Qué es un ataque de phishing por whaling y cómo prevenirlo

Comprensión del phising por whaling

¿Qué es el whaling?

También conocido como "el fraude al director general" en algunos círculos, el whaling es una variación del ataque spear-phishing, utilizado habitualmente para dirigirse selectivamente a cierta categoría de personas que trabajan en las empresas. Excepto en el caso del whaling, la categoría de individuos a los que se dirige es exclusivamente a los miembros de mayor rango dentro de la organización, como los directores de la empresa y los miembros del consejo de administración.

¿El whaling es como la ingeniería social?

En una palabra, sí. Cae bajo la categoría de phishing, un subconjunto de amenazas de ingeniería social diseñadas para recopilar información y datos privilegiados, como contraseñas o tokens de acceso de usuarios desprevenidos mediante el engaño.

¿El whaling afecta a la ciberseguridad?

Dado que el whaling está clasificado como una amenaza de ingeniería social, lo cierto es que puede afectar, y de hecho afecta, la postura de seguridad de una organización. Las amenazas derivadas de los ataques de tipo whaling varían, solo que, al igual que los ataques de ingeniería social y demás, dependen del objetivo de los actores maliciosos y de los recursos protegidos (o, en este caso, no protegidos). Vea los ejemplos siguientes para conocer algunas formas en que los ataques de whaling pueden afectar sus defensas.

Ejemplos de ataques de phishing por whaling

Aunque distan mucho de ser exhaustivos, a continuación se presentan tres ejemplos reales de ataques de tipo whaling y de cómo han puesto en peligro la ciberseguridad de las organizaciones:

1. 2016: Empleados del Crelan Bank en la UE transfirieron 75 millones de dólares en fondos a una cuenta bancaria propiedad de actores de amenazas tras recibir solicitudes por correo electrónico que parecían proceder del director general del banco.
2. 2019: El director general de una empresa de energía con sede en el Reino Unido recibió del director general de su empresa matriz la petición de transferir $243,000 a su proveedor húngaro por vía telefónica. Solo que la llamada fue creada de manera fraudulenta por atacantes que utilizaron software de IA para imitar la voz del director general.
3. 2020: La empresa australiana de fondos de cobertura Levitas Capital cierra sus puertas tras perder $8 millones, además de su reputación comercial entre los clientes. El culpable fue una falsa invitación de Zoom que permitía a los atacantes instalar un código malicioso que generaba facturas falsas.

Mecánica de un ataque de phishing por whaling

Desglose de un ataque por whaling

• Reconocimiento: Los actores de la amenaza llevan a cabo una investigación exhaustiva sobre su objetivo ejecutivo o de alta dirección para reunir los detalles utilizados para crear suplantaciones convincentes de dicho objetivo.
• Armamentismo: Armados con la información necesaria, los actores de la amenaza crean el contenido real utilizado para llevar a cabo el ataque. Aunque normalmente se comunica a través del correo electrónico, como parte de un Compromiso de Correo Electrónico Empresarial (BEC) de mayor envergadura, el whaling también puede llevarse a cabo a través de:
  • SMS
  • Plataformas de mensajería y redes sociales
  • Llamadas telefónicas falsificadas
• Envío: El tipo de mensaje se transmite a las víctimas previstas, a menudo con un escenario urgente que insta a las víctimas a reaccionar realizando una acción que aparentemente se presenta como una petición de la alta dirección o de un ejecutivo.
• Vulnerabilidad: Dependiendo de las acciones que soliciten los atacantes, las víctimas podrían entregar datos confidenciales, credenciales utilizadas para acceder a recursos sensibles, comprometer aún más los sistemas en una transgresión de datos a mayor escala o realizar acciones, como transferir o girar fondos, o pagar facturas "abiertas".
• Consecuencias: Las consecuencias de ser víctima de ataques de tipo whaling son igual de variadas, dependiendo en gran medida de la organización, del alcance del delito y de las implicaciones legales para la organización. (Analizaremos esto de forma más detallada más adelante).

