Ilier Navarro. La personalización y la segmentación está cada vez más presente en los ataques de los ciberdelincuentes. Una prueba de ello es el “whaling”, un término que se puede traducir como caza de ballenas o de peces gordos y que alude a los ciberataques que tienen en el punto de mita a cargos directivos y a altos ejecutivos de empresas. El riesgo para las organizaciones es mucho mayor y, por lo tanto, el botín potencial al que pueden acceder estos delincuentes también será más cuantioso. Una de las principales herramientas con las que cuentan las compañías es la formación en prevención de sus directores y gerentes.
Los ataques del tipo “whaling” se encuadran dentro de lo que se conoce como “spearphishing”, más enfocado a un grupo concreto, y son mucho más sofisticados: suelen prepararse con más tiempo y cuidando más el detalle que un phishing al uso, que dispara a un enorme volumen de personas para intentar pescar a algún incauto.
Para alcanzar a los altos cargos, los ciberdelincuentes se basan en técnicas de ingeniería social más avanzadas porque requiere de un trabajo previo de investigación en el entorno de la empresa para la que trabajo y en el del mismo directivo. El engaño es más elaborado y creíble para lograr que el ejecutivo facilite las contraseñas de sus cuentas corporativas o bien para que descargue en los dispositivos de su empresa algún malware que acceda a la red interna. El objetivo final es hacerse con fondos de la compañía, ya sea a través de transferencias o de pagos involuntarios.
Existe una variante de ataque vinculada con el “whaling” que se denomina “fraude del CEO”. En este caso, consiste en suplantar de manera creíble la identidad del jefe de toda la organización o bien de los gerentes de un departamento o área concreta, de cierto nivel de relevancia en el organigrama corporativo. De esta manera, envían mensajes a su nombre a distintos colaboradores con el objetivo de ingresar dinero en sus cuentas.
El ”whaling”, un ataque más sofisticado
Al apuntar a un objetivo más alto, que potencialmente le dará un acceso más amplio al botín que persiguen, el “whaling” exige un nivel mayor de trabajo en la preparación previa del engaño.
Por una parte, exige que los ciberdelincuentes investiguen el entorno del ejecutivo y de la empresa que encabeza. Y las fuentes de información son variadas, desde información publicada en la prensa a posts en el blog corporativo o información en las redes sociales empresariales o en las cuentas de los empleados. La idea es interiorizarse de cómo funciona la empresa, cuáles son sus objetivos estratégicos y detectar posibles puntos débiles en los que basar el mensaje.
Una vez los ciberatacantes cuentan con un plano más o menos claro de la estructura de la organización y de su funcionamiento, pasan a elaborar emails falsos con contenidos ultrapersonalizados y, por tanto, creíbles, que hagan bajar la guardia de su destinatario. Pueden hacerse pasar por un empleado de confianza, por un proveedor, socios, entidades bancarias, etc. Utilizan cuentas de correo muy similares a las originales, todo con tal de que el pez gordo “pique”.
En el contenido del mensaje es característico que se ejerza presión sobre el destinatario, aludiendo a una situación que se debe resolver con la máxima urgencia, que es inaplazable o que está en juego alguno de los proyectos clave para el negocio. La idea es que la persona a la que se dirige se ponga manos a la obra a “solucionar” el problema y dé el visto bueno a la transferencia de dinero, a compartir sus credenciales o a pinchar en un enlace que permita el acceso a la red corporativa para poner en jaque el funcionamiento de la compañía y poner precio a un rescate de su información.
“Whaling”: medidas de prevención
Será indispensable que la empresa alerte a sus altos cargos de la posibilidad de que sean objeto de este tipo de actuaciones delictivas para que estén alerta. Los planes de formación son fundamentales, incluso los simulacros, para que los directivos estén atentos ante este tipo de ataques. Los responsables de seguridad deben estar al día de las nuevas formas de ataque y reforzar los sistemas internos frente a posibles accesos no permitidos, por ejemplo, con niveles adicionales de autenticación y autorización de operaciones.
Hay numerosas señales que deben hacer sospechar: fijarse bien en los remitentes y en el dominio, comprobando si es el que se utiliza habitualmente para interactuar con la persona y detectar una posible suplantación. Cualquier diferencia, por pequeña que sea, es una señala de alerta.
El hecho de que la petición sea extraña, fuera de lo normal, urgente y con plazos inamovibles, o bien que esté vinculada a solicitud de información confidencial, debe llevar al receptor del mensaje a verificarlo por otro canal, por ejemplo, con una llamada telefónica a la persona en cuestión o a otras que lo confirmen, o ir a ver de manera presencial a la persona que supuestamente nos está escribiendo, si se encuentra en el mismo edificio. Se trata de controles cruzados que suelen ser eficaces a la hora de detectar una intrusión maliciosa y de evitar los ataques a través de “whaling”.
Otra señal que delata a los atacantes son las faltas de ortografía, gramaticales o un uso inadecuado del lenguaje. Y, en general, tener un especial cuidado al compartir cualquier tipo de información personal o del ámbito corporativo, sobre todo si es sensible. Y, por supuesto, no acceder a ningún enlace que sea sospechoso. Los ciberdelincuentes suelen trabajar a diario para mejorar su poder de persuasión para lograr su objetivo y poner en jaque a la empresa.