What is whaling and whom does it typically target?

Whaling, also known as whale phishing, is a specialized digital attack that focuses on high-level leaders and C-suite executives. Unlike broad phishing attempts, these attacks are highly personalized and involve extensive research to target individuals with significant authority or access.

How does a whaling attack differ from standard business email compromise?

While both methods use social engineering, whaling specifically targets prominent, high-ranking figures within an organization. Because the potential rewards are greater, whaling campaigns are often more persistent and intricately designed than typical BEC attacks, which may target employees at any level.

What are the primary motives behind whaling attacks?

Scammers carry out whaling campaigns to obtain large sums of money, gain entry into secure systems, or steal highly sensitive corporate data.

Which social engineering techniques do attackers use to build trust?

Attackers may interact with a target over weeks or months to establish a sense of legitimacy before making a malicious request. They often use personal details, mimic a specific person's writing style, or even use deepfakes and compromised accounts to appear authentic.

In what ways do scammers use urgency to manipulate their targets?

Whaling messages often raise the stakes by linking their requests to critical events like legal inquiries, company mergers, or data breaches. This pressures the executive to act immediately to avoid a perceived negative consequence.

What is whaling phishing?

¿Qué es el whale phishing?

"Whaling", o "whale phishing", se refiere a los ataques de phishing dirigidos específicamente contra objetivos de perfil alto. Los ataques de whaling implican un alto grado de personalización.

¿Qué es el whaling?

El whaling o whale phishing es un tipo de ataque dirigido a ejecutivos de alto nivel, normalmente a través de canales digitales como el correo electrónico, los mensajes de texto o la mensajería instantánea. El whaling, una forma de phishing de objetivo definido, es muy personalizado y suele implicar mucha investigación por parte del estafador. El objetivo de un ataque de whale phishing son los datos, el acceso o el dinero. Debido a que el whaling se dirige a miembros de la alta dirección o a otros altos cargos, los estafadores tienden a ir en busca de datos extremadamente confidenciales, altos niveles de acceso o grandes cantidades de dinero.

Al igual que otros tipos de phishing, el whaling implica la ingeniería social para que el objetivo actúe con rapidez. Los estafadores utilizan una serie de técnicas para ocultar sus verdaderas identidades, desde la suplantación de dominio hasta la suplantación de identidad.

Los ataques de whaling, aunque caros y lentos (para el atacante) y, por lo tanto, más inusuales, pueden tener un enorme impacto negativo en una empresa. Adicionalmente a las típicas medidas de protección contra el phishing, las organizaciones deben protegerse contra el whaling, ya que este tipo de ataques utiliza tácticas que pueden eludir las medidas de seguridad habituales.

Los estafadores pueden hacer lo imposible para diseñar sus campañas de whaling. Desde su perspectiva, los ataques de whaling merecen la pena porque el objetivo es que sean muy lucrativos. Algunas de las principales tácticas que utilizan son:

Inclusión de datos personales para ganar legitimidad: la personalización ayuda a que el mensaje parezca auténtico. Los detalles sobre el trabajo o la vida personal de la víctima prevista pueden proceder de diversas fuentes.

Una mayor presión: los mensajes de whaling pueden incitar al objetivo a tomar medidas de inmediato, antes de que conlleve consecuencias negativas. Para generar una mayor sensación de urgencia, los ataques de whaling suelen estar relacionados con eventos importantes o muy visibles, como fusiones empresariales, investigaciones legales, transacciones financieras importantes o fugas de datos.

Suplantación de una persona de confianza: los estafadores utilizan la suplantación de dominios, identificadores de mensajería instantánea falsos o incluso números de teléfono con intercambio de SIM para hacerse pasar por alguien que el objetivo conoce. Pueden imitar el estilo de escritura de la persona de confianza, o utilizar deepfakes para imitar su voz o su apariencia. Los atacantes de whaling pueden incluso utilizar la cuenta real de la persona de confianza si esta ha quedado expuesta como resultado de una campaña anterior de usurpación de cuentas. Una versión común de esta táctica consiste en que el estafador se hace pasar por el director general y se pone en contacto con ejecutivos de RR. HH. o con miembros de alto nivel del departamento financiero.

Varias interacciones, no solo un único correo electrónico como en un ataque de phishing común. El estafador puede intentar ganarse la confianza de la víctima durante un periodo de semanas o meses. Por ejemplo, un estafador que se haga pasar por el director general de Acme Corp. podría enviar correos electrónicos al director de RR. HH. de Acme Corp. desde una dirección de correo electrónico que difiera ligeramente del correo electrónico del director general real, pero con mensajes legítimos para que el director de RR. HH. se acostumbre a responder a este tipo de correos electrónicos. Luego, una vez que se ha ganado su confianza, expresan su solicitud malintencionada.

Inserción de mensajes como parte de una conversación o transacción en curso: los atacantes van un paso más allá de la suplantación y pueden enviar mensajes como parte de hilos preexistentes. Aunque es difícil aplicar esta táctica con éxito, puede ser posible gracias a ataques de usurpación de cuentas anteriores que hayan logrado su objetivo.

¿Cómo personalizan sus mensajes los atacantes de whaling?

Los estafadores cuentan con una serie de canales a su disposición donde obtener la información que necesitan para personalizar sus mensajes, de manera que resulten familiares a la víctima.

