Ataque de caza de ballenas, cuando los delincuentes se creen el capitán Ahab

El ataque de caza de ballenas es un tipo de phishing que se dirige contra los directivos de las empresas para obtener información crítica o cometer fraudes de gran envergadura

Muchos conceptos de la ciberseguridad tienen su origen en prácticas humanas con siglos de antigüedad. Uno de estos términos es la caza de ballenas, una actividad pesquera de antiquísima tradición que hoy en día también hace referencia a una práctica maliciosa: lanzar ataques de ingeniería social dirigidos contra cargos directivos de las empresas.

La caza de ballenas es una variante sofisticada del phishing, la tipología de ingeniería social más empleada por los actores maliciosos. El propio concepto de phishing tiene su origen en un juego sonoro con el verbo pescar (fishing en inglés), para hacer referencia a que los delincuentes lanzan campañas (como si fuesen redes de pesca) para engañar a personas y empresas y ver cuántas pican. Mientras que mediante el phishing se busca capturar a todo tipo de peces, la caza de ballenas solo tiene como objetivo a los «peces gordos» de las empresas.

De tal forma que los delincuentes se comportan como si fuesen Ahab, el capitán obsesionado con dar caza a Moby Dick, la ballena más famosa de la historia creada por el novelista Herman Melville.

En vez de emplear arpones para atrapar a sus víctimas, los actores maliciosos suplantan la identidad de compañías de confianza para sus víctimas y les envían emails para establecer una relación de comunicación que les permita alcanzar sus objetivos: que la víctima acceda a una web infectada con malware, descargue un documento infectado, realice una determinada acción o facilite información confidencial.

A continuación, vamos a desgranar las claves de la caza de ballenas y la forma de hacer frente a una amenaza que puede resultar difícil de detectar, más aún tras la irrupción de la IA generativa.

Una tipología de phishing dirigido en la que es crítica la preparación

En la caza de ballenas, a diferencia de en las campañas de phishing básicas, es primordial llevar a cabo una investigación previa sobre las víctimas. Tanto en lo que respecta a los propios cargos directivos, como en lo relativo a sus empresas.

En primer lugar, se debe elegir a una víctima. ¿Qué factores se tienen en cuenta? Las características de la empresa en la que ejerce sus funciones, así como los objetivos del ataque.

En segundo lugar, se ha de investigar a la víctima para obtener el mayor volumen de información posible sobre ella. Para eso, se rastrea su presencia digital. Se buscan datos en las webs corporativas, se consultan sus perfiles en redes sociales, sobre todo en aquellas que tienen un enfoque profesional como LinkedIn y se recopilan datos de contacto básicos como el email o, incluso, el teléfono personal.

En tercer lugar, se prepara la propia operativa del ataque:

• Suplantar la identidad de una organización que genere confianza en la víctima copiando la identidad visual de sus emails, empleando direcciones de correo y URLs que parezcan legítimas…
• Preparar los mensajes que se le van a enviar a la víctima para lograr engañarla.
• Desarrollar o adquirir un malware en caso de que se opte por usar un programa malicioso para obtener información.
• Crear una web si se opta por redirigir a la víctima a una página infectada con malware.

4 objetivos maliciosos de la caza de ballenas

¿Qué objetivos persiguen los actores maliciosos que llevan a cabo una campaña de caza de ballenas? Son, esencial, algunos de los objetivos habituales de los ciberdelincuentes:

1. Robar información confidencial sobre la empresa: datos sobre clientes, información estratégica…
2. Obtener credenciales de acceso a software, redes y sistemas corporativos.
3. Acometer estafas económicas logrando que el directivo autorice transacciones financieras falsas. Este objetivo emparenta a la caza de ballenas con otra tipología de phishing: el fraude del CEO. Sin embargo, en dicha técnica el directivo no es la víctima directa, sino que se suplanta su identidad para engañar a un profesional que está a su cargo.
4. Espiar a directivos para conseguir secretos empresariales y vendérselos a la competencia.

5 elementos claves de un ataque de caza de ballenas

¿Por qué pueden tener éxito los ataques de caza de ballenas? Esta tipología de phishing combina cinco elementos que dificultan su detección por parte de las víctimas:

1. Apariencia de realidad

La apariencia del email que recibe la víctima no levanta ninguna sospecha porque es coherente con la identidad visual de la organización suplantada, el dominio del email tampoco parece sospechoso y la información que contiene el mensaje no genera suspicacias. Es más, los actores maliciosos también pueden elaborar documentos supuestamente corporativos que resulten veraces. Como apuntamos antes, cuanto mejor sea la preparación del ataque de caza de ballenas, tendrá más probabilidades de éxito.

2. Sensación de urgencia

En cualquier ataque de caza de ballenas, los actores maliciosos buscan que sus víctimas realicen una acción. Para evitar que dicha acción se lleve a cabo sin que la víctima tenga tiempo de reflexionar sobre la veracidad del mensaje, se busca generar en ella una sensación de urgencia. Pensemos, por ejemplo, en un socio comercial que ofrece a un directivo una oferta muy atractiva para que adquiera un determinado producto o servicio. Sin embargo, dicha oferta tiene una fecha de expiración cercana, con lo que se busca que la víctima realice una transferencia bancaria de manera inmediata.

3. Insistencia de confidencialidad

Muchas operaciones empresariales se deben realizar con discreción, de ahí que solicitar la confidencialidad de la víctima no resulte extraño ni haga saltar las alarmas.

