¿Qué es un ataque de suplantación de identidad (whale phishing)?

El whaling es un tipo sofisticado de ataque de spear-phishing en el que los actores de amenazas se dirigen directamente a los actores de alto nivel de una organización o se hacen pasar por ellos para engañar a otros.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES FOR FREE

También para Windows, iOS, Android, Chromebook y Para empresas

¿Qué es la caza de ballenas?

El whaling es un tipo sofisticado de ataque de spear phishing en el que los actores de la amenaza se dirigen directamente a los actores de alto nivel de una organización o se hacen pasar por ellos para engañar a otros. Un ejemplo común es dirigirse al CEO de una empresa o hacerse pasar por él para engañar a otros componentes de la organización ( essential ), como directores financieros, departamentos de nóminas, equipos de seguridad o portavoces.

Los ciberdelincuentes pueden utilizar complejas estrategias de ingeniería social para ejecutar con éxito los ataques de ballenas porque saben que los líderes de las organizaciones modernas emplean diversas estrategias y herramientas de mitigación del phishing. Desafortunadamente, puede ser difícil atrapar a los atacantes porque a menudo enmascaran sus ubicaciones y ocultan sus huellas digitales.

¿Qué es el whaling frente al phishing? 

Antes de profundizar en qué es el whaling o cómo funcionan los ataques de este tipo, probablemente deberíamos responder a la pregunta más frecuente: ¿qué es el phishing en ciberseguridad? En pocas palabras, phishing es cuando los actores de amenazas se presentan falsamente como partes de confianza para ganarse la confianza de una víctima y robarle su dinero o información sensible. Contrariamente a la creencia popular, los ataques de phishing no se limitan a los correos electrónicos. Por ejemplo, los ataques de phishing que utilizan mensajes de texto se denominan smishing, y los ataques de phishing que utilizan comunicaciones de voz se denominan vishing.

Los correos electrónicos de phishing suelen dirigirse a muchos usuarios de Internet y son más fáciles de detectar porque los actores de las amenazas los diseñan para un público masivo. De hecho, envían miles de millones de correos electrónicos de phishing cada día. Sin embargo, los ataques de phishing también pueden ser más selectivos. 

¿Qué es un ataque de spear-phishing?

Un ataque de spear-phishing es un tipo de ataque de phishing más selectivo en el que los actores de la amenaza adaptan los correos electrónicos para atacar a un grupo específico de personas, como los empleados de un departamento financiero. Pueden recopilar datos de spyware o fuentes de Internet, como páginas de redes sociales, para recopilar nombres, cargos, direcciones de correo electrónico, etc. para diseñar un ataque de spear-phishing persuasivo. Tácticas similares pueden ayudar a los hackers a lanzar ataques de whaling.

¿Por qué se llama ataque ballenero?

Los términos phishing, spear-phishing y whaling son análogos a la pesca. Mientras que los pescadores lanzan al agua un sedal con cebo con la esperanza de capturar uno de los muchos peces que hay en el mar, un pirata informático envía correos electrónicos de phishing a muchas personas con la esperanza de capturar al menos una víctima. Del mismo modo, al igual que algunos expertos en pesca utilizan arpones para cazar peces individuales, los actores de amenazas utilizan el phishing con arpón para objetivos específicos.

En cuanto a las ballenas, estos mamíferos son los peces más grandes del mar y un objetivo de gran valor para algunos pescadores. Del mismo modo, los ataques balleneros en ciberseguridad también apuntan a objetivos lucrativos como los ejecutivos de una empresa.

¿Cómo funciona un ataque ballenero?

