Los ataques denominados “Whaling” o “Whale phishing” son ataques de ingeniería social dirigidos específicamente a un individuo acaudalado o que pertenece a una posición estratégica, generalmente económicamente estratégica.
Esto es lo que diferencia los ataques de “Whale Phishing” de la mayoría de ataques de phishing, usualmente lanzados de manera masiva e indiscriminada.

Se trata de un fraude digital mediante ingeniería social que incentiva a la víctima a realizar una acción determinada como por ejemplo una transferencia de fondos.

Algunas de las características del Whale Phishing son:

• Contenido personalizado e información sobre la víctima o su organización.
• Conocimiento de la industria, negocio y procedimientos.
• Tono de extrema urgencia.
• La víctima es exclusivamente de alto perfil o acaudalada, esto es lo que diferencia al Whaling del Spear Phishing.

Estos aspectos del Whaling hace que los ataques sean mucho más sofisticados que los ataques de phishing convencionales, brutos y masivos.
Sin embargo, la efectividad del ataque no radica necesariamente en conocimientos informáticos ni de hacking. Aunque estos pueden ser clave para la recolección de información, el ataque se basa principalmente en la ingeniería social: la capacidad de recolectar la información necesaria para producir contenido lo suficientemente inspirador de confianza para la víctima. La clave del ataque es el trabajo de inteligencia previo.

El término Whale phishing se debe a la magnitud de los ataques, ballena hace referencia a los peces gordos dentro de las compañías u organizaciones.

Perfil de víctimas de Whale phishing:

El principal perfil de víctimas son directivos de instituciones financieras y de servicios monetarios, aunque últimamente se reportaron ataques a directivos de empresas tecnológicas. Las víctimas son convencidas de realizar una acción perjudicial como por ejemplo:

• Realizar una transferencia de fondos.
• Descargar un malware dentro de la organización.
• Proporcionar información vital para un próximo ataque.

Un ejemplo para citar de este tipo de ataques se remonta al año 2016, cuando un ejecutivo del departamento de pagos de la compañía de la aplicación Snapchat recibió un e-mail del nuevo CEO solicitando información sobre su departamento. Tiempo más tarde el mismo ejecutivo recibió la instrucción del CEO de hacer un giro perdiendo la compañía $3 millones de dólares en un ataque de Whale phishing.

Otro ejemplo incluye a gigantes tecnológicos de Estados Unidos, entre los que se incluyen Google y Facebook, que fueron víctimas de Whale phishing vía mail por US$100 millones. El atacante simuló ser un ejecutivo de la compañía de hardware Quanta Computer Inc. En este fraude el atacante incluso abrió una cuenta bancaria en la misma institución que Quanta Computer Inc y emitía recibos falsos.

En el 2018 Forbes reportó que esta clase de ataques estaban generando pérdidas por $12 billones de dólares anuales.

Como se realizan los ataques de Whale Phishing:

El ataque comienza con un profundo trabajo de inteligencia sobre la víctima o su organización previo a la interacción. El atacante conoce a la perfección la información necesaria, como datos personales de la víctima, nombres de empleados, datos financieros, o amplio conocimiento del funcionamiento o gestión de la organización.

Los fraudes Whale phishing generalmente se realizan vía email, teléfono o incluso mediante redes sociales. Estas redes incluyen redes profesionales como Linkedin donde es fácil interactuar con jerarcas de compañías y organizaciones.
El atacante por lo general usurpa una identidad, en el caso de los correos electrónicos, usando una dirección similar a la que desea imitar (por ejemplo, usando el mismo dominio con extensión .co, en vez de .com). Las víctimas fácilmente pueden detectar esta clase de ataques si son conscientes de la metodología.

Cómo protegerse del Whaling:

Las compañías y organizaciones pueden tomar medidas para prevenir la vulnerabilidad frente estos intentos de ataques, algunas de estas medidas son:

• Mantener un sistema de permisos correctamente estructurado.
• Concientización a empleados o miembros de la organización sobre todos los tipos de phishing.
• Seguridad adicional en servidores de email y equipos.

Es muy importante destacar que la principal vulnerabilidad en esta clase de ataques son los usuarios y no los dispositivos. Por lo tanto el mejor modo de prevención es el entrenamiento de los miembros de la organización en la capacidad de identificar esta clase de ataques. Identificar estos ataques es sumamente fácil si la víctima es consciente del peligro. El entrenamiento es un procedimiento económico que puede ser aplicado por el propio departamento IT de cada organización.

La estructuración adecuada de permisos es también otra forma de afrontar la vulnerabilidad humana. Una política de permisos bien diseñada implica que aún habiendo sido vulnerado un usuario, por ejemplo descargando un malware, la infección no podrá propagarse al resto de la compañía.

La implementación de protocolos que impidan a jerarcas hacer uso arbitrario o carente de supervisión de recursos también son un factor clave. Para el manejo responsable de recursos dentro de una organización existen soluciones de software que aplican tanto protocolos como inteligencia artificial. Algunos países incluso han sumado estos sistemas para combatir la corrupción en el área pública.

Por supuesto que no deben ignorarse las medidas de seguridad contra las amenazas digitales convencionales no solamente a nivel de permisos sino a nivel de análisis de código, heurístico y de tráfico de red ya que este tipo de ataques podrían escalar a ataques digitales que se propaguen por toda la organización.

Conclusión sobre el Whale phishing:

Si bien esta clase de ataques representan una amenaza que se traduce a pérdidas de billones, la prevención es realmente económica.
La concientización de empleados  y la estructuración de permisos, así como la implementación de ciertos protocolos no representan mayores gastos para una organización, aunque sí grandes ventajas en cuanto a seguridad.
La sofisticación en cuanto a inteligencia de estos ataques responde a las innovaciones de seguridad (como la doble verificación) que dificultan el phishing convencional. Algunas organizaciones también implementan sistema de identificación de empleados para asegurar la legitimidad de las comunicaciones y procedimientos.
Demás está decir que las medidas de seguridad contra el Whale Phishing también incrementan la seguridad frente a otras clases de ataques e intentos de fraude tanto vía digital como física.

Espero que este artículo sobre Whale phishing o Whaling haya sido útil, gracias por seguir Linux Latinoamérica. Puedes seguirnos en Twitter y Facebook para mantenerte actualizado.