Un ataque ballena o phishing de ballenas es muy similar a un ataque de phishing, solo con objetivos más grandes como el c-suite. En este artículo, aprenda cómo mantenerse a la vanguardia de la amenaza y evitar una violación de datos.
¿Qué es un ataque ballena?
Un ataque de caza de ballenas es un ataque de spear phishing contra un ejecutivo de alto nivel. Este suele ser un empleado de nivel C, como un director ejecutivo o un director Financiero.
En este ataque, el hacker intenta manipular el objetivo. El objetivo podría ser transferencias de dinero de alto valor o secretos comerciales. El término caza de ballenas (o phishing de ballenas ) se refiere al alto valor del objetivo.
Diferencias entre phishing, phishing de ballenas y spear phishing
Con el phishing típico, los atacantes lanzan una amplia red. Esto a menudo significa enviar correo basura a una lista de correo.
Solo una fracción de los destinatarios debe responder para que valga la pena. Los ataques de phishing regulares a menudo piden dinero al objetivo y prometen pagar más dinero más tarde. El atacante luego toma el dinero y desaparece.
El phishing de lanza o spear phishing es ligeramente diferente.
En este tipo de ataque de phishing, el atacante identifica un objetivo específico. Los hackers aprenden detalles sobre su objetivo y adaptan el ataque en consecuencia.
Un phisher de lanza podría seleccionar a una persona en el departamento de TI de una gran corporación.
Luego, aprende los hábitos, gustos y disgustos de esa persona para usar ese conocimiento para ganar confianza.
El atacante puede usar la ingeniería social contra el objetivo. La víctima puede otorgar acceso a datos confidenciales o incluso transferir dinero.
Los ataques de spear phishing son personas comunes y corrientes. Un ataque de caza de ballenas apunta a un objetivo de alto nivel o difícil.
Este suele ser un empleado de nivel C de una corporación. Estos objetivos a menudo tienen una mejor conciencia de seguridad.
Un ataque ballena generalmente busca grandes transferencias de dinero o secretos comerciales.
Estadísticas de Ataques Ballena
- El 30 % de los correos electrónicos de ataque ballena son abiertos por usuarios específicos y 12 % de esos usuarios hacen clic en el enlace malicioso (Informe de investigaciones de violación de datos de Verizon)
- En 2018, los correos electrónicos de spear-phishing fueron el vector de infección más utilizado, empleado por el 71 % que organizó ataques cibernéticos. (Symantec)
- El 95 % de todos los ataques a redes empresariales son el resultado de un phishing de lanza exitoso. (Instituto SANS)
Cómo funciona el phishing de ballenas
- Urgencia: una táctica de phishing usual es crear un sentido de urgencia. Los ataques de caza de ballenas no son diferentes. El ataque ballena generalmente implica consecuencias masivas y un corto período de tiempo. La urgencia desalienta al objetivo de tomarse el tiempo para considerar sus acciones.
- Alto riesgo / bajo esfuerzo: el atacante puede amenazar una demanda costosa o una exposición de relaciones públicas. Estas amenazas serían desastrosas para la empresa o el individuo. El hacker quiere que el objetivo omita el procedimiento de seguridad. Por lo general, la acción es simple en comparación con el peligro. Un ejemplo podría ser transferir fondos para evitar acciones regulatorias. Otro podría estar haciendo clic en un enlace a un sitio web que instala un programa malicioso. Este ataque ballena utiliza una amenaza sustancial para obtener una respuesta de bajo esfuerzo.
- Detalles específicos: los ataques de caza de ballenas pueden producir grandes recompensas. Los atacantes dedican mucho tiempo y esfuerzo al ataque. La ingeniería social se usa a menudo para obtener información personal. Investigan la compañía para conocer los nombres y logros de diferentes empleados y usan los detalles para explotar la confianza del objetivo. Si el objetivo confía en el atacante, es más probable que lo cumplan.