Dado que los objetivos de alto nivel desconfían de los ataques de phishing, los hackers utilizan diversas estrategias para que su campaña de whaling tenga éxito. Por ejemplo, pueden aprovechar la página de LinkedIn de un ejecutivo para dar a su campaña un toque personal. De hecho, las brechas de seguridad son la razón por la que quizás no deberías usar LinkedIn en absoluto. Un atacante también puede investigar la jerga del sector para parecer legítimo y explotar las emociones del objetivo ofreciéndole una lucrativa oportunidad de negocio. Después de completar la fase de recopilación de inteligencia, pueden utilizar los siguientes vectores de ataque de phishing de ballena:

  • Correos electrónicos: Como se mencionó anteriormente, los correos electrónicos adaptados para manipular a sus objetivos son un vector de ataque común y utilizan archivos adjuntos, enlaces o sitios web maliciosos.
  • Teléfono: El Centro Nacional Cibernético Security del Reino Unido señaló que los atacantes podrían utilizar correos electrónicos y llamadas telefónicas en una estrategia de 1-2 golpes en la que la llamada telefónica sigue al correo electrónico para reforzar el phishing.
  • Pretextos: Los estafadores pueden entablar amistad con un objetivo a través de las redes sociales haciéndose pasar por un posible socio comercial, un interés amoroso, un colega del sector o una figura de autoridad, como un funcionario de Hacienda.
  • Cebo: El atacante puede atraer a un objetivo para que utilice una unidad USB infectada de aspecto auténtico dejándola en su oficina, en la taquilla del gimnasio o enviándola por correo a su casa.

¿Cuál es el objetivo de los ataques balleneros?

  • Dinero: Los atacantes pueden utilizar el ataque de spear-phishing para engañar a las víctimas para que les envíen dinero a través de una transferencia bancaria o extorsionar a una organización después de la exfiltración de datos.
  • Control: Un hacker puede utilizar credenciales robadas para realizar movimientos laterales en la red de una organización o abrir puertas traseras.
  • Ataque a la cadena de suministro: Un ataque a la cadena de suministro se produce cuando los hackers atacan a las organizaciones vulnerando elementos vulnerables de su cadena de suministro. Con el phishing de ballena, un ciberdelincuente podría teóricamente atacar a un gobierno pirateando a su proveedor para realizar un ataque man-in-the-middle.
  • Espionaje corporativo: Con un ataque ballenero exitoso, un hacker puede robar propiedad intelectual u otros secretos comerciales para ayudar a sus competidores, a veces en otro país.
  • Malware: Una banda de ciberdelincuentes puede engañar a las víctimas de ataques balleneros para que instalen malware peligroso como ransomware, keyloggers o rootkits.
  • Vendetta personal: La víctima de un ataque ballenero puede sufrir una pérdida catastrófica de su reputación.

¿Cuál es un ejemplo de caza de ballenas?

A lo largo de los años se han producido muchos ataques de estafa, que algunos medios de comunicación también denominan estafas por correo electrónico a los directores generales. He aquí algunos ejemplos:

2015: Una filial de Hong Kong de la empresa inalámbrica Ubiquiti Networks Inc. sufrió una estafa de 46,7 millones de dólares después de que un correo electrónico falso engañara a un empleado de finanzas.

2015: Un ejecutivo financiero del gigante de la fabricación de juguetes Mattel transfirió 3 millones de dólares a un estafador tras recibir una solicitud fraudulenta que parecía ser del nuevo consejero delegado.

2016: Un fabricante aeroespacial austriaco llamado FACC despidió a su director general tras perder 58 millones de dólares en una estafa de correo electrónico con ballenas.

2016: Un empleado de RRHH de Snapchat filtró datos de las nóminas de los empleados tras una estafa por correo electrónico del CEO.

2017: Los hackers estafaron a un pequeño empresario 50.000 dólares en un ataque de hombre en el medio.

2020: Los ciberdelincuentes utilizaron un enlace malicioso para atacar con fraude al cofundador de un fondo de cobertura australiano, forzando el cierre del negocio.

¿Cómo prevenir los ataques balleneros?

Una organización puede reducir la amenaza de los ataques de suplantación de identidad aprendiendo a detectar los intentos de phishing de los piratas informáticos, por ejemplo comprobando la URL, la dirección de correo electrónico, los enlaces y los archivos adjuntos de un correo electrónico en busca de señales de alarma. Del mismo modo, el lenguaje, el tono y la gramática de un correo electrónico pueden delatarnos. Además de la formación contra el phishing, los ataques simulados también pueden mejorar las habilidades de detección de phishing de un equipo. Para mayor protección, las empresas deberían utilizar software de ciberseguridad que bloquee los vectores de ataque de phishing, como los sitios web fraudulentos.