search El medio de comunicación que reinventa la empresa

La caza de ballenas, o cuando los hackers atacan a los peces gordos

La caza de ballenas, o cuando los hackers atacan a los peces gordos

Por Ainhoa Carpio-Talleux

El 30 de abril de 2025

Los riesgos de ciberseguridad pueden encontrarse en todos los niveles de la empresa. El whaling es un tipo de ataque que se dirige específicamente a miembros clave de la organización. Eso es precisamente lo que hace que esta técnica sea tan peligrosa.

¿En qué consiste realmente? ¿Cómo puede protegerse? Descubra cómo proteger a los peces gordos de su empresa con nuestra completa guía sobre el whaling.

¿Qué es el whaling?

Definición de whaling

El whaling es una forma de ciberataque de ingeniería social que entra en la categoría del phishing. La especificidad de este tipo de amenaza es que se dirige a un grupo de individuos claramente identificado: las ballenas.

El término "ballena" se refiere a un responsable de la toma de decisiones, un miembro de la dirección de una empresa o cualquier individuo con responsabilidades dentro de una organización.

Estos objetivos son más vulnerables de lo que se piensa. En primer lugar, no están acostumbrados a este tipo de amenazas, a diferencia de los empleados de niveles inferiores de la empresa, que se enfrentan a ellas a diario.

El otro punto de vulnerabilidad se refiere a la naturaleza del mensaje, mucho más personalizado que el phishing tradicional.

Por último, la información y los datos recuperados por el hacker serán más sensibles, ya que la víctima tiene un acceso más restringido que otros miembros de la empresa.

Señales de advertencia de un ataque whaling

Para ayudarle a reconocer un ataque whaling, he aquí sus principales características:

  • Un correo electrónico que parece proceder de un alto directivo.
  • Mensaje de contenido urgente.
  • Una solicitud que se sale de los procesos de la empresa.
  • Imposibilidad de contactar con el remitente (reunión, indisponibilidad, etc.).
  • Una solicitud de transferencia a una cuenta desconocida.

Whaling, phishing, spear phishing: ¿cuáles son las diferencias?

El phishing es una técnica fraudulenta destinada a engañar a un miembro de una organización haciéndose pasar por un tercero de confianza. El objetivo es obtener datos valiosos (cuentas de acceso, contraseñas, etc.) y/o datos bancarios.

El phishing clásico se lleva a cabo mediante mensajes generales que imitan documentos de instituciones bancarias, del gobierno o de un servicio de mensajería. Suelen enviarse en masa a varios destinatarios.

El spear phishing es un tipo de phishing más selectivo. Consiste en usurpar la identidad de un contacto (colega, socio comercial) para obtener la información personal de un individuo concreto. El mensaje suele ser personalizado y, por tanto, más difícil de detectar.

El whaling es otra subcategoría similar al phishing, pero que se dirige a los "peces gordos" de la empresa. Requiere mucha más preparación por parte del pirata informático.

¿Cómo funciona la caza de ballenas? 4 etapas

Identificación y recopilación de información

La primera etapa de un ataque de whaling consiste en reunir información sobre el objetivo. Para ello, el atacante se centra primero en fuentes públicas como el sitio web de la empresa, que generalmente presenta el organigrama completo de la compañía. También se basa en informes confidenciales disponibles en línea (pero de acceso no restringido) y en bases de datos disponibles en la red oscura.

Creación de una estrategia

A partir del resumen de la información recopilada, elabora una estrategia de ataque.

☝️Prenons pone un ejemplo para que lo entiendas.

Consultando la página web de la empresa objetivo, el ciberdelincuente identifica que el director general es muy activo en LinkedIn. Comparte sus conferencias, discursos internacionales, asociaciones, etc. Al mismo tiempo, el ciberdelincuente explota un informe de actividad en el que descubre el nombre del director financiero de la empresa, que gestiona las transferencias para contratos internacionales.

Mientras el director general se encontraba de viaje en Alemania, el ciberdelincuente envió un mensaje urgente al director financiero, imitando su estilo e incorporando elementos reales y verificables.

