
- Robo de datos o información confidenciales. Esto puede incluir el robo de datos personales, como información de nómina de empleados o datos financieros personales de los clientes. Pero las estafas de whale phishing también pueden apuntar a la propiedad intelectual, secretos comerciales y otra información confidencial.
- Robo de credenciales de usuario. Algunos delincuentes cibernéticos lanzarán un ataque preliminar de whale phishing para robar credenciales de correo electrónico, de modo que puedan lanzar un whale phishing posterior desde una cuenta de correo electrónico hackeada. Otros roban las credenciales para obtener acceso de alto nivel a activos o datos de la red del objetivo.
- Instalación de malware. Una parte relativamente pequeña de los ataques de whale phishing intentan engañar a los objetivos para que propaguen ransomware u otro malware abriendo un archivo adjunto maligno o visitando un sitio web maligno.
Como hemos dicho, la mayoría de los ataques de whale phishing están motivados por la codicia,pero también pueden estar motivadas por una venganza personal contra un ejecutivo o una empresa, presiones competitivas o activismo social o político. Los ataques contra altos cargos gubernamentales pueden ser actos de terrorismo cibernético independiente o patrocinado por el Estado.
Los delincuentes cibernéticos eligen un whale con acceso a su objetivo y un remitente con acceso a su whale. Por ejemplo, un delincuente cibernético que quiera interceptar pagos a un socio de la cadena de suministro de una empresa podría enviar al director financiero de la empresa una factura y solicitar el pago al director ejecutivo (CEO) del socio de la cadena de suministro. Un atacante que quiera robar datos de los empleados podría hacerse pasar por el director financiero y solicitar información sobre las nóminas al vicepresidente de recursos humanos.
Para que los mensajes de los remitentes resulten creíbles y convincentes, los estafadores investigan a fondo sus objetivos y remitentes, así como las organizaciones en las que trabajan.
Gracias a la cantidad de intercambio y conversación que las personas realizan en las redes sociales y en otros lugares en línea, los estafadores pueden encontrar gran parte de la información que necesitan simplemente buscando sitios de redes sociales o web. Por ejemplo, simplemente estudiando el perfil de LinkedIn de un objetivo potencial, un atacante puede conocer el cargo de la persona, sus responsabilidades, la dirección de correo electrónico de la empresa, el nombre del departamento, los nombres y cargos de sus compañeros de trabajo y asociados de negocios, los eventos a los que ha asistido recientemente y sus planes de viajes de negocios.
Dependiendo del objetivo, los medios de comunicación convencionales, especializados y locales pueden proporcionar información adicional (por ejemplo, rumores de acuerdos o transacciones completadas, proyectos licitados, costes de construcción previstos) que los estafadores pueden utilizar. Según un informe del analista del sector Omdia, los hackers pueden crear un correo electrónico de spear phishing convincente tras unos 100 minutos de búsqueda general en Google (enlace externo a ibm.com).
Pero al prepararse para un ataque de whale phishing, los estafadores a menudo tomarán el importante paso adicional de hackear el objetivo y el remitente para reunir material adicional. Esto puede ser tan sencillo como infectar los ordenadores del objetivo y del remitente con un programa espía que permita al estafador ver el contenido de los archivos para realizar investigaciones adicionales. Los estafadores más ambiciosos piratearán la red del remitente y obtendrán acceso a las cuentas de correo electrónico o mensajes de texto del remitente, donde pueden observar e insertarse en conversaciones reales.
Cuando llegue el momento de atacar, el estafador enviará los mensajes de ataque. Los mensajes de whale phishing más efectivos parecen encajar en el contexto de una conversación en curso, incluir referencias detalladas a un proyecto o acuerdo específico, presentar una situación creíble (una táctica de ingeniería social llamada pretexting) y hacer una solicitud igualmente creíble. Por ejemplo, un atacante que se haga pasar por el director ejecutivo (CEO) de la empresa podría enviar este mensaje al director financiero:
Según nuestra conversación de ayer, se adjunta una factura de los abogados que se ocupan de la adquisición de BizCo. Paga mañana antes de las 5 p. m. ET según se especifica en el contrato. Gracias.
En este ejemplo, la factura adjunta puede ser una copia de una factura del bufete de abogados, modificada para dirigir el pago a la cuenta bancaria del estafador.
Para parecer auténticos al objetivo, los mensajes de whaling pueden incorporar múltiples tácticas de ingeniería social que incluyen:
- Dominios de correo electrónico falsificados. Si los atacantes no pueden hackear la cuenta de correo electrónico del remitente, crearán dominios de correo electrónico similares (por ejemplo, bill.smith@cornpany.com para bill.smith@company.com). Los correos electrónicos de whaling también pueden contener firmas de correo electrónico copiadas, declaraciones de privacidad y otras señales visuales que los hacen parecer auténticos de un vistazo.
