Ataques de Whaling: Cómo los estafadores atacan a los altos ejecutivos

Imagine que recibe un correo electrónico urgente de su director general, dándole instrucciones para que autorice una transferencia bancaria de gran valor. Todo parece legítimo, pero sólo hay un problema: es una estafa. Más concretamente, ¡usted es el blanco de un ataque de whaling!

Y aunque los ataques de whaling no son nuevos, su sofisticación ha crecido exponencialmente con el auge de la IA.

En esta guía, desglosaremos:

• Qué es un ataque ballenero, o whaling.
• Cómo funcionan los ataques de whaling.
• Casos reales de empresas que han perdido millones.
• Nuestros mejores consejos para detectar y prevenir los ataques de whaling.

¿Cómo es un ataque de whaling?

Entonces, ¿qué es un ataque de whaling? (también conocido como ataque ballenero o caza de ballenas)

Un ataque de whaling es una forma de ataque de phishing que suele utilizar correos electrónicos fraudulentos que provienen y/o se dirigen a ejecutivos o directivos.

Más concretamente, es una forma de spear phishing, es decir, un ataque de phishing dirigido a un individuo concreto. Sólo que en este caso, el objetivo es una «ballena», término derivado de la industria de los juegos de azar, donde a los grandes apostadores se les llama «ballenas»:

He aquí un escenario:

1. Juana Pérez, directora financiera de una empresa tecnológica de rápido crecimiento, comprueba su bandeja de entrada el lunes por la mañana. Ve un correo electrónico de su director general marcado como «Urgente», con el asunto «Se requiere transferencia bancaria confidencial».
   
2. En el correo electrónico, su (supuesto) director general le informa de que están «ultimando una adquisición crítica y necesitan que transfiera 500.000 dólares al equipo jurídico inmediatamente». También se le informa de que «el acuerdo es altamente confidencial, no lo comentes con nadie. Transfiere los fondos a la cuenta que figura más abajo y envíame la confirmación lo antes posible».
   
3. Jane duda, pero todo parece legítimo: la firma del correo electrónico, el logotipo de la empresa, el tono de voz. Incluso la dirección del remitente es correcta. Inicia la transferencia…
   
4. Más tarde llama a su director general para confirmar que la transacción se ha realizado. Es entonces cuando se entera de que acaba de cometer un terrible error… Cuando el departamento de TI puede investigar, los fondos ya se han transferido a una cuenta en el extranjero imposible de rastrear. La empresa acaba de ser víctima de un ataque de whaling.

Los ataques de whaling se basan en muchas de las mismas tácticas de ingeniería social que los ataques de phishing:

• Confianza: Los atacantes imitarán los códigos de comunicación de la empresa, incluidos logotipos, fuentes, estilo de escritura, etc.
  
• Acatamiento de la autoridad: Como humanos, estamos naturalmente inclinados a obedecer a las figuras de autoridad.
  
• Sensación de urgencia/peligro: La gente suele perder todo pensamiento racional cuando se enfrenta a una repentina sensación de pánico o urgencia. Los agresores aprovechan esta situación para conseguir sus objetivos.

Haciéndose pasar por un CEO o un ejecutivo de alto nivel, los ciberdelincuentes utilizan estas tres tácticas para engañar a sus víctimas. Normalmente intentan conseguir grandes transferencias bancarias e información sensible, o insertar malware con enlaces fraudulentos.

Casos reales de ataques de whaling

Ahora que hemos visto un ejemplo teórico, examinemos algunos casos reales de ataques de whaling y lo que podemos aprender de ellos.

El fraude del CEO de FACC

En 2016, FACC, un fabricante aeroespacial austriaco, fue víctima de un ataque de whaling que costó a la empresa 40 millones de dólares.

En este ataque a gran escala, los ciberdelincuentes se hicieron pasar por el director general, Walter Stephan, y enviaron un correo electrónico al departamento financiero de la empresa solicitando una transferencia urgente para un «proyecto empresarial secreto».

