¿Conoces el Whaling? El phishing dirigido a directivos de empresas
¿Conoces el whaling? El phishing dirigido a directivos de empresas
El whaling es un ciberataque que, en realidad, constituye una variante del conocido phishing, que consiste en suplantar identidades, creando falsos correos electrónicos y sitios web para obtener datos confidenciales. ¿Pero que diferencias existen entre phishing y el whaling? El phishing busca víctimas de manera indiscriminada mientras que el whaling va especialmente dirigido a los cargos directivos de las empresas.

¿En qué consiste el whaling?
Para explicar mejor qué es el whaling, primero debemos diferenciarlo de otra variante, el spear phishing. Esta otra distinción se dirige a personas específicas, en cambio, el whaling se dirige a directivos o altos cargos de las empresas. Precisamente su nombre en inglés significa caza de ballenas, al referirse a los peces gordos de una empresa.
Para cometer un ataque de whaling los atacantes hacen una investigación en Internet para obtener información de la víctima o del organigrama de la empresa, por ejemplo, investigando las redes sociales. Gracias a este trabajo previo pueden enviar un mensaje a la víctima con elementos de información que lo hacen parecer más verdadero.
Una estrategia común es que al director financiero de una empresa le llegue un correo falso, suplantando a su jefe, con la orden de realizar unas determinadas transferencias que supondrán una estafa para la empresa. Por esta razón al whaling también se le llama el fraude del CEO.
Además, el whaling utiliza otras técnicas comunes del phishing, como utilizar direcciones de correo parecidas a la original y mensajes con la imagen corporativa de la empresa donde trabaja la persona suplantada.
Ejemplos de whaling o fraude del CEO
En diciembre de 2020, en Galicia, el grupo farmacéutico Zendal, fue estafado a través de un ataque de whaling. La estafa provocada por este incidente subió a 9 millones de euros. Todo empezó cuando el jefe financiero del grupo recibió un correo falso suplantando a su jefe. En el mensaje se le ordenaba realizar una primera transferencia de dinero. El motivo del ingreso, según el falso mensaje, era para hacer tratos con una multinacional asiática para la fabricación de una vacuna contra el covid-19. Los siguientes mensajes pidieron más transferencias hasta el punto de generar problemas de liquidez a la empresa. No fue hasta que el jefe financiero comentó personalmente con su jefe los problemas ocasionados por estas transferencias que los dos se dieron cuenta de la estafa. Una vez descubierta la suplantación comprobaron que la dirección de correo electrónico utilizada para la suplantación prácticamente no tenía diferencias con el correo corporativo original.
Otro caso se dio en la plataforma Snapchat. El jefe de recursos humanos recibió un correo falso, supuestamente enviado por el jefe de la empresa, en el que se le pedía información de nóminas de empleados. Aunque en un primer momento se envió esta información a los hackers rápidamente se dieron cuenta del engaño. Se ofreció un seguro y vigilancia a los empleados afectados para que no sufrieran ninguna consecuencia.
Prevención contra el whaling o fraude del CEO
Este tipo de ciberataque es muy sofisticado, sin embargo, en las empresas se pueden tomar medidas de protección para minimizar el whaling o su alcance, como:
Marcar los correos externos
Configurar el correo electrónico para que todos los correos que lleguen de fuera de la organización tengan una etiqueta indicando que vienen de fuera. En los ataques de whaling normalmente se intentan suplantar correos internos, por esta razón es importante marcar los correos externos. Si un correo supuestamente interno llega como externo ya tendremos el primer elemento de sospecha.
Implantar advertencias de enlaces sospechosos
Instalar software de protección contra el phishing que advierta de enlaces y urls sospechosos de ser fraudulentos. Esta advertencia puede ser clave para revelar una web falsa.
Nunca desvelar información personal en las redes.
Los hackers que organizan ataques de whaling hacen una investigación previa de las víctimas implicadas en el ataque. Por esta razón es importante mostrar la mínima información personal en internet, especialmente en las redes sociales.
Actuar con cautela ante mensajes no previstos
Se debe advertir a los empleados que, si reciben un mensaje no previsto o que pide algo fuera de lo normal se debe actuar con prudencia, comprobando por otros medios si realmente es verdad. Una llamada o una comunicación cara a cara pueden confirmarlo o desmentirlo.
Revisar las direcciones de correo electrónico
Las direcciones de correo suplantadas suelen ser muy parecidas a las originales. Para detectar el engaño es importante revisar la dirección desde donde llega el correo electrónico. La diferencia puede ser simplemente un punto o una letra.
Herramientas y formación, claves para la ciberseguridad
En ESCUDA como expertos en ciberseguridad, disponemos de recursos para implementar las herramientas necesarias para proteger tu empresa contra los ciberataques. Además, disponemos de servicios de formación que enseñan a los trabajadores a seguir hábitos ciberseguros. Si necesitas que te asesoremos, estaremos encantados en atenderte, tanto si nos contactas llamando al 931931848, como rellenando este formulario.
Fuentes: Europa Press, Kaspersky y Xataka
Más información:
Phishing: ¿cuáles son las empresas más suplantadas?
Concienciación en ciberseguridad de los empleados: un tema pendiente
10 terminos de ciberseguridad para empresas ¿Los conóces?
Puede que estos artículos te gusten
10 tips para actualizar el software… Hazlo por Ciberseguridad
Los dispositivos digitales y el software que usamos a diario están expuestos a fallos de seguridad. Esos fallos pueden ser usados por cibercriminales para tomar el control de un ordenador, de un equipo móvil o hasta de un reloj digital. Actualizar el software, clave...
Phishing: Ciberataque de suplantación de identidad por email y SMS
Hemos sido víctimas de phishing. ¿Qué hacemos? El phishing consiste en el envío de un SMS o un mail fraudulento, destinado a engañar a la víctima, para animarla a comunicar datos personales y/o bancarios, haciéndose pasar por un tercero de confianza. ¿Qué hacer...