Solicita que se realice un pago en una cuenta diferente con el pretexto de una emergencia durante su viaje.

Es una estrategia sencilla que podría resultar muy rentable para el hacker.

Elaboración del mensaje

El punto central de una estrategia de whaling es la creación del mensaje, es decir, la dirección de correo electrónico, el asunto, el tono y el documento vinculado. He aquí cómo debe crearse meticulosamente cada parte:

  • Suplantación de la dirección de correo electrónico: el pirata informático modifica ligeramente la dirección de correo electrónico real del director general, de modo que la modificación sea lo más discreta posible (añadiendo un guión, un ".", etc.).
  • Elección del asunto: el asunto del correo electrónico debe ser creíble, sencillo y directo. Por ejemplo, "Factura pendiente de pago". También puede incluir una idea de urgencia ("Factura pendiente de pago - Urgente").
  • Un tono profesional: el hacker debe adoptar un nivel de lenguaje que corresponda al del CEO en sus mensajes habituales. Puede incorporar elementos reales y concretos, así como la jerga típica de este tipo de intercambios entre empleados.
  • Una petición urgente: la urgencia no tiene por qué ser explícita para no despertar sospechas. Sin embargo, debe ser suficiente para que la solicitud se lleve a cabo en un plazo relativamente corto (unos días).
  • Factura falsificada: en el caso de una transferencia de fondos, el mensaje debe incluir una factura que utilice exactamente el mismo formato que las facturas anteriores (logotipo, referencias, etc.). Sólo se modificarán los datos bancarios.

Manipulación (¿por qué funciona?)

Los ataques de whaling, y los ataques de phishing en general, funcionan gracias al factor humano. El atacante juega con la confianza utilizando un tono y un vocabulario apropiados. Es cierto que la solicitud puede ser inusual, pero sigue siendo coherente. El hecho de que provenga generalmente de un superior añade una dimensión de estrés que aumenta la confusión de la víctima y la adormece.

Unos días después del primer correo electrónico, si no se ha recibido respuesta, el ciberdelincuente enviará un recordatorio cortés y profesional preguntando, por ejemplo, si se ha recibido la factura.

Psicológicamente, se trata de un factor decisivo, ya que este segundo mensaje convierte el intercambio en parte de un proceso normal y rutinario: una tarea sencilla que la víctima debe llevar a cabo. Es precisamente este aspecto el que hace que la caza de ballenas sea tan peligrosa.

Ejemplos de ataques balleneros

El primer paso para protegerse de una amenaza es ser consciente de ella. El whaling puede afectar absolutamente a cualquier empresa, a cualquier organización que no tome las precauciones suficientes para protegerse contra él.

¿No está convencido? He aquí varios ejemplos de empresas de éxito, líderes en su sector, que han sufrido ataques de ballenas y han perdido millones de euros:

  • FACC, un fabricante austriaco de piezas aeroespaciales, fue blanco de un ataque en 2016. El departamento financiero de la empresa envió 47 millones de dólares a los ciberdelincuentes.
  • Ese mismo año, un miembro del equipo de nóminas de Snapchat envió la información bancaria de los empleados de la compañía a un hacker que se hizo pasar por el CEO Evan Spiegel.
  • Entre 2013 y 2015, Facebook envió más de 100 millones de dólares a un hacker que se hizo pasar por uno de sus antiguos proveedores.

Por qué aumenta la suplantación de identidad?

El phishing es el tipo de ataque online más común. En los últimos años se ha producido un aumento del 131% en los casos de whaling, lo que está relacionado con varios factores.

La principal razón de este aumento es la creciente digitalización del mundo profesional y el auge del teletrabajo. En este contexto, en el que los equipos ya no se comunican directamente en el lugar de trabajo, sino únicamente por correo electrónico, los riesgos se multiplican. Para ganar tiempo, se ignoran los protocolos de seguridad, lo que tiende a reducir la vigilancia en los casos comprobados de usurpación de identidad.

