Un ataque de whaling es una técnica de ingeniería social que emplea correos electrónicos fraudulentos que imitan mensajes de directivos superiores dirigidos a ejecutivos de alto rango. Como tal, es un tipo de phishing ejecutivo, similar al spear phishing. Sin embargo, el whaling está orientado a un empleado específico de alto perfil.
¿Qué es el whaling?
Un ataque de whaling es un tipo de ataque de phishing en el que se suelen emplear correos electrónicos fraudulentos dirigidos a ejecutivos o gerentes. La técnica es similar, pero el “pez” es más grande. En tanto que las estafas de phishing se envían de manera masiva, los ataque de whaling se enfocan en individuos considerados “ballenas” (en español diríamos “peces gordos”) debido a su alto rango en una organización valiosa (como director general o ejecutivos de alto nivel).
Al suplantar la identidad del director general (CEO) o de un ejecutivo de alto nivel, los cibercriminales intentan convencer a sus víctimas para que ejecuten acciones desfavorables. Típicamente intentan obtener grandes transferencias bancarias, información delicada o insertar malware usando enlaces fraudulentos. Las últimas dos implican que esta técnica de ingeniería social puede tener consecuencias a largo plazo, porque los cibercriminales pueden lanzar más ataques con los datos obtenidos de un ataque de whaling.
¿Cómo identificar los ataques de whaling?
Identificar un ataque de whaling puede ser complicado. Los cibercriminales ponen mucho empeño en el diseño de estas estafas, porque los beneficios pueden ser sumamente jugosos. En el pasado han logrado engañar a muchos empleados altamente formados y han causado pérdidas sustanciales para sus compañías. Para evitar esto, las organizaciones con información delicada o un alto valor monetario deben mantener a sus empleados bien informados acerca de las tácticas de ingeniería social.
¿Cómo identificar un correo electrónico de un ataque de whaling?
Los correos electrónicos de whaling pueden exhibir estas características:
- Personalización: el correo electrónico enviado para iniciar un ataque de whaling seguramente incluirá información personalizada acerca del director general o alto ejecutivo suplantado, la víctima (un gerente u otro ejecutivo) o la organización para crear una sensación de familiaridad.
- Urgencia: las estafas de whaling transmiten una sensación de urgencia pueden lograr que la víctima actúe antes de pensar en las prácticas de seguridad. Los atacantes suelen intentar asustar a las víctimas suplantando a individuos muy poderosos (como el director general de la empresa o a ejecutivos de alto rango). Es muy difícil desobedecer a estas personas.
- Lenguaje empleado: con frecuencia se emplea un lenguaje y tono empresariales para convencer a la víctima de que el correo electrónico lo ha enviado una persona con un alto cargo. Los atacantes suelen usar un escenario en que le piden a la víctima que realice una acción relativamente inocua (como una transferencia rápida a un proveedor habitual) basada en una amenaza falsa. También pueden hacer hincapié en la confidencialidad, para que la víctima no hable acerca del correo electrónico que ha recibido. Así nadie puede descubrir que se trata de un ataque de whaling.
- Firma legítima: los atacantes pueden usar elementos creíbles, como una dirección de correo electrónico, una firma y un enlace que lleve a una página web fraudulenta. Le mostraremos cómo reconocer todas estas características más adelante en el artículo.
- Archivos y enlaces: los cibercriminales pueden usar archivos adjuntos o enlaces para insertar malware o solicitar información sensible. Incluso si no ocurre nada cuando el gerente objetivo clica en un enlace o envía información en su página web, esto podría activar una descarga de malware oculta.
Ejemplos de ataques de whaling
- Desde “dentro” de la compañía
En 2016, un alto ejecutivo financiero de Mattel recibió un correo electrónico fraudulento de una persona que se hacía pasar por el nuevo director general (CEO). El mensaje contenía una solicitud habitual de transferencia para hacer un pago a un nuevo proveedor en China. Después de que la víctima cayó en la trampa, la empresa perdió 3 millones de USD. Lograron recuperar todo el dinero después de una penosa lucha.
