En el actual panorama de amenazas, los ciberdelincuentes ya no se conforman con atacar a empleados al azar. Cada vez con más frecuencia, ponen el foco en los perfiles con mayor capacidad de decisión dentro de las organizaciones. Este tipo de ataques, conocidos como whaling o “caza de ballenas”, buscan comprometer a altos directivos para obtener un botín mucho mayor, ya sea en forma de transferencias fraudulentas o acceso a información corporativa sensible.

Según ESET, compañía líder en ciberseguridad, un ataque de whaling es, en esencia, una modalidad de phishing altamente personalizada que se dirige a miembros sénior de una empresa. Puede materializarse a través de correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentas, e incluso mediante técnicas de business email compromise (BEC). La diferencia clave frente a otras estafas similares no está en la técnica, sino en el objetivo: cuanto más alto es el cargo, mayor es el impacto potencial.

“Los directivos suelen disponer de poco tiempo y manejan información crítica a diario, lo que incrementa el riesgo de que actúen con rapidez ante una solicitud aparentemente legítima”, explica Josep Albors, director de Investigación y Concieniación de ESET España. “Además, su presencia pública facilita que los atacantes recopilen información para construir engaños muy creíbles”.

¿Por qué los altos cargos son un objetivo prioritario y cómo se desarrollan los ataques?

Los atacantes saben que los miembros de la alta dirección reúnen una serie de características que los hacen especialmente atractivos. Por un lado, su agenda suele ser muy ajustada, lo que puede llevar a aprobar una petición urgente sin las comprobaciones habituales. Por otro, su visibilidad en Internet, a través de redes sociales, entrevistas o la web corporativa, proporciona a los delincuentes abundante material para afinar sus ataques de ingeniería social. A esto se suma su acceso privilegiado a datos financieros, estratégicos o de propiedad intelectual, así como la autoridad para autorizar transferencias de gran volumen.

En este contexto, antes de lanzar el ataque, los ciberdelincuentes dedican tiempo a investigar a su objetivo. Analizan su entorno profesional, identifican colaboradores cercanos y estudian su estilo de comunicación. Con esta información, elaboran mensajes falsificados que simulan proceder de una fuente de confianza y que suelen apelar a la urgencia para provocar una reacción inmediata. El objetivo final puede ser doble: conseguir que el directivo revele sus credenciales o que instale malware de forma inadvertida, o bien inducirle a autorizar una transferencia fraudulenta. En algunos casos, el compromiso de la cuenta de correo del ejecutivo sirve como trampolín para engañar a otros empleados de la organización.

La inteligencia artificial, un nuevo aliado para los ‘cazadores de ballenas’

La irrupción de la inteligencia artificial está elevando aún más el nivel de estas amenazas, recuerda ESET. Las herramientas de IA permiten automatizar la recopilación de información, redactar mensajes con un lenguaje natural impecable e incluso imitar el estilo de escritura de una persona concreta. También facilitan la creación de deepfakes de voz o vídeo para ataques de vishing, haciendo que las estafas sean más difíciles de detectar.

“Con la IA, este tipo de ataques no solo son más sofisticados, sino también más accesibles para un mayor número de actores maliciosos. Por eso es fundamental que las empresas adapten sus estrategias de defensa a esta nueva realidad”, advierte Albors.

Cómo reducir el riesgo de whaling

Para frenar a los llamados “cazadores de ballenas”, ESET insiste en que las organizaciones deben combinar tecnología, procesos y concienciación. En el caso de los directivos, resulta clave ofrecer formaciones específicas y adaptadas a su realidad, que incluyan ejemplos actualizados y simulaciones breves. Algunas recomendaciones clave ofrecidas por la compañía experta en ciberseguridad incluyen:

• Establecer procesos estrictos de aprobación para transferencias de alto valor, con doble verificación y confirmación por canales alternativos.
• Reforzar la seguridad del correo electrónico con soluciones basadas en IA capaces de detectar patrones sospechosos.
• Implementar herramientas de detección de deepfakes en llamadas potencialmente maliciosas.
• Aplicar principios de Zero Trust, limitando privilegios y accesos para reducir el impacto de una posible cuenta comprometida.

“Además, conviene revisar la cantidad de información corporativa que se publica de forma abierta. En un contexto donde la IA facilita la recopilación y explotación de datos, reducir la exposición puede marcar la diferencia frente a este tipo de amenazas”, concluye Josep Albors.