- Suplantación: otra táctica común de ataque ballena es el uso de la suplantación. Un hacker puede utilizar detalles de la corporación para hacerse pasar por un funcionario superior. Por ejemplo, un atacante podría hacerse pasar por un gerente superior y solicitar un informe de nómina de empleados. O, pueden pretender ser un compañero de trabajo conocido por el objetivo. A menudo, la dirección de correo electrónico es falsificada , o falsificada, para parecer auténtica. La suplantación de identidad puede incluir una dirección de correo electrónico de aspecto válido y logotipos de la empresa.
Cómo prevenir el phishing de ballenas
Educar a los empleados en puestos sensibles.
Esto incluye toda la alta gerencia. También es aconsejable educar a los empleados en puestos delicados como TI y contabilidad. Los empleados en puestos ejecutivos también tienen objetivos tentadores. Capacite a TODOS los empleados para que tengan cuidado con los ataques de phishing y caza de ballenas. Si los empleados saben a qué vigilar, pueden protegerse.
Los sitios de redes sociales proporcionan una gran cantidad de información para la ingeniería social. Un atacante podría saber que un ejecutivo quemó las hamburguesas en un picnic de la compañía y luego usar esa información para generar credibilidad. Mantener los perfiles privados ayuda a limitar la capacidad de un atacante para encontrar datos comprometedores.
Marcar correos electrónicos de fuera de la empresa
Los ataques de caza de ballenas a menudo se hacen pasar por alguien de la empresa. Marcar correos electrónicos externos puede advertir a los usuarios que el atacante no es quien dicen ser. Los atacantes rara vez atacan desde la misma empresa. Esta estrategia puede crear conciencia sobre un ataque.
Practica y aplica una buena higiene del correo electrónico
Los usuarios no deben hacer clic en enlaces sospechosos o archivos adjuntos no solicitados.
Si el empleado no solicitó específicamente el correo electrónico, debe tener especial cuidado. Cualquier cosa que requiera una acción inmediata y drástica debe ser verificada.

Escanee correos electrónicos con un escáner de virus y malware. Pase el puntero del mouse sobre el nombre del remitente para ver la dirección de correo electrónico real. En un correo electrónico basado en la web, haga clic en «más información» o «mostrar detalles» para ver al remitente.
Utilice un sistema de verificación para acciones drásticas.
La capacitación en conciencia de seguridad es clave. Capacite a su personal sobre los procedimientos de seguridad de datos y cómo verificar si hay correos electrónicos de phishing sospechosos. Indique a los empleados sensibles que comprueben solicitudes inusuales.
Por ejemplo, un empleado puede revisar la amenaza de una demanda con el departamento legal. O bien, pueden llamar a un gerente superior por teléfono para verificar la transferencia de los registros de impuestos de los empleados. Considere una política que requiera la comprobación de transferencias bancarias.
Emplear tecnologías de protección de datos.
La gente comete errores y los hackers son especialistas en ingeniería social. Como último recurso, implemente prácticas de datos que dificulten que un individuo cause daños .
Use la administración de acceso, asegúrese de que el acceso del usuario raíz esté limitado al punto de necesidad. Además, asegúrese de que todos los permisos de usuario sean apropiados y necesarios para cada función de trabajo. Implemente y mantenga el conjunto habitual de herramientas de seguridad de TI: firewalls, software de detección de intrusos y utilidades de escaneo de malware.
La protección activa contra amenazas mantiene su negocio a salvo de la caza de ballenas
La caza de ballenas se parece mucho a la suplantación de identidad, solo con peces más grandes.
Los objetivos de caza de ballenas producen recompensas mucho mayores, lo que crea un incentivo para invertir más esfuerzo en un ataque. Aunque cualquiera puede ser vulnerable a la ingeniería social, la capacitación en seguridad sigue siendo la mejor defensa. Los empleados de alto nivel deben esperar ser un objetivo y defenderse en consecuencia. En caso de incumplimiento, la planificación de respuesta a incidentes puede ayudar a mitigar el daño.
[isc_list]