Blancos de los ataques whaling

Como ya se ha mencionado, los ataques whaling se dirigen solo a un grupo específico. Pueden ser:

• Miembros de la alta dirección:
  • Director ejecutivo
  • Director financiero
  • Director de operaciones
  • Director de seguridad
  • Director de seguridad de la información
• Miembros del Consejo de Administración
• Administradores de alto nivel
  • Supervisores
  • Consejeros

Impacto de los ataques de phishing por whaling

Consecuencias potenciales de los ataques por whaling

Las respuestas derivadas de los ataques por whaling pueden variar de una organización a otra y depender en gran medida de numerosos factores. Algunas consecuencias comunes en el mundo real de los ataques de phishing por whaling son:

• Capacitación obligatoria de los empleados en materia de seguridad para combatir futuros ataques
• Despido de cualquier responsable
• Pérdida de la ventaja competitiva empresarial o de la capacidad operativa
• Impacto negativo en la reputación pública y/o en el prestigio de la industria
• Grandes pérdidas financieras que a menudo no se recuperan
• Responsabilidad civil y/o penal por transgresión de la normativa
• Cese total o parcial de las operaciones comerciales

Prevención del whaling

Directrices para identificar posibles ataques por whaling

El whaling y, en mayor medida, los ataques de phishing, han tenido históricamente signos reveladores de ciertos criterios que indican claramente que una comunicación puede estar intentando realizar phishing (o phishing por whaling) sobre su objetivo.

Aunque no siempre es el caso, a continuación le damos algunas pautas de las cosas que debe tener en cuenta cuando reciba esa próxima "petición urgente" de un ejecutivo: solo podría ayudarle a determinar si se trata de una petición legítima o de una estafa a punto de producirse:

• Correos electrónicos externos: Muchos servicios de correo electrónico permiten a IT marcar los correos electrónicos que se reciben de fuentes externas. Con esta configuración activada, ¿ha recibido un correo electrónico que pretende ser del director general o de un director administrativo, aunque la notificación explique expresamente que el correo electrónico se recibió externamente? Si es así, quizá debería informar de ese correo electrónico solo por si acaso, ya que la mayoría de los envíos/recibos entre los empleados de la organización se producen internamente, no externamente.
• Urgencia: La mayoría de los ataques de ingeniería social sitúan la urgencia en el centro de la campaña. Esto significa que, al establecer una narrativa que exige la realización de tareas inmediatas y reaccionarias (sin tiempo para hacer preguntas o verificar lo que se pide), el éxito de estas campañas suele atribuirse a los rápidos tiempos de respuesta que se exigen a las víctimas en relación con la gravedad de las consecuencias.
• Consecuencias: La otra cara de la moneda de la urgencia son las consecuencias. Como en: "Si no realiza la acción solicitada inmediatamente, entonces esto le ocurrirá a usted". Consecuencias nefastas, amenazas, ultimátums y acciones legales son algunas de las tácticas que utilizan los actores de amenazas para intimidar a los objetivos y convertirlos en víctimas.
• Confidencialidad: Los métodos de comunicación, aunque aparentemente seguros y quizás incluso cifrados, no suelen considerarse lo suficientemente "seguros" para discutir o intercambiar datos confidenciales. Esto se aplica doblemente a las plataformas públicas, como las redes sociales, por ejemplo. Recibir un correo electrónico que le dice explícitamente que se guarde la solicitud para usted por motivos de seguridad, al mismo tiempo que le pide que facilite información privada o credenciales, es sospechoso —en el mejor de los casos— y potencialmente constituye un ataque de ingeniería social, en el peor.
• Enlaces y archivos adjuntos: Esta es una táctica difícil de detectar porque los canales de comunicación se diseñaron con la capacidad de compartir rápida y eficazmente enlaces y archivos adjuntos con los compañeros. Sin embargo, esta facilidad de uso es exactamente con lo que cuentan los actores de amenazas cuando elaboran sus mensajes. Puesto que es una "característica", ¿qué tan malo puede ser, verdad? Malo, y puede ser pésimo. En pocas palabras: no haga clic en enlaces ni descargue/abra archivos adjuntos por si acaso.
• Verificación: Las solicitudes de cualquier tipo, especialmente las que tienen que ver con un asunto financiero —o las que se hacen al margen de lo normal— deben verificarse en persona. Como mínimo, es imprescindible realizar una verificación hablando con el solicitante para asegurarse de que se trata de una petición legítima antes de emprender cualquier acción. Deben aplicarse protocolos estrictos cuando se produzca cualquier cambio en los números de cuenta o en los procedimientos de pago para minimizar el riesgo de ser víctima de un fraude.

