La suplantación de identidad (phishing) fue el ciberdelito más común denunciado al Centro de Quejas de Delitos en Internet(ventana nueva) en 2024. Hemos escrito sobre qué es la suplantación de identidad y hemos dado algunos ejemplos de correos electrónicos de suplantación convincentes en nuestro blog, pero los ciberdelincuentes siempre están ajustando sus ataques para maximizar su beneficio.
Una versión más eficaz de la suplantación de identidad es cuando los atacantes se dirigen a personas específicas, lo que se llama whaling o spear phishing. Si bien la suplantación de identidad puede dirigirse a individuos o empresas, el whaling y el spear phishing se dirigen específicamente a personas dentro de una empresa. Es importante comprender la diferencia entre estos términos, así como la forma de detectarlos y protegerse contra ellos.
¿Cuál es la diferencia entre whaling, phishing y spear phishing?
La suplantación de identidad (phishing) es un método que los hackers utilizan para engañarte y que compartas información confidencial con ellos. Si alguna vez has recibido un correo electrónico sospechoso de un servicio como Amazon, Google o PayPal diciéndote que tu cuenta ha sido congelada, has sido blanco de un intento de suplantación. Estos ataques son amplios y tienen como objetivo obtener tantas respuestas como sea posible. Los recibirás tanto en tu dirección de correo electrónico personal como en la del trabajo.
Los ataques de spear phishing y whaling utilizan las mismas tácticas que la suplantación de identidad, pero las despliegan en un conjunto mucho más pequeño y específico de objetivos dentro de una empresa. Ambos tipos de ataque entran ampliamente en la categoría de suplantación de identidad, pero merece la pena comprender cómo el objetivo de un hacker afecta a las tácticas que utiliza.
¿Qué es el spear phishing?
El spear phishing toma las mismas técnicas generales utilizadas para los ataques de suplantación y las adapta a personas específicas. Las personas atacadas por spear phishing a menudo trabajan en departamentos legales o financieros, lo que les da acceso a datos particularmente confidenciales y valiosos.
Según una investigación publicada por Barracuda Networks(ventana nueva), más del 80 % de los ataques de spear phishing implican suplantación de marca. Tras analizar 360 000 correos electrónicos de suplantación durante tres meses, la firma descubrió que Microsoft y Apple son las marcas más suplantadas, siendo más probable que los ataques ocurran entre el martes y el jueves y que aumenten alrededor de eventos como la temporada de impuestos. Este nivel de planificación por parte de los estafadores habla de lo mucho que estudian a los empleados y planifican sus ataques.
El informe sugiere que los tres asuntos principales utilizados por los ataques de spear phishing son alguna variación de los siguientes:
- Solicitud
- Seguimiento
- Urgente/Importante
No es sorprendente que los asuntos creen una sensación de urgencia o la impresión de que ya has estado en contacto con el remitente. También puede haber motivaciones políticas para los ataques de spear phishing. En 2024, Microsoft publicó información de inteligencia(ventana nueva) sobre la interferencia iraní en las elecciones de EE. UU. La cuenta de Hotmail de Microsoft de un exasesor principal fue comprometida para lanzar un ataque dirigido a un funcionario de alto rango en una campaña presidencial.
¿Qué es el whaling?
Mientras que el spear phishing se dirige a varios individuos de alto nivel, el whaling se dirige a… bueno, ballenas. El whaling es efectivamente spear phishing dirigido a un objetivo muy valioso, como un CEO o un director financiero. Estos ataques son altamente personalizados y meticulosamente investigados. Los ciberdelincuentes pueden ganar dinero, así como obtener acceso a datos confidenciales como la propiedad intelectual o información de inversores, chantajear a sus objetivos y causar un enorme daño a la reputación.
Los ataques de whaling tardan meses, si no años, en planificarse de manera efectiva, y los delincuentes apuntan a empresas que atraviesan eventos turbulentos para explotar el caos. En 2015, los atacantes se dirigieron a ejecutivos de nivel C de Mattel con un elaborado ataque de whaling(ventana nueva) mientras la empresa se reestructuraba y cambiaba su política de pagos. Una ejecutiva de finanzas recibió una nota del nuevo CEO de