Información disponible públicamente: los objetivos del whaling pueden tener roles muy visibles, lo que significa que puede haber mucha información sobre ellos disponible públicamente. Los atacantes pueden utilizar esta información para decidir a quién atacar, para planificar sus ataques y para personalizar los mensajes individuales que enviarán.
Información en las redes sociales: por ejemplo, si un director técnico acaba de asistir a una conferencia en Las Vegas (Nevada) y publica sobre ello, un atacante podría hacerse pasar por un contacto que haya conocido en esa conferencia.
Investigación de la jerarquía y las funciones de la empresa: se puede conocer una gran parte de la jerarquía de una empresa en su sitio web o en las plataformas de redes sociales.
Datos expuestos con anterioridad: en la dark web es posible comprar información personal, incluida la información de contacto, o bien el estafador puede haber obtenido dicha información a partir de ataques anteriores.
Participación interna (intencional o involuntaria): los atacantes pueden utilizar la ingeniería social para manipular a los empleados de la empresa a fin de que revelen información privilegiada sobre la estructura y el funcionamiento de una empresa, o sobre los hábitos de sus directivos. Como alternativa, los informantes malintencionados y los espías corporativos pueden comunicar deliberadamente esta información a ciberdelincuentes de whaling.

¿Cómo utilizan la IA los ataques de whale phishing?

Para generar los mensajes: los modelos de lenguaje de gran tamaño (LLM) facilitan mucho la redacción de mensajes o correos electrónicos convincentes y sin errores.
Para imitar a personas de confianza: la IA puede ayudar a los estafadores a imitar el estilo de escritura o la voz de alguien por teléfono.
Vibe coding para imitar la marca: la creación de sitios web falsos o el diseño de correos electrónicos que parezcan auténticos es más rápido que nunca con el vide coding.
Automatización: parte del proceso de identificación de objetivos potenciales, las cuentas descendentes en riesgo u otros aspectos del ciclo de vida del ataque de whaling se puede automatizar utilizando la IA.

Whaling vs. los ataques al correo electrónico corporativo (BEC)

Los ataques de whaling comparten algunas características con los ataques al correo electrónico corporativo (BEC). Al igual que los ataques BEC, los ataques de whaling dependen en gran medida de la ingeniería social (en lugar de malware o de enlaces maliciosos), por lo que es más probable que eludan los filtros de seguridad del correo electrónico. Sin embargo, los ataques BEC pueden tener como objetivo a miembros de nivel bajo o medio de una organización, mientras que el whaling tiene como objetivo exclusivamente a los altos directivos o a otras figuras destacadas de alto rango. Debido a que los atacantes esperan obtener mayores beneficios, los ataques de whaling pueden ser incluso más complejos que las campañas BEC típicas, y los atacantes pueden ser muy persistentes.

El whaling también puede tener lugar a través de otros canales además del correo electrónico. De hecho, los ataques multicanal son ahora más comunes en todos los tipos de phishing.

Cómo evitar los ataques de whaling

Es probable que los atacantes que invierten suficientes recursos y tiempo en llevar a cabo un ataque de whaling se aseguren de que sus correos electrónicos pasen las comprobaciones de seguridad básicas como DMARC, DKIM y SPF. Por supuesto, no siempre es así y vale la pena utilizar estas comprobaciones de seguridad, pero no se debe confiar únicamente en ellas. Además, es posible que los ataques de whale phishing no activen las pasarelas de correo electrónico seguras tradicionales, ya que no suelen incluir enlaces o archivos adjuntos maliciosos, y es posible que los atacantes tengan cuidado de evitar enviarlos desde direcciones IP maliciosas conocidas.

Por estas razones, los filtros de seguridad del correo electrónico que analizan la reputación del remitente, el sentimiento del mensaje y el contexto de la conversación, junto con otros atributos, son esenciales para detectar posibles ataques de whaling (al igual que en la prevención de los ataques BEC). Las solicitudes o mensajes inusuales se pueden marcar como sospechosos e investigar o bloquear.

Por último, todos los empleados, contratistas y responsables de una organización deben recibir formación periódica sobre cómo detectar posibles campañas de phishing, así como sobre cómo ponerse en contacto con el supuesto remitente de un correo electrónico o de un mensaje a través de otro canal de confianza antes de realizar transacciones importantes.

Descubre cómo Cloudflare Email Security bloquea los ataques de whaling y BEC antes de que se produzcan.

Preguntas frecuentes

¿Qué es el whaling y quiénes suelen ser sus objetivos?

El whaling o whale phishing es un ataque digital especializado que se centra en los líderes de alto nivel y los altos ejecutivos. A diferencia de los intentos del phishing genérico, estos ataques son muy personalizados e implican una investigación exhaustiva para dirigirse a personas con gran autoridad o un acceso importante.

¿En qué se diferencia un ataque de whaling respecto a un ataque al correo electrónico corporativo estándar?

Aunque ambos métodos utilizan la ingeniería social, el whaling se dirige específicamente a figuras destacadas y de alto rango dentro de una organización. Debido a que las recompensas potenciales son mayores, las campañas de whaling suelen ser más persistentes y tienen un diseño más complejo que los típicos ataques BEC, que pueden tener como objetivo a empleados de cualquier nivel.

¿Cuáles son las motivaciones principales de los ataques de whaling?

Los estafadores llevan a cabo campañas de whaling para obtener grandes sumas de dinero, acceder a sistemas protegidos o robar datos corporativos muy confidenciales.

Los atacantes pueden interactuar con un objetivo durante semanas o meses a fin de generar una sensación de legitimidad antes de realizar una solicitud maliciosa. A menudo utilizan datos personales, imitan el estilo de escritura de una persona específica o incluso utilizan deepfakes y cuentas expuestas a fin de parecer auténticos.

¿De qué manera utilizan los estafadores la sensación de urgencia para manipular a sus objetivos?

Los mensajes de whaling a menudo aumentan la presión sobre la víctima al vincular sus solicitudes a eventos críticos como investigaciones legales, fusiones de empresas o fugas de datos. Esto presiona al ejecutivo a actuar de inmediato para evitar lo que perciben como una consecuencia negativa.