- De un ente externo
La siguiente estafa de correo electrónico logró engañar a un puñado de ejecutivos de diversos sectores. El cibercriminal envió un correo electrónico falso a nombre de un Tribunal de Distrito de los Estados Unidos con un auto de comparecencia para presentarse ante un jurado en un caso civil. Los correos electrónicos incluían los nombres, compañías y números de teléfono de los ejecutivos, logrando convencerlos de que era una comunicación oficial. Cuando hacían clic en el auto de comparecencia, recibían malware.
- Con llamadas telefónicas
El National Cyber Security Centre (NCSC, en español: “Centro Nacional de Ciberseguridad”) del Reino Unido confirma que algunos correos electrónicos de ataques de whaling fueron respaldados por llamadas telefónicas realizadas por los perpetradores. Un truco tan sencillo como este puede darle a la estafa toda la credibilidad necesaria para su ejecución. Afortunadamente, existen maneras de evitarlas.
¿Cómo protegerse de un ataque de whaling?
Además de hacerles perder dinero o datos, los ataques de whaling pueden afectar la reputación de la víctima y su organización. Algunas compañías han despedido a algunos de sus empleados porque han resultado víctimas de tácticas de ingeniería social. Por ejemplo, FACC despidió a su director general (CEO) por este motivo. Desafortunadamente, según HP, estos tipos de ataques a la ciberseguridad se incrementan todos los años y también la cantidad de víctimas que se cobran.
Para no pasar a engrosar las estadísticas de las víctimas de los ataques de whaling, ofrecemos los siguientes consejos:
Estar consciente
Existen diversos tipos de ataques de whaling, y pueden ser difíciles de indentificar. Al recibir una cierta solicitud, recuerde:
- Compruebe cuidadosamente el correo electrónico del remitente si este proviene de un colega, especialmente si este colega ostenta un alto rango en la organización. Cuando el correo electrónico provenga de un ente externo, verifique cuál es la dirección de correo electrónico auténtica de esta compañía y compárela con aquella desde la que se envió el correo.
- Compruebe si el dominio del enlace corresponde con el nombre de dominio de la empresa de la cual debe enviarse. Si son diferentes, aunque sea un poco, esto probablemente significa que es un correo electrónico falso el cual está intentando ser colocado como un correo electrónico de esta compañía. Si este es el caso, seguramente habrá una página web fraudulenta asociada a la que debe evitar conectarse. Coloque el cursor sobre el enlace incrustado. El nombre del dominio asociado debería aparecer en la parte inferior derecha de su navegador, para que usted pueda compararla con el nombre de dominio de esta compañía.
- Verifique la antigüedad del dominio de la página web sospechosa para ver si conicide con la de la confiable. Si el dominio sospechoso es más reciente, entonces no será confiable.
- Cuestiónese la validez de cualquier solicitud de dinero o información delicada, incluso si proviene de uno de sus gerentes. En caso de duda, no dude en contactarlo directamente por teléfono para obtener confirmación.
Conocer el poder de las redes sociales
Cualquier cosa que se haya publicado en línea puede usarse en su contra. Un correo electrónico de un ataque de whaling podría personalizarse con fotos, nombres, fechas y muchos otros datos publicados en redes sociales. Los ciberatacantes también suelen publicar contenidos que han sido publicados después de conferencias o eventos de la empresa, lo que significa que los empleados deben estar muy atentos a potenciales estafas después de participar en estas, porque es posible que los perpetradores las utilicen en su provecho.
Una buena práctica consiste en configurar las cuentas personales de redes sociales como “privadas”. Sin embargo, esto no proteje totalmete contra contenidos publicados por los canales públicos de la compañía (boletines, redes sociales, páginas web, etc.) El siguiente consejo podría ayudarle con este problema.