Creyendo que la solicitud era legítima, el equipo financiero autorizó la transacción. Cuando se descubrió el fraude, los fondos se habían transferido a cuentas bancarias extranjeras y habían desaparecido. Por suerte, se recuperaron unos 10 millones de dólares. Pero otros 40 millones desaparecieron para siempre.

Este ataque de whaling fue una aplicación clásica de varias tácticas de ingeniería social:

• Suplantación de correo electrónico: Los atacantes utilizaron un dominio de correo electrónico falso muy parecido al de la empresa. A continuación, investigaron el estilo de escritura y el tono de voz del director general para que el correo electrónico pareciera auténtico.
  
• Urgencia: El correo electrónico hacía hincapié en el carácter urgente de la operación y en que el empleado debía actuar con rapidez.
  
• Autoridad: El correo electrónico se hacía pasar directamente por el director general, lo que añadía una capa de credibilidad al ataque.

Para saber más sobre este caso, consulte este artículo de prensa.

Google y Facebook pierden 100 millones de dólares

En 2019, un hacker llamado Evaldas Rimasauskas fue condenado a 5 años de prisión por uno de los mayores ataques de whaling de la historia.

Entre 2013 y 2015, ejecutó una de las estafas más sofisticadas de la historia: robó una suma combinada de 100 millones de dólares a Google y Facebook.

En la estafa, Rimasauskas creaba correos electrónicos convincentes utilizando cuentas de correo falsas, haciéndose pasar por proveedor de Facebook y Google. Estos correos electrónicos de phishing incluían facturas falsas por importes multimillonarios, que los empleados tenían por costumbre procesar.

Al final, engañaron a los empleados para que transfirieran más de 100 millones de dólares antes de darse cuenta de que algo iba mal. Este ataque destaca dos técnicas específicas utilizadas por los estafadores:

• Esquema de vendedor falso: Los atacantes investigan la cadena de suministro de una empresa para hacerse pasar por una empresa real, añadiendo una capa de autenticidad a su ataque;
  
• Falsificación sofisticada: Los documentos falsos eran muy convincentes e incluían facturas falsas, contratos falsos, sellos y firmas corporativas de aspecto oficial y mucho más.

Puede obtener más información sobre este caso en el comunicado de prensa del Departamento de Justicia de EEUU aquí.

La estafa del CEO con Deepfake

En 2019, el mundo fue testigo de uno de los primeros ataques de whaling asistidos por IA. Una empresa energética con sede en el Reino Unido perdió 220.000 euros (243.000 dólares) después de que unos ciberdelincuentes utilizaran audio deepfake generado por IA para hacerse pasar por el director general de la empresa.

Un empleado recibió una llamada que sonaba exactamente como la de su director general, dándole instrucciones para que girara dinero a un «proveedor».

El empleado siguió las instrucciones, sólo para darse cuenta más tarde de que la voz se había generado artificialmente utilizando tecnología deepfake. Para entonces, los fondos ya habían desaparecido en una cuenta húngara, y nunca más se los volvió a ver.

La llamada parecía proceder de un número de una empresa conocida, lo que añadía legitimidad a este ataque ballenero. Los atacantes incluso hicieron un seguimiento con correos electrónicos falsos que confirmaban las transacciones. Puede obtener más información sobre este caso aquí.

Este caso marcó un giro para los ataques de whaling: la integración de la IA. Más sobre esto en la siguiente sección…

El auge de la IA en los ataques de whaling

La aparición de la IA ha revolucionado los ataques de ingeniería social, y esto incluye los ataques de whaling.

En particular, gracias a la IA, los ataques de whaling se han vuelto más convincentes, escalables y difíciles de detectar que nunca.

Exploremos con más detalle las distintas formas en que la IA está ayudando a los estafadores a elaborar ataques más sofisticados.