El otro factor de propagación del phishing y del whaling es la introducción de herramientas de inteligencia artificial en la estrategia de manipulación. Buscar información, analizar documentos, reproducir un estilo de escritura... La IA permite a los hackers optimizar sus procesos. Algunas IA son incluso capaces de generar vídeos ultrarrealistas, con caras y voces clonadas. Los hackers sólo tienen que simular una videollamada del superior jerárquico para solicitar una transferencia de fondos o validar una operación sensible.

El último elemento que explica el "éxito" del whaling es, por supuesto, su potencial de beneficio. Mientras que el phishing masivo sólo puede reportar unos cientos de euros por víctima, el whaling puede ganar millones en una sola operación.

Cómo protegerse contra el whaling: nuestros 5 consejos de ciberseguridad

Formar a todos los directivos y empleados

La primera línea de defensa contra las ciberamenazas es humana. La vigilancia es la clave para evitar muchos riesgos, especialmente cuando se trata de ataques de ingeniería social. Todos los empleados deben conocer las técnicas clásicas de phishing y spear phishing. Sin embargo, los directivos y ejecutivos en particular deben recibir formación sobre los riesgos de la suplantación de identidad. Es esencial implicarles en casos concretos de whaling y organizar ataques simulados. Al enfrentarse directamente a una amenaza, tomarán verdadera conciencia de los riesgos a los que se exponen.

Controlar su huella digital y proteger sus datos

Para establecer una estrategia de caza eficaz, los piratas informáticos necesitan información y documentos que explotar. Para complicarles la tarea, controle los datos que publica en las redes sociales y en el sitio web de la empresa.

Además, conciencie a los altos directivos de los peligros de compartir demasiada información profesional y personal en sus redes.

Para ello, pon en marcha una política clara de divulgación de datos para que todos los miembros de tu organización sepan qué pueden compartir y qué no.

Con este planteamiento, será mucho más fácil reconocer los correos electrónicos "balleneros", ya que dejarán de contener información válida.

Establezca protocolos de verificación estrictos

Un ataque de whaling se realiza siempre al margen de los procedimientos habituales de una empresa.

Por eso es esencial establecer protocolos estrictos (sobre todo para las solicitudes financieras) y respetarlos sin excepción.

Para las comunicaciones sensibles, establecer una contraseña o un código secreto también añade una capa adicional de seguridad.

Nunca acepte modificar sus procesos sobre la base de un simple mensaje de correo electrónico o telefónico. Este tipo de solicitud debe ser oficial y validada, en persona, por un superior jerárquico.

Refuerce la seguridad técnica de su empresa

La tecnología digital está ahora en todas partes, y los riesgos cibernéticos se multiplican. Las empresas que utilizan la nube y un complejo ecosistema de aplicaciones ya no pueden permitirse prescindir de una ciberseguridad eficaz.

Ya sea para combatir el malware, el ransomware o el phishing, su empresa necesita un arsenal completo de herramientas de protección.

En concreto, para protegerse contra el whaling, las características de seguridad esenciales son :

  • Un sistema de autenticación multifactor para las aplicaciones críticas.
  • Una solución avanzada de filtrado del correo electrónico para detectar los intentos de suplantación de identidad.
  • Una herramienta para bloquear en tiempo real los nombres de dominio de riesgo.

Aplicar una política de "mínimo privilegio

Este tipo de política es difícil de implantar en una empresa. Sin embargo, es la mejor manera de prevenir la difusión de información que podría acabar en la red oscura. Estas son las líneas generales para aplicar esta estrategia de "mínimo privilegio":

  • Limitar el acceso a los recursos sensibles a quienes realmente los necesiten.
  • Segmentar los sistemas de información para limitar la propagación en caso de compromiso.
  • Revisar periódicamente los derechos de acceso de las cuentas con privilegios elevados.

7 herramientas que te ayudarán en tu estrategia contra la caza de ballenas

Altospam

Altospam ha desarrollado Mailsafe, un software que protege los buzones de correo de su empresa contra el phishing y, en particular, el whaling. Combina un eficaz análisis heurístico y de comportamiento para detectar correos electrónicos con contenido sospechoso. Incorpora la funcionalidad de IA para un rendimiento de detección aún más impresionante (- 0,01% de falsos positivos). Altospam ofrece una integración óptima con herramientas de correo electrónico esenciales como Gmail y Outlook.