Adoptar políticas de protección de datos para la compañía en pleno
Un entendimiento común de qué tipo de información es posible compartir públicamente evita que los ciberatacantes la usen. Al establecer buenas prácticas de ciberseguridad en su organización, usted podrá desarrollar un sentido de responsabilidad y rendición de cuentas entre sus equipos. Por lo tanto, estas políticas puede proteger a su empresa contra ataques de whaling o incluso de spear phishing, ahorrándole pérdidas sustanciales.
Algunas políticas de protección de datos que las compañías adoptan contra los ataques de whaling son:
- Marcar los correos electrónicos externos: facilita la identificación de estafas de correo electrónico que simulan haber sido enviadas por colegas, gerentes u otros ejecutivos de alto rango.
- Verificar las solicitudes: al recibir solicitudes particulares o urgentes del correo electrónico de un gerente o un ejecutivo de alto rango, es buena idea confirmar quién es la persona que realmente las está enviando. Hablar en persona, mediante un mensaje o una llamada puede garantizarle que no es una estafa.
- Verificación de múltiples pasos: cualquier solicitud de transferencia bancaria o de información delicada debe pasar por diversas comprobaciones con diferentes personas antes de realizarse. Por ejemplo, el que tengan que ser dos personas quienes firmen las transferencias de dinero de alto valor es un paso sencillo que ayuda muchísimo. También disminuye el factor miedo de ser el único empleado responsable por estas transacciones, lo que permite una mayor claridad al tomar decisiones importantes.
Herramientas y cursos contra la ingeniería social
Los estafadores siempre estarán un paso por delante de las restricciones que enfrentan. Usar herramientas y cursos de ciberseguridad puede ayudarle a identificar patrones y a evitar los ataques de whaling tanto como sea posible. Por ejemplo, una buena práctica podría ser que el departamento de TI enviase ataques de whaling falsos a los equipos de la compañía. Al poner a prueba sus reacciones y ofrecerles consejo en los comentarios posteriores a esta simulación, la compañía puede formar a sus empleados para que estos adopten un comportamiento más seguro.
En términos de las herramientas, hay software antiphishing que puede reconocer los enlaces malintencionados y las descargas de malware. Siendo proveedores de correo electrónico privado y seguro, Mailfence puede mantener a raya al correo no deseado, anuncios, rastreadores, hackers y otros entes indeseables. Estas herramientas pueden brindarles tranquilidad a los usuarios respecto a los trucos que emplean los perpetradores de ingeniería social.
¿Qué hacer si resulta víctima de un ataque de whaling?
Si ha sido víctima del whaling o cualquier otro tipo de ataque de ingeniería social y/o su correo electrónico ha sido hackeado, lea nuestro artículo acerca de los pasos a seguir si le hackean su correo electrónico. Explica cómo controlar los daños, reportarlos y evitar futuros ataques de pirateo.
Si estaba utilizando un dispositivo o cuenta del trabajo, comuníquese con su supervisor y el departamento de TI lo más pronto posible. Entonces podrán alertar a otros empleados y garantizar que todo permanezca seguro. Además, mientras más pronto reporte el incidente, menos tiempo tendrán los atacantes para empeorar los daños causados. Su organización puede trazar un plan de comunicaciones integral que implique a todas las partes afectadas de manera temprana.
¿Cómo evitar otros tipos de ingeniería social?
La mejor manera de evitar ataques de ingeniería social es informarse. Para estos fines, Mailfence ha creado un curso de seguridad y privacidad para correo electrónico gratuito y fácil de seguir.
El curso ayuda a los usuarios a comprender su perfil de amenazas para saber qué consejos necesitan. Basándose en esto, una serie de artículos de Mailfence comparten conocimientos acerca de los diferentes niveles de seguridad contra las ciberamenazas que se encuentran en los correos electrónicos.
Consulte este artículo sobre cómo evitar esquemas de ingeniería social.
Para más información acerca del paquete de correo electrónico seguro de Mailfence, no dude en contactarnos a support@mailfence.com