Ataques de whaling - Phishing dirigido a ejecutivos
Lectura de 2 min aprox.
El whaling es un ataque de phishing dirigido a personas con un alto nivel de autoridad dentro de una organización, como ejecutivos y miembros de la junta directiva. El nombre proviene de la idea de «ir tras el pez grande (whale)». En comparación con el phishing común, se prepara con mucho más cuidado: tras investigar las responsabilidades laborales y las relaciones del objetivo, los atacantes envían correos fraudulentos sumamente convincentes.
Casos de uso reales
«Sufrimos un ataque de whaling en el que un correo que suplantaba al CEO ordenaba al jefe de contabilidad hacer una transferencia urgente de 30 millones de yenes. Nuestra norma de verificar la identidad por teléfono justo antes de cualquier transferencia funcionó, y evitamos el daño antes de que ocurriera.»
Cómo funciona el whaling
Entre las tácticas típicas se incluyen una solicitud de transferencia que suplanta al CEO de un socio comercial, una exigencia de documentos confidenciales que suplanta a un abogado y una petición de información que suplanta a las autoridades fiscales. Como los ejecutivos están muy ocupados, pueden responder sin verificar lo suficiente si un correo es auténtico. Según informes del FBI, el daño total causado por el BEC (fraude del correo corporativo) superaba los 2.900 millones de dólares estadounidenses anuales en 2024, y en algunos casos la pérdida por incidente va de decenas a cientos de millones de yenes. Entre 2024 y 2025 también se han reportado tácticas que imitan la voz de un directivo mediante síntesis de voz.libros sobre el fraude del correo corporativo (Amazon) ofrecen casos de estudio y contramedidas de las que aprender.
La diferencia con el spear phishing
Mientras que el spear phishing es un término general para los ataques dirigidos contra individuos u organizaciones concretos, el whaling es un ataque que se centra especialmente en ejecutivos y personas con alta autoridad de decisión. En el spear phishing, los objetivos principales son adjuntar malware o robar credenciales de inicio de sesión, pero en el whaling hay muchos casos que exigen instrucciones de transferencia directas o la divulgación de información confidencial, lo que hace que la pérdida por incidente sea muchísimo mayor. Es el área a la que debe darse máxima prioridad entre las contramedidas contra la ingeniería social.
Contramedidas
Establece contraseñas aleatorias especialmente fuertes para las cuentas de los ejecutivos y activa siempre la autenticación multifactor. Es importante establecer una norma según la cual las transferencias y la divulgación de información confidencial se confirmen por canales distintos del correo electrónico (teléfono, en persona). La formación en seguridad para ejecutivos también es eficaz: las empresas que realizan con regularidad simulacros basados en correos de ataque reales han visto caer notablemente su tasa de víctimas. Asegúrate de revisar también los fundamentos de la protección contra el phishing.libros sobre defensa contra la ingeniería social (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?