Importancia de la sensibilización y la educación

Hay muchos productos y soluciones disponibles que se anuncian como la resolución o la mitigación de este o ese problema de seguridad. Y aunque muchos de ellos pueden incluso funcionar bastante bien, el hecho es que cuando se trata de whaling, "una onza de prevención vale más que una libra de curación", dijo Benjamín Franklin en 1736, mucho antes de que existieran el phishing, Internet o incluso las computadoras tal y como las conocemos hoy en día.

Pero el mensaje central es tan válido hoy como hace siglos. La prevención es mayor que el remedio cuando se trata de ciberseguridad.

Existen algunas soluciones clave que resultan especialmente eficaces para combatir la ingeniería social cuando se combinan en una estrategia por capas, o plan de seguridad de defensa a fondo. Estas son:

• Conciencia de las amenazas: ¿Cómo puede esperar protegerse contra las amenazas si ni siquiera está seguro de cuáles le afectan o de qué manera le afectan? Aprender sobre las amenazas, su evolución, cómo funcionan, cuál es su objetivo, cuál es su impacto en los recursos y cómo se aplica a sus requisitos únicos es un buen primer paso para protegerse familiarizándose con las tácticas de los actores de las amenazas mediante intercambios de información, diálogos abiertos y sesiones de desarrollo profesional para los equipos de IT y de seguridad.
• Capacitación continua: Pregunta de seguimiento: ¿Cómo espera que los empleados ayuden a mantener a salvo los recursos de la empresa cuando no saben cuáles son las últimas amenazas a las que se enfrentan? Después de todo, ellos no son solo su primera línea de defensa, sino también parte de la solución. Las sesiones de capacitación programadas con regularidad que se incorporan junto con la alineación con otras políticas de la organización garantizan que la capacitación en seguridad de los empleados evolucione al mismo tiempo que las amenazas para mantenerlos informados. Al fin y al cabo, la seguridad es responsabilidad de todos, no solo de IT.
• Desarrolle protocolos seguros: Aunque este consejo podría aplicarse como política general para toda la empresa, el enfoque de este blog es el whaling, por lo que lo recomendaremos más específicamente a los miembros del nivel ejecutivo, ya que son el grupo destinatario de los ataques de whaling. Los ejecutivos de la alta dirección deben ser más cuidadosos con la privacidad de sus datos en relación con lo que se comparte, dónde y quién puede verlo. Por ejemplo, habilitar restricciones de privacidad en sitios web de cara al público, como los perfiles de las redes sociales, limita la cantidad de detalles personales y empresariales disponibles para un público más amplio. Menos información compartida significa menos datos en el fondo disponible para que los actores de amenazas puedan aprovecharlos contra las víctimas en sus intentos de suplantación.
• Desarrolle sus soluciones de seguridad: Las soluciones de seguridad están muy bien, pero una política que obligue a utilizar contraseñas robustas y únicas no va a impedir el acceso a un recurso empresarial confidencial cuando alguien que dice ser el director de operaciones solicita acceso remoto a un dispositivo informático que tiene acceso a una base de datos de recursos humanos que contiene todos los registros de los empleados y el acceso se concede sin cuestionarlo. Sin embargo, implementar capas adicionales de protección de la seguridad de los endpoints que pudieran detectar y responder a las amenazas persistentes avanzadas (APT) podría marcar la diferencia entre identificar la amenaza rápidamente y remediarla o permitir que perdure, dando a los actores maliciosos tiempo suficiente para transgredir completamente sus datos.

