Los ciberdelincuentes son como los cazadores de tesoros, ya que cuanto mayor sea su recompensa, mejor. Aunque las recompensas más grandes conllevan mayores riesgos, conseguirlas también requiere más habilidad, lo que significa más derecho a presumir para el nefasto. No hay mayor recompensa que conseguir una ballena en un esquema de phishing.

Cuanto más acceso o poder percibido tenga una persona en su organización, más probable es que los ciberdelincuentes busquen robar sus credenciales. El acceso a la cuenta de un solo empleado de alto nivel podría significar el acceso a las cuentas bancarias de la empresa, a la información confidencial y a la información personal de los empleados.

Ser parte del equipo de liderazgo de una empresa significa que se corre más riesgo de sufrir ataques de phishing dirigidos, por lo que es importante saber todo lo posible sobre este tipo de ataques y cómo prevenirlos.

Para ayudar a entender mejor qué es el whaling y en qué se diferencia de otros métodos de phishing, empezaremos por explicar primero el phishing.

¿Qué es el phishing?

El phishing es una técnica utilizada por los ciberdelincuentes para obtener información personal (como números de tarjetas de crédito o credenciales de inicio de sesión) mediante el envío de un correo electrónico que está diseñado para parecer que proviene de una fuente legítima, pero cuyo objetivo es engañarle para que haga clic en un enlace malicioso o descargue un archivo adjunto que puede contener malware.

Los delincuentes suelen crear correos electrónicos falsos que parecen proceder de alguien de confianza, como un banco, una compañía de tarjetas de crédito o un sitio web popular. El correo electrónico puede pedirle que «confirme los datos de su cuenta» y dirigirle a un sitio web que se parece al verdadero, pero cuyo único objetivo es robar información.

Los ataques de phishing pueden producirse con personas en casa, en la oficina, por teléfono e incluso a través de mensajes de texto, por lo que es importante mantenerse alerta independientemente del dispositivo que esté utilizando.

¿Qué es el Whale Phishing o Whaling?

Whaling, o whale phishing, es un tipo de ataque de phishing altamente dirigido a la cúpula de una empresa. Estos objetivos de alto valor suelen tener un amplio acceso a los recursos de una organización, lo que los convierte en «ballenas».

Si el spear phishing se dirige normalmente a los empleados o a las pequeñas empresas (los «peces»), entonces la «ballena» en el whaling es el «Big Fish» de un miembro de alto nivel de una organización. Para atraer su atención, los correos electrónicos pueden parecer amenazas legales o reclamaciones importantes.

El objetivo de un delincuente para el whaling es el mismo que el de cualquier otro ataque de phishing: engañar a un individuo para que revele información sensible que pueda utilizarse para vulnerar la red de una organización.

¿Cómo puede proteger a su organización del phishing de ballena?

El phishing de ballena puede prevenirse de la misma manera que se protegería de cualquier otro ataque de phishing por correo electrónico:

• Pase el ratón por encima de los enlaces de los correos electrónicos para verificar el destino antes de hacer clic en ellos.
• Elimine los correos electrónicos sospechosos con asuntos sensacionalistas como «Debe actuar ahora» o que contengan faltas de ortografía poco profesionales en el cuerpo del mensaje.
• Sólo abra los archivos adjuntos de fuentes de confianza.
• En caso de duda, llame por teléfono al remitente para verificar que ha enviado el correo electrónico.

Dado que los ataques de phishing de ballena se dirigen a los altos ejecutivos de la empresa, es importante que reciban una formación de concienciación de seguridad basada en sus funciones para que sean conscientes de los tipos específicos de ataques a los que se enfrentarán debido a su cargo.

El envío de campañas de simulación de phishing también puede ayudar a prevenir estos ataques enseñando a las personas con el ejemplo. Obtenga más información sobre el simulador antiphishing de Inspired eLearning, PhishProof™.