Clonación de voz con IA

Una de las aplicaciones más alarmantes de la IA en la caza de ballenas es la clonación de voz deepfake, en la que los atacantes utilizan la IA para replicar la voz de un director general o alto ejecutivo.

Gracias a la IA, los atacantes pueden generar clones de voz realistas con muestras de la voz de un objetivo.

Estas muestras pueden tomarse de entrevistas públicas, llamadas telefónicas filtradas o incluso simplemente de las redes sociales. Y lo que es más importante, gracias al software basado en IA, como VALL-E o ElevenLabs, ¡los estafadores sólo necesitan unos minutos de audio para replicar una voz de forma realista!

Los clones de voz pueden utilizarse en tiempo real para hacerse pasar por un director general o un director financiero e indicar a un empleado que realice una transferencia bancaria.

Vídeos Deepfake

¿El siguiente paso tras la clonación de la voz? ¡La clonación facial!

En lo que ahora se conoce comúnmente como «deepfakes», los estafadores pueden replicar la apariencia física a través de secuencias altamente realistas, generadas por IA, de ejecutivos hablando en videollamadas.

Cuando se hacen correctamente, estos deepfakes se han vuelto casi indistinguibles de los vídeos auténticos. Y la tecnología no ha hecho más que empezar… Ahora los atacantes pueden insertar a un falso director general en una llamada de Zoom o Microsoft Teams, donde el «director general» ordena personalmente a los empleados que realicen pagos o compartan datos confidenciales. Los empleados, al ver una cara de confianza, obedecen sin sospechar.

En 2024, este tipo de ataque ballenero cobró notoriedad con el deepfake de un director financiero con sede en Hong Kong, que provocó la pérdida de 25 millones de dólares.

Suplantación de sitios web con IA

Los sitios de phishing tradicionales a menudo presentaban signos reveladores: errores tipográficos, mal formato o URL sospechosas.

La IA ha cambiado eso. Los algoritmos de aprendizaje automático ahora pueden generar clones casi perfectos de sitios web corporativos para engañar a los empleados para que introduzcan credenciales o aprueben transacciones.

Los atacantes utilizan ahora rastreadores web de IA para hacer «scraping» de sitios web reales y recrearlos píxel a píxel. Las técnicas de suplantación de dominios crean URL parecidas (por ejemplo, maifence.com en lugar de mailfence.com). Los chatbots de IA pueden incluso simular agentes reales de atención al cliente para crear credibilidad.

Estafas por correo electrónico basadas en IA

En el pasado, los correos electrónicos de ataques de whaling solían contener errores gramaticales, lo que facilitaba su detección.

Hoy en día, las herramientas de generación de texto basadas en IA (como ChatGPT, Jasper AI y WormGPT) permiten a los atacantes elaborar correos electrónicos impecables y altamente personalizados que imitan el estilo y el tono de escritura de un ejecutivo.

Lo único que necesitan los atacantes es acceder a correos electrónicos anteriores para entrenar sus modelos de IA. La IA puede entonces escribir en el estilo del director general, haciendo que el correo electrónico sea muy convincente.

¿Cómo identificar los ataques de whaling?

Gracias (o más bien debido) a la IA, los ataques balleneros son más difíciles de detectar que nunca.

Sin embargo, éstas son las señales que debe buscar si sospecha:

• Personalización: Lo más probable es que el correo electrónico enviado para iniciar el ataque de suplantación incluya información personalizada sobre el director general o alto ejecutivo suplantado, la víctima (un directivo u otro ejecutivo) o la organización para crear una sensación de familiaridad.

• Urgencia: Los correos electrónicos de estafas que transmiten urgencia pueden conseguir que la víctima actúe antes de pensar en las prácticas de seguridad. Los atacantes suelen intentar asustar a las víctimas utilizando personajes poderosos (CEO, ejecutivos de alto nivel). Esas personas son difíciles de desobedecer.