- Un sentido de urgencia. La presión del tiempo (por ejemplo, referencias a plazos críticos o recargos por demora) puede llevar al objetivo a actuar más rápido sin considerar detenidamente la solicitud.
- Insistencia en la confidencialidad. Los mensajes de whaling a menudo contienen instrucciones como por favor, guarde esto para usted por ahora para evitar que el objetivo vaya a otras personas que podrían cuestionar la solicitud.
- Respaldo de phishing de voz (vishing). Cada vez más, los mensajes de phishing incluyen números de teléfono a los que el objetivo puede llamar para obtener confirmación. Algunos estafadores dan seguimiento a los correos electrónicos de phishing con mensajes de voz que utilizan una suplantación de la voz del supuesto remitente basada en inteligencia artificial.
Los ataques de whale phishing, como todos los atacantes de phishing, se encuentran entre los ciberataques más difíciles de combatir, porque no siempre pueden ser identificados por herramientas tradicionales de ciberseguridad (basadas en firmas). En muchos casos, el atacante solo necesita superar las defensas de seguridad humanas. Los ataques de whale phishing son especialmente desafiantes porque su objetivo natural y contenido personalizado los hacen aún más convincentes al objetivo u observadores.
Aún así, hay medidas que las organizaciones pueden tomar para ayudar a mitigar el impacto del whale phishing, si no evitan este tipo de ataques por completo.
Capacitación en concientización sobre seguridad. Dado que el whale phishing se aprovecha de las vulnerabilidades humanas, la formación de los empleados es una importante línea de defensa contra estos ataques. La capacitación antiphishing puede incluir
- Enseñar técnicas a los empleados para reconocer correos electrónicos sospechosos (por ejemplo, verificar los nombres de los remitentes de correo electrónico para nombres de dominio fraudulentos)
- Consejos para evitar "compartir de más" en redes sociales
- Hacer hincapié en hábitos de trabajo seguros, por ejemplo, nunca abrir archivos adjuntos no solicitados, confirmar solicitudes de pago inusuales a través de un segundo canal, llamar a proveedores para confirmar facturas, navegar directamente a sitios web en lugar de hacer clic en enlaces dentro de correos electrónicos.
- Simulaciones de whale phishing donde los ejecutivos pueden aplicar lo que aprenden.
Autenticación adaptable y multifactor. Implementar la autenticación multifactor (que requiere una o más credenciales además de un nombre de usuario y una contraseña) y/o la autenticación adaptativa (que requiere credenciales adicionales cuando los usuarios inician sesión desde diferentes dispositivos o ubicaciones) puede impedir que los hackers obtengan acceso a la cuenta de correo electrónico de un usuario, incluso si son capaces de robar su contraseña de correo electrónico.
Software de seguridad. Ninguna herramienta de seguridad puede prevenir el whale phishing, pero varias herramientas pueden desempeñar un papel importante en la prevención del mismo o minimizar el daño que causan:
- Algunas herramientas de seguridad del correo electrónico, incluido el software antiphishing basado en IA, los filtros de spam y las puertas de enlace de correo electrónico seguras, pueden ayudar a detectar y desviar los correos electrónicos.
- El software antivirus puede ayudar a neutralizar el spyware o malware que los atacantes podrían utilizar para piratear las redes del objetivo con el fin de realizar investigaciones, escuchar conversaciones o tomar el control de las cuentas de correo electrónico. (También puede ayudar a neutralizar el ransomware o las infecciones de malware causadas por el whale phishing).
- Los parches del sistema y del software pueden cerrar vulnerabilidades técnicas comúnmente explotadas por los phishers.
- Las puertas de enlace web seguras y otras herramientas de filtrado web pueden bloquear los sitios web malignos vinculados a correos electrónicos de whale phishing.
- Las soluciones de seguridad empresarial pueden ayudar a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) a detectar e interceptar el tráfico maligno y la actividad de la red ligada a los ataques de whale phishing. Estas soluciones incluyen (pero no se limitan a) orquestación, automatización y respuesta de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM), detección y respuesta de endpoints(EDR) , detección y respuesta de red (NDR) y detección extendida y XDR (XDR ).
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha el análisis y la IA para monitorear las anomalías en la información sobre amenazas, la red y el comportamiento de los usuarios, y para priorizar dónde se necesitan atención y corrección inmediatas.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de malware y ataques de phishing protegiendo a sus clientes minoristas y empresariales.
Proteja los endpoints de los ciberataques, detecte comportamientos anómalos y corríjalos casi en tiempo real con esta solución de detección y respuesta de endpoints (EDR) sofisticada pero fácil de usar.
Lea sobre las últimas tendencias y técnicas de prevención del whale phishing en Security Intelligence, el blog de liderazgo de pensamiento alojado por IBM Security.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para descifrar y restaurar el acceso a los datos.
En su 17ª edición, este informe comparte los últimos insights sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.