En el área de Seguridad de la Información de Prysma nos esforzamos por ayudar a las empresas a resolver los retos asociados a la protección de la información en el marco de las nuevas tecnologías. Hoy hablaremos del Whaling, término que proviene de la palabra inglesa “whale” que significa ballena, y que según TrendMicro, se usa para describir un ataque especialmente dirigido contra presidentes de empresas, CEOs o directivos de alto nivel; lo que coloquialmente entendemos por un «pez gordo», o una «ballena».
Conviene no confundirlos con otras amenazas similares como el phishing que son ataques oportunistas que no se dirigen a ninguna persona en particular, sino que se basan en envíos masivos de correos falsos con la esperanza de que algún precavido muerda el anzuelo. Por otra parte, la modalidad del spear-phising supone un mayor nivel de personalización en el ataque ya suelen ir dirigidos a grupos concretos de personas con algún rasgo común, como por ejemplo, la pertenencia a una misma empresa.
En cambio, en los casos de whaling, se ataca a un individuo específico, por lo general de alto rango, con información altamente personalizada. El atacante suele suplantar el CEO u otros ejecutivos de alto nivel para convencerle, a través de técnicas de ingeniería social, para que revele información confidencial, o para llevar a cabo transferencias financieras a su favor. El éxito de estos ataques se apoya en el mayor tiempo y esfuerzo que los ciberdelincuentes están dispuestos a invertir en construirlos, pensando en el elevado beneficio que esperan obtener a cambio. Para ello se valen de un gran nivel de personalización utilizando información como la profesión, la empresa o los nombres de los compañeros de la víctima, obtenidos de fuentes públicas como LinkedIn, Facebook o Twitter. Algunas de estas campañas incluyen un sitio web personalizado que ha sido creado especialmente para el ataque. Este nivel de personalización es lo que hace que este tipo de ataques sean muy difíciles de detectar. En la mayoría de los casos, el whaling se basa más en la ingeniería social que en trucos de la tecnología.
Ejemplos notables son los que ocurrieron cuando un empleado de alto rango de Snapchat recibió un correo electrónico de un atacante fingiendo ser el director general. El empleado fue engañado para dar al atacante información acerca de las nóminas de los empleados. Otro ataque similar involucró a un empleado de Seagate que, sin saberlo, había enviado por correo electrónico los datos del impuesto sobre la renta de varios empleados de la empresa a un tercero no autorizado. En otra ocasión, miles de altos ejecutivos de los Estados Unidos recibieron citaciones aparentemente oficiales de los tribunales de San Diego, que incluían el nombre del ejecutivo, de su compañía y su número de teléfono, y solicitaban comparecer ante un gran jurado en un caso civil; junto a la copia de la citación se enviaron “keyloggers” o grabadores de pulsaciones de teclado que sirvieron para comprometer una gran cantidad de información confidencial.
¿Qué podemos hacer si nos sucede esto?
- En el caso que recibamos un mensaje de este tipo, debemos «pecar» de precavidos y buscar una confirmación directa del remitente, como podría ser una llamada de teléfono.
- En caso de no habernos dado cuenta del engaño y haber caído en él, deberemos ponernos en contacto con las Fuerzas y Cuerpos de Seguridad del Estado para denunciarlo.
- Además, deberemos guardar todas las evidencias que podamos: los mensajes recibidos, realizando capturas de pantalla de los mensajes., etc.
- También avisaremos a los contactos y personas que se hayan podido ver afectadas por esta acción, y daremos la orden de cancelación de las transferencias realizadas.
¿Qué podemos hacer para que no nos suceda a nosotros?
La mejor arma en estos casos es la concienciación y la formación de los empleados en las técnicas de ingeniería social que utilizan los ciberdelincuentes para engañar a sus víctimas. Siguiendo las recomendaciones del Instituto Nacional de Ciberseguridad (INCIBE), conviene crear un plan de gestión de incidentes que contemple las pautas de actuación ante este tipo de eventos.
Existen también algunas medidas que pueden ayudarnos a identificarlos:
- Sospechar de los mensajes inesperados que dicen ser urgentes y confidenciales.
- Fijarse en la redacción de los mensajes sospechosos, ya que suelen estar mal escritos o con faltas ortográficas.
- No abrir correos de usuarios desconocidos o que no hayas solicitado. Elimínalos directamente.
- No contestar en ningún caso a los mensajes sospechosos.
- Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, además comprobar que está activo.
- Es muy recomendable firmar los mensajes de correo, por ejemplo, añadiendo una firma PGP a las cuentas de la empresa.
En Prysma hemos ayudado a miles de clientes a implantar medidas que protejan la seguridad de su información. ¡Contacta con nosotros y protege tu empresa!