4. Refuerzo de la confianza

Si a pesar de los elementos anteriores, el directivo atacado sospecha del intercambio de emails que está llevando a cabo, los delincuentes pueden complementar el uso del email con la realización de llamadas telefónicas para despejar las dudas de sus víctimas y lograr que confíen en ellos.

5. Superación de los filtros antispam

Las campañas de phishing básicas se lanzan contra miles de emails. De ahí que los gestores de correo hayan desarrollado filtros para evitar que esta clase de mensajes lleguen a las bandejas principales de los usuarios. Sin embargo, la detección de un ataque de caza de ballenas es mucho más compleja, porque no se producen grandes volúmenes de envíos con mensajes idénticos.

3 ejemplos de un ataque de caza de ballenas

Las características de un ataque de caza de ballenas dependen directamente de los objetivos de los actores maliciosos que ponen en marcha el ataque.

A lo largo de los últimos años, los profesionales de ciberinteligencia de Tarlogic han investigado esta técnica de phishing para detectar las TTPs empleadas por los actores maliciosos e identificar sus operativas. A la luz de su experiencia y del conocimiento que han generado y sistematizado durante este tiempo, destacan tres ejemplos de ataque de caza de ballenas:

1. Enlace malicioso. El actor hostil le propone a la víctima una reunión por videoconferencia. Por ejemplo, para negociar un contrato. O, incluso, para ofrecerle una propuesta de trabajo. Para ello, le envía un enlace desde el que podrá acceder a la reunión. Sin embargo, se trata de un enlace que apunta a un malware como ransomware o infostealer.
2. Desvío de transferencia. Se han detectado casuísticas en las que los delincuentes son capaces de interceptar una conversación vía email y suplantar a una de las partes para lograr que la víctima realice o autorice un pago que va a parar a una cuenta de los delincuentes.
3. Solicitud de información salarial. El actor malicioso solicita a un directivo con responsabilidad en la gestión de los recursos humanos de la empresa información sobre los salarios de los profesionales de la organización. Estos datos pueden ser de gran interés para la compañía y dañar la estrategia de captación y retención de talento de la empresa.

¿Puede usarse la IA generativa para perfeccionar los ataques?

El uso de sistemas de IA generativa que son capaces de crear textos, imágenes y audios y sirven para picar código y crear webs e, incluso, ayudar al desarrollo de malware supone un riesgo de enorme envergadura.

Gracias a esta tecnología crítica de esta era, los actores maliciosos pueden perfeccionar sus operativas y dotar a los ataques de caza de ballenas de una mayor credibilidad. Todo ello sin tener que emplear una gran cantidad de recursos económicos y reduciendo los tiempos de preparación de los ataques.

Además, claro está, de que resulta más difícil detectar la suplantación de identidad. De hecho, es posible clonar la voz de una persona para hacerse pasar por ella en una llamada y convencer a la víctima de que un intercambio comunicativo es real.

Cómo enfrentarse a la caza de ballenas

Un ataque de caza de ballenas puede generar consecuencias perniciosas tanto para sus víctimas directas y las organizaciones en las que ocupan puestos de responsabilidad, como para las empresas cuya identidad es suplantada.

Por eso, muchas compañías contratan servicios de ciberinteligencia para combatir el fraude digital y detectar campañas de caza de ballenas en las que se creen webs y dominios falsos que simulan ser legítimos.

Además, todas las empresas deben tomarse en serio la posibilidad de sufrir un ataque de caza de ballenas. Puesto que, si los actores maliciosos cumplen sus objetivos, las compañías tienen que afrontar pérdidas económicas directas, robo, secuestro o exfiltración de datos, daños reputacionales, sanciones y conflictos legales en caso de que se filtre información personal de clientes o trabajadores.

Prevención y respuesta

¿Qué pueden hacer las empresas y sus directivos para protegerse frente a un ataque de caza de ballenas?

1. Someterse a un test de ingeniería social en el que específicamente se compruebe la resiliencia frente a un ataque de caza de ballenas por parte de los cargos directivos de la organización. Esta clase de prueba de seguridad ayuda a concienciar y formar a los responsables de una empresa, dotándolos de los conocimientos necesarios para detectar situaciones fraudulentas y actuar con precaución, también, a la hora de compartir información personal o profesional a través de sus redes sociales.
2. Llevar a cabo auditorías de seguridad de aplicaciones web periódicas para detectar, priorizar y mitigar vulnerabilidades en su infraestructura tecnológica que puedan ser explotadas por actores maliciosos que, por ejemplo, han logrado que un directivo descargue un malware en un equipo corporativo o que desean interceptar conversaciones por email.
3. Contar con mecanismos y políticas de seguridad que permitan prevenir la llegada de emails falsos a las bandejas de entrada de los directivos en particular y de todos los profesionales en general.
4. Disponer de un equipo de respuesta a incidentes que pueda actuar desde el minuto 1 para contener un ataque, identificar el compromiso y expulsar al actor malicioso antes de que cumpla con sus objetivos.

Al final de Moby Dick, la ballena era capaz de arrastrar a Ahab a lo más hondo de las profundidades marinas. Los profesionales de ciberseguridad disponen de los conocimientos y las herramientas necesarias para hacer frente a un ataque de caza de ballenas y proteger a los directivos y a las empresas frente a los actores maliciosos para que no tengan éxito en su recorrido por los mares empresariales.