Protección de correo electrónico Barracuda

Barracuda Network ofrece una solución completa de seguridad informática. Uno de sus módulos está especialmente diseñado para hacer frente a los riesgos de phishing y whaling: Barracuda Email Protection. El software se basa en 3 características:

  • Un modo de detección completo (heurístico y comportamental).
  • Una herramienta de protección contra la usurpación de identidad.
  • Un sistema de validación de nombres de dominio.

Para llevar la seguridad al siguiente nivel, Barracuda ofrece "Impersonation Protection", un modelo de análisis basado en IA.

Punto de control antiphishing

La tecnología Harmony Email & Office de Check Point protege su empresa contra los ataques de phishing más sofisticados. El software es capaz de bloquear los intentos de suplantación de identidad antes de que lleguen a sus equipos.

Check Point ofrece protección integral para todas sus vulnerabilidades: correo electrónico, dispositivos móviles y estaciones de trabajo.

Cada mensaje se analiza en profundidad mediante una robusta tecnología de IA de alto rendimiento que examina más de 300 indicadores de amenazas de phishing.

Proteger (Mailinblack)

Protect de Mailinblack es una solución antiphishing que filtra correos electrónicos fraudulentos con gran eficacia. Sus funciones de detección se alimentan de tecnología de aprendizaje profundo entrenada en miles de millones de correos electrónicos al año. Sus equipos están protegidos contra el phishing, spearphishing, whaling, ransomware y spam.

Protect ofrece :

  • Detección en tiempo real con análisis de comportamiento y contextual de los correos electrónicos.
  • Un sistema de filtrado inteligente mediante inteligencia artificial.
  • Análisis completo de archivos adjuntos y enlaces en los mensajes.

Mailinblack también ofrece una versión más avanzada de su software, Protect Advanced.

Phished

Phished, como su nombre indica, es una empresa especializada en phishing y whaling. Lo especial de esta plataforma es que se centra en la formación más que en la tecnología para proteger su sistema informático. Su eslogan es el siguiente: "Construye tu cortafuegos humano".

Los resultados de este enfoque hablan por sí solos. En la actualidad, más de 3.500 empresas han aplicado sus estrategias de defensa y han observado un descenso significativo de la tasa de ataques de phishing con éxito.

GravityZone Small Business Security (Bitdefender)

GravityZone Small Business Security es una solución de ciberseguridad especialmente diseñada para responder a las necesidades de las pequeñas y medianas empresas. Gracias a su interfaz fácil de usar, no requiere la intervención de un equipo informático. El software ofrece una protección completa contra todas las ciberamenazas, con especial atención al phishing. Para este tipo de ataque, GravityZone Small Business Security bloquea el acceso a los sitios de phishing y muestra advertencias claras a los usuarios.

Cofense

Cofense es una solución de protección que utiliza ejemplos para concienciar y formar a los empleados. Su plataforma estrella, Cofense PhishMe, ofrece simulaciones realistas y personalizadas de ataques de phishing. La empresa también ofrece una plataforma de notificación de intentos de phishing y whaling para anticiparse a futuras técnicas de phishing.

La caza de ballenas en pocas palabras

La caza de ballenas es una amenaza que no debe tomarse a la ligera. Se suele pensar que los equipos de alta dirección están menos expuestos a los riesgos informáticos, porque están más atentos por razones de responsabilidad. Pero esto es precisamente lo que les hace tan vulnerables a los ataques de whaling bien preparados.

Un correo electrónico fraudulento, seguido de un mensaje de seguimiento, y luego una llamada telefónica (o una videoconferencia deepfake) pueden engañar absolutamente a cualquiera. Sólo hay tres maneras de protegerse: formación, vigilancia y protección técnica. No corra el riesgo de exponerse y refuerce cuanto antes su arsenal de seguridad humana y tecnológica.

Artículo traducido del francés