Conclusión

¿Cuál es el futuro del whaling?

Se espera que los ataques de phishing por whaling continúen en un futuro previsible. No se trata de una especulación cuando organismos como el FBI, que cita "un aumento del 1300% en las pérdidas expuestas identificadas", han sopesado y siguen sopesando medidas de protección y orientaciones para que las organizaciones se protejan mejor contra este creciente segmento de amenazas de phishing.

Security Magazine, como parte de un informe realizado por GreatHorn sobre lo prominentes que son los ataques de whaling y de suplantación de identidad de ejecutivos, identificó que "el 59% de las organizaciones dicen que un ejecutivo ha sido objeto de ataques de whaling". ¿Y qué es peor que eso? "Que el 46% dice que los ejecutivos han sido sus víctimas".

Whaling + IA

Salvar la distancia entre la escalabilidad del phishing y el impacto por mensaje que sufre el whaling no es el vector de ataque que se muestra en un episodio de Mr. Robot. Es el futuro del whaling impulsado por la IA.

Denominado como harpoon whaling (caza de ballenas con arpón), Trend Micro explica que "el harpoon whaling puede ser extremadamente automatizado y puede beneficiarse del uso de un modelo de lenguaje de IA generativo preentrenado (GPT) que puede permitir que se realicen ataques dirigidos extremadamente exitosos de forma concurrente en listas de distribución controladas. Estas listas están compuestas por muchos ejecutivos o funcionarios de alto rango, como "todos los ejecutivos bancarios", "todos los funcionarios de policía de alto rango" o "todos los políticos del país X".

Llamamiento a la vigilancia y a la educación

"No confíe solo en el correo electrónico". — Oficina Federal de Investigaciones, FBI

Las soluciones individuales mencionadas en la sección anterior brindan algunos niveles de protección con seguridad, pero la protección multinivel radica en el vincularse de protocolos seguros y una solución que brinde detección y mitigación avanzada de amenazas, junto con remediación en caso de que algo no haya sido detectado por las sesiones continuas de capacitación de los empleados.

Resumen de las conclusiones clave

• El whaling es un tipo de ataque de ingeniería social que se dirige exclusivamente a miembros de alto rango, como ejecutivos y miembros del consejo de administración.
• El FBI ha identificado el whaling como una de las principales amenazas de phishing para las organizaciones, al generar $12,000 millones de dólares en pérdidas.
• Los ataques de whaling en todo el mundo han contribuido directamente a la transgresión de datos confidenciales, la pérdida de fondos y el cierre de empresas.
• Los ataques whaling implican un reconocimiento exhaustivo y abierto por parte de los actores de la amenaza, ya que recopilan información sobre los ejecutivos de las empresas para aumentar la tasa de éxito de los ataques de suplantación de identidad.
• Los ataques no se realizan solo por correo electrónico, sino también por SMS, plataformas de mensajería y redes sociales y por teléfono.
• Al igual que otras formas de phishing, la urgencia y las consecuencias nefastas son dos tácticas poderosas en las que se basan los atacantes para convencer a sus víctimas de que actúen sin ninguna verificación.
• La capacitación de los empleados desempeña un papel importante no solo para educar a los usuarios contra los tipos de amenazas, sino también para mantenerlos alerta ante la evolución de los tipos de ataques a los que deben estar atentos.
• El 59% de las organizaciones afirma que un ejecutivo ha sido objeto de ataques de whaling y el 46% afirma que los ejecutivos han sido víctimas.
• El futuro son los ataques que aprovechan la IA para automatizar la eficacia del whaling y la escalabilidad del phishing. Conozca el harpoon whaling.
• Una solución universal puede detener una capa de amenazas, pero una solución integral combina el software de seguridad para endpoints con la capacitación de los usuarios finales y protocolos de seguridad evolucionados para una defensa en profundidad.