• El lenguaje: El lenguaje y el tono empresarial se utilizan a menudo para convencer a la víctima de que el correo electrónico ha sido enviado por una persona de alto rango. Los atacantes suelen utilizar un escenario en el que piden a la víctima que realice una acción de poco esfuerzo (como una transferencia rápida de dinero a un socio proveedor) basándose en una amenaza falsa. También pueden hacer hincapié en la confidencialidad, para que la víctima evite hablar del correo electrónico que ha recibido. De este modo, nadie puede decirles que ese correo electrónico es un ataque de whaling.

• Firma legítima: Los atacantes pueden utilizar una dirección de correo electrónico creíble, una firma y un enlace que lleve a un sitio web fraudulento. Le mostraremos cómo reconocerlos más adelante en este artículo.

• Archivos y enlaces: Los ciberdelincuentes pueden utilizar archivos adjuntos o enlaces para insertar malware o solicitar información sensible. Aunque no ocurra nada cuando el destinatario haga clic en un enlace o envíe información en su sitio web, podría desencadenar una descarga oculta de malware.

¿Cómo prevenir los ataques de whaling?

¿No quieres convertirte en otra estadística de un informe sobre ataques de whaling? Entonces siga estos pasos:

• Compruebe dos veces el correo electrónico del remitente si se lo envía un colega, sobre todo si se trata de un alto ejecutivo de su organización. Cuando el correo electrónico proceda de un tercero, busque la dirección de correo electrónico auténtica de esta empresa y compárelas;
  
• Pase el ratón por encima de cualquier enlace incrustado para comprobar la autenticidad del sitio web. ¿Hay algún error tipográfico en el dominio del sitio web, o le está redirigiendo a algún otro sitio web? Entonces debe evitar hacer clic en el enlace;
  
• Cuestione la validez de cualquier solicitud de dinero o información delicada, aunque proceda de uno de sus directivos. En caso de duda, póngase en contacto directamente con ellos por teléfono para obtener su confirmación;
  
• Conozca el poder de las redes sociales. Cualquier cosa que publique en Internet puede ser utilizada en su contra, ya sea para clonar voces o hacer deepfakes. Los atacantes también pueden utilizar nombres, fechas y lugares de los que ha hablado en Internet para hacer más creíbles sus ataques. Como regla general, configure sus cuentas de redes sociales como privadas.

Reflexiones finales sobre los ataques de whaling

La IA está redefiniendo la escala y sofisticación de los ataques balleneros. Pronto, deberíamos esperar que la clonación de voz y los deepfakes sean indistinguibles de la realidad.

Entonces, ¿qué hacer si no se puede distinguir la falsedad de la realidad? Comprobar dos veces antes de actuar.

¿Le parece sospechoso un correo electrónico? ¿O una llamada telefónica suena un poco… rara? Haga preguntas de sondeo, algo que sólo la persona real pueda responder. Y en caso de duda, no responda al correo electrónico ni cuelgue el teléfono. Compruébelo con su departamento informático, y vuelva a comprobarlo llamando directamente a la persona en cuestión. Estas son sus mejores líneas de defensa contra los ataques de whaling.

Si quiere llevar su ciberseguridad más allá, entonces su primer paso debería ser conseguir un proveedor de correo electrónico privado y seguro. En Mailfence estamos orgullosos de ofrecer:

• Herramientas avanzadas de seguridad: cifrado de extremo a extremo, cifrado simétrico, firmas digitales y mucho más.
• Sin seguimiento ni publicidad. No utilizamos ningún rastreador publicitario o de marketing de terceros. No rastreamos su actividad en la aplicación. Mailfence está completamente libre de anuncios.
• Leyes de privacidad estrictas. Los servidores de Mailfence tienen su sede en Bélgica, donde existen leyes estrictas que protegen la privacidad. Sólo una orden judicial belga válida puede obligarnos a divulgar datos.

¿Le interesaría llevar su privacidad y ciberseguridad al siguiente nivel? ¡Cree su cuenta gratuita hoy mismo!