El ingenio de quienes utilizan las nuevas tecnologías para aprovecharse de los demás no parece tener límite. A día de hoy, cualquiera de nosotros podemos ser víctimas de fraudes en internet, tanto por la ingenuidad de quienes no tienen los conocimientos suficientes, como por la malicia de quienes intentan hacerse con datos e información nuestra a toda costa.
A la caza de las ballenas más interesantes y cómo obtener sus datos mediante engaño
Hablamos de ballenas en este tipo de fraudes por lo gigantesco de este animal. Estamos delante de una estafa que está siendo cada vez más habitual en el mundo empresarial y que viene a ser una variante del phishing que conocemos todos, que resulta ser un conjunto de técnicas informáticas que se utilizan para engañar a una víctima y que ésta realice acciones que no debería.
De la misma manera que un pescador lanza el anzuelo a ver si pica algún pez, aquí el estafador envía comunicaciones con la esperanza de que algún incauto caiga en sus redes.
Este método, también denominado whaling o fraude del CEO, suele ser un ataque de phishing donde la comunicación fraudulenta parece provenir de un estamento superior en la empresa o de un departamento del que depende el afectado. En ocasiones, se utiliza el nombre del CEO de la compañía para que la estrategia sea más creíble, lo que le da el sobrenombre mencionado.
El objetivo de este tipo de ataques, que se centran en un grupo de individuos en concreto en lugar de miles de personas, es adoptar la identidad de otra persona, estamos ante una modalidad de spear phishing, para poder acceder a la información almacenada en una organización o empresa en concreto. Ya sea que se busca dinero, documentación sensible o acceso a redes, el whale phishing suele estar enfocado en el sector empresarial.
El embaucador podría interceptar una conversación de correo electrónico para obtener en un momento dado una transferencia bancaria. También se podría enviar el link a una reunión por videollamada, cambiando el enlace por un malware que infecte su equipo informático y que le permita acceder a su contenido. Se podría disfrazar de Departamento de Recursos Humanos y solicitar las nóminas de los empleados, tanto actuales como pasados.
Existen diversos ejemplos de este tipo de engaño. En uno de ellos, tal y como se afirma en el prestigioso medio The Guardian, la compañía detrás de Snapchat sufrió un whale phising que liberó los datos de pago de sus empleados. La empresa declaró lo siguiente:
Hemos respondido rápida y agresivamente. En las cuatro primeras horas del incidente, hemos confirmado que el ataque phishing ha sido un accidente aislado y hemos informado de ello al FBI. Hemos empezado a contrastar qué empleados, actuales y pasados, podrían haber sido afectados. También hemos contactado con dichos empleados y les hemos ofrecido dos años de seguro gratuito antirrobo de identidad y monitorización.
Además de las habituales soluciones, como estar atento a la gramática de las comunicaciones, estos ataques podrían ser evitados con formación. Así mismo, contar con programas que eviten la entrada de malware y gestionar los correos electrónicos a través de mecanismos seguros, como establecer un cortafuegos a comunicaciones procedentes del exterior de la empresa, podrían ser otras armas para prevenir su éxito. Dado que muchos hackers utilizan información personal para dar credibilidad a su estafa, la publicación en redes sociales, como LikedIn o Facebook, debería estar más controlada por parte de las altas esferas de la compañía.
La realidad es que este tipo de ataques se han producido en el pasado, se siguen produciendo y si no se actúa con formación, se producirán más a menudo. La única manera que tenemos de protegernos de las malas intenciones de estas organizaciones criminales es poner en duda todo tipo de comunicaciones y verificar su procedencia, aunque nuestro flujo de trabajo se ralentice.