Los ataques de phishing no son nada nuevo. Sin embargo, en los últimos años, ha habido un fuerte aumento en un tipo en particular: phishing de ballenas. Mientras que el phishing tradicionalmente lanza una amplia red, apuntando a cualquier individuo desprevenido, la caza de ballenas persigue al pez gordo: los altos ejecutivos y los altos líderes dentro de una organización. Estos ataques requieren más tiempo, esfuerzo y experiencia técnica por parte de los atacantes, pero las recompensas son mucho mayores.
Los ataques de caza de ballenas suelen ser más sofisticados y utilizan métodos como suplantaciones de directores ejecutivos, tecnología deepfake y phishing dirigido. Cifras recientes indican que 89% de los correos electrónicos de phishing ahora implican la suplantación de alguien familiar para el destinatario. Alrededor del 16% de esos correos electrónicos involucran al atacante haciéndose pasar por un colega. En el caso de la caza de ballenas, esto significa apuntar a un ejecutivo o alguien con acceso a recursos críticos como cuentas bancarias.
El coste de ser víctima de un ataque de phishing puede ser significativo. El FBI informó 52 millones de dólares en pérdidas de estafas de phishing solo en 2022. Estos costos no sólo los soportan las empresas sino también sus clientes, sin mencionar los recursos que deben gastarse en prevención.
Este tipo de ataques son difíciles de ignorar, dada la magnitud potencial de los riesgos financieros y de reputación involucrados. Sin embargo, para las empresas ofrecen la oportunidad de reorientar sus esfuerzos en proteger los objetivos más valiosos de sus organizaciones. En este artículo, exploraremos esta tendencia creciente y ofreceremos consejos prácticos sobre cómo las organizaciones pueden reforzar sus defensas.
¿Por qué la caza de ballenas es tendencia?
El phishing generalmente abarca una amplia red, y los atacantes confían en el tamaño de su lista de correo para que una víctima desprevenida haga clic en un enlace. Por el contrario, el phishing sobre la caza de ballenas está muy dirigido y personalizado. Los atacantes se toman el tiempo para investigar a sus víctimas.
Esto incluye recopilar datos personales, comprender sus responsabilidades comerciales, analizar hábitos de correo electrónico y crear contenido altamente personalizado para engañar a los destinatarios. Este nivel de esfuerzo puede parecer laborioso, pero vale la pena cuando se logra.
Después de todo, la caza de ballenas se dirige a personas con poder para aprobar transferencias financieras o acceder a datos corporativos confidenciales, lo que los convierte en candidatos ideales para actores maliciosos que buscan grandes ganancias. Del mismo modo, es potencialmente menos probable que los ejecutivos hayan recibido una capacitación exhaustiva en detección de amenazas y, debido a que están tan ocupados, es más probable que pasen por alto los signos reveladores de una estafa.
Un caso que pone de relieve la creciente sofisticación de los ataques balleneros ocurrió en 2023, cuando una empresa multinacional en Hong Kong fue atacada. defraudado por 25 millones de dólares a través de videollamadas falsas haciéndose pasar por el director financiero y otros ejecutivos corporativos clave. Un administrador financiero con acceso a los fondos fue engañado para transferir esta gran cantidad de dinero aparentemente a instancias de los patrones.
Estos ataques a menudo se basan en la manipulación emocional, la creación de urgencia o la explotación de las relaciones comerciales para engañar a las víctimas y hacerlas tomar decisiones impulsivas, como autorizar transferencias bancarias o proporcionar datos de inicio de sesión confidenciales. En un entorno empresarialdonde no todos los líderes empresariales conocen a todos los ejecutivos, los peligros son aún más potentes.
Para los atacantes, el atractivo de estos objetivos de alto valor es claro. Cuanto más esfuerzo se dedique a personalizar el ataque, mayor será el retorno financiero potencial. En muchos casos, la magnitud del daño, tanto financiero como reputacional, puede tener consecuencias a largo plazo para la empresa víctima.
Un manual en evolución
Las tácticas de phishing se han vuelto mucho más sofisticadas en los últimos años. Esto se debe al mayor uso de la inteligencia artificial (IA) y las tecnologías de aprendizaje automático. Una evolución notable es el uso de deepfakes, en los que los atacantes utilizan filtros basados en inteligencia artificial para hacerse pasar por ejecutivos u otras figuras confiables en videollamadas.
El tecnología para vivir profundo llamadas ahora está ampliamente disponible y a menudo es tan convincente que la víctima no encuentra motivos para cuestionar su autenticidad, especialmente cuando la solicitud parece legítima. Esta técnica fue un factor clave en el caso de Hong Kong de 2023, donde los atacantes se hicieron pasar por el director financiero en una videollamada falsa para autorizar la transferencia bancaria.
