Qué es el whaling
El whaling es una forma de phishing concreta, que recibe su nombre por provenir de whale, que significa ballena en inglés. Define una forma específica de ataque cibernético, que se suele dirigir normalmente a una persona con un puesto elevado en una organización o una empresa de gran valor. No se dirigen muchos ataques a diferentes objetivos, sino que el hacker busca “atrapar a la ballena”. Es decir, a la persona que tenga más influencia y, por tanto, que pueda tener acceso a información sensible privilegiada.
Su objetivo es sencillo: tener acceso a esta información confidencial, o a programas que puedan influir en la organización, e incluso causar daño a la empresa mediante la manipulación de estas personas. Al atacar de forma directa a quien se considera autoridad de la empresa, buscan socavar su confianza y, posteriormente, llevar a cabo todos los objetivos maliciosos que se hayan planteado.
Cómo funciona
Un ataque cibernético de este estilo requiere que el hacker haga previamente una investigación profunda de su ballena. No solo de la persona en sí, sino también de todos los procesos comerciales o bancarios que realiza. Todo esto requiere mucho tiempo, pero el atacante sabe que le merecerá la pena si finalmente logra su objetivo. En realidad, el whaling requiere implementar una gran cantidad de técnicas y, a la par, tener conocimientos tanto de ingeniería social como de ingeniería cibernética. Para que te hagas una idea más precisa, te vamos a mostrar todos los pasos a continuación:
- Lo primero que el atacante debe hacer es señalar a su ballena, e investigarla de forma precisa. Recopilar toda la información posible, tanto a nivel laboral como personal.
- Tras esto, comienza a enviar mensajes engañosos y fraudulentos. Lo normal es que sean correos electrónicos o mensajes de texto, así como llamadas de teléfono. Es más, puede que incluso lleguen a suplantar la identidad de personas de confianza del sujeto, ya sean compañeros de trabajo o personas de su familia.
- Una vez haya conseguido engañar o manipular al sujeto, este llevará a cabo una acción concreta que le hayan pedido. Como, por ejemplo, realizar una transferencia… O hacer clic en un enlace que sea, en realidad, malicioso.
- Tras esto, llega el ataque final. El hacker por fin tiene acceso a toda la información que deseaba, tras haber manipulado de forma emocional y psicológica a su víctima.
La clave de este tipo de ataques es que los ciberdelincuentes saben exactamente qué decir, cómo engañar y cómo conseguir que su víctima haga lo que ellos desean. Y es justo ahí donde la víctima hace lo que le piden, quizá acuciado por una sensación de urgencia.
Cómo detectar un ataque de whaling
Este tipo de ataques son complejos de detectar, especialmente si no se conocen o no se han vivido nunca. Si estás en posición de poder sufrirlo, hay ciertas cosas que debes tener en cuenta y ante las que debes mostrarte alerta.
En primer lugar, si recibes un mensaje que tiene una solicitud que te parece curiosa, sobre todo por la persona que la envía, debes comenzar a sospechar. Te recomendamos acudir directamente a la fuente mediante cualquier método de contacto, sobre todo si es un familiar o una persona cercana. Además, debes revisar bien el mensaje que has recibido, y ver si tiene errores tanto gramaticales como ortográficos. En este caso, la calidad del lenguaje puede marcar la diferencia.
Es imprescindible que verifiques siempre tanto la dirección de correo electrónico como el número de teléfono de la persona que te ha enviado el mensaje. Y que no te dejes llevar por esa sensación de urgencia que suelen transmitir, puesto que juegan precisamente con esto para que piques el anzuelo. Por ejemplo, pidiéndote una transferencia bancaria aludiendo que es un familiar tuyo que lo necesita de forma instantánea. Recapacita dos minutos, y analiza la situación al completo, puesto que solo así sabrás si realmente estás ante una solicitud real o ante un caso de whaling.
Cómo defenderse de ataques de whaling
Para defenderte de un ciberataque como este, lo más importante es ser conocedor de que existen y de cuáles son las técnicas de los hackers que los realizan. No solo debes formarte tú, sino también asegurarte de que todos tus empleados los conocen. Además, sería interesante establecer procedimientos para verificar siempre la identidad de aquellas personas que te solicitan información o transferencias bancarias. Como, por ejemplo, usar contraseñas o preguntas de seguridad.
Cómo no, te recomendamos que instales filtros de seguridad en tu correo electrónico. Y que te ayudes de herramientas de monitorización del comportamiento que te ayuden a detectar actividades anómalas.
Junto a esto, es primordial que mantengas siempre tu software actualizado, para así estar al día y mantenerte protegido de todas las vulnerabilidades que conozcas. Y, por último, establecer procesos de autorización para cualquier tipo de actividad financiera.
Diferencias entre phishing vs spear phishing vs whaling
En ocasiones, el whaling puede llegar a confundirse con el phishing o con el conocido como spear phishing. Para que no caigas en ese error, te vamos a dar las claves para distinguirlos:
- El whaling es, como hemos señalado, el tipo de ataque más específico y peligroso, puesto que se centra en objetivos considerados de alto valor en una empresa.
- El phishing, por otro lado, es mucho más genérico. En ocasiones, los atacantes envían correos electrónicos masivos, buscando que cualquiera pique el anzuelo.
- Por último, el spear phishing es más selectivo que el anterior, puesto que se dirige de forma concreta a un grupo de personas.
Ejemplos de whaling
No hay nada como ver ejemplos claros para comprender este tipo de ataque. Por ejemplo, el que se hace pasar por un CEO falso de la empresa y envía un correo electrónico malicioso a un empleado. En este correo puede instarle a abonar unas cuentas que quedan por pagar, quizá solicitando de forma presurosa que se haga una transferencia. Si el empleado no revisa la dirección, o no se asegura de la fiabilidad de esta, podría pecar de ingenuo y perder dinero.
Otro de los más habituales es el mensaje a un CEO por parte de un supuesto abogado. Este puede llegar a pedirle diferentes cosas: información confidencial para gestionar un caso, o una transferencia para continuar con una gestión… Y, si no se corrobora, puede acabar dando problemas. Lo mejor con este tipo de ataques es prevenir de la mejor manera posible, revisar la información y las peticiones, y ayudarte de herramientas de detección de malware.