Sin embargo, los deepfakes son sólo una parte de la ecuación. Los atacantes balleneros también utilizan direcciones de correo electrónico, perfiles de redes sociales e incluso números de teléfono falsos para enmascarar aún más sus identidades. El objetivo es hacer que el ataque sea lo más convincente posible, confiando en la confianza de la víctima en sus comunicaciones para eludir los protocolos de seguridad.
Los atacantes también están mejorando a la hora de crear una sensación de urgencia. Al elaborar mensajes que parecen provenir directamente del CEO u otro alto ejecutivo, presionan a otros ejecutivos a actuar rápidamente, sin dudar de sus acciones. Esta técnica a menudo se conoce como “fraude del CEO” y sigue siendo una de las estrategias más comunes empleadas en los ataques balleneros.
Este fraude aprovecha la estructura jerárquica de las empresas, donde es más probable que las personas cumplan con una solicitud urgente de un superior.
Protegiendo su organización
A medida que aumenta la sofisticación del phishing de alto nivel, también deben hacerlo las defensas diseñadas para protegerlo. Los líderes empresariales y los profesionales de la seguridad deben implementar un enfoque de múltiples niveles para salvaguardar los datos confidenciales y prevenir estafas dirigidas a ejecutivos. Aquí hay algunos pasos críticos.
Formación y sensibilización de los empleados. Una de las formas más efectivas de defenderse contra los ataques de las ballenas es educar a los empleados, especialmente aquellos en posiciones financieras y de liderazgo, sobre cómo detectar actividades sospechosas. La capacitación debe cubrir la identificación de señales de alerta, como direcciones de remitentes desconocidas, solicitudes inesperadas o tácticas de alta presión. Los ejercicios regulares de simulación de phishing pueden ayudar a reforzar este conocimiento y mantener alta la conciencia.
Autenticación multifactor. La autenticación multifactor (MFA) es una de las herramientas más simples pero efectivas para frustrar a los atacantes, especialmente cuando se trata de proteger cuentas de alto valor. Requerir múltiples formas de verificación (por ejemplo, contraseña más autenticación biométrica o basada en token) agrega una capa adicional de protección que puede hacer que sea más difícil de eludir para los atacantes.
Software antiphishing y filtrado de correo electrónico. La implementación de sistemas avanzados de filtrado de correo electrónico puede ayudar a detectar mensajes sospechosos antes de que lleguen a la bandeja de entrada de un empleado. El software antiphishing puede marcar direcciones de correo electrónico que no coinciden con el dominio de la empresa, alertando a los empleados sobre posibles intentos de suplantación de identidad. Estos sistemas deben ajustarse para detectar signos sutiles de phishing, como nombres de dominio ligeramente mal escritos o archivos adjuntos inusuales.
Protocolos de respuesta y notificación de incidentes. Es fundamental contar con un protocolo claro para informar comunicaciones sospechosas y responder a posibles violaciones de seguridad. Esto incluye establecer una cadena de mando para verificar solicitudes inesperadas y garantizar que todos los empleados sepan los pasos a seguir si reciben un correo electrónico, un mensaje de texto o una llamada sospechosa.
Gestión de riesgos de terceros. Los atacantes no sólo se dirigen específicamente a una organización, sino que también pueden apuntar a proveedores externos que tienen acceso a las redes de la empresa, por lo que es esencial gestionar estas relaciones con cuidado. Las auditorías de seguridad periódicas, las obligaciones contractuales sólidas y las políticas claras de intercambio de datos pueden ayudar a mitigar el riesgo que plantean las partes externas.
Mantenerse a la vanguardia
A medida que los ataques de phishing de ballenas continúan aumentando, las organizaciones deben ser proactivas para fortalecer sus defensas. Las tácticas en evolución utilizadas por los ciberdelincuentes exigen un enfoque integral de múltiples capas que vaya más allá de las medidas de seguridad tradicionales. Proteger a los ejecutivos de alto nivel y otros objetivos de alto valor ya no es opcional, sino más bien una parte fundamental para salvaguardar la estabilidad financiera, los datos y la reputación de una organización.
Al centrarse en la formación continua, implementar soluciones tecnológicas avanzadas y desarrollar planes sólidos de respuesta a incidentes, las empresas pueden minimizar el riesgo de ser víctimas de estos ataques altamente sofisticados. La preparación es clave y mantenerse a la vanguardia de las tendencias emergentes le dará a su organización una oportunidad de luchar.
Crédito de la imagen destacada: Kasia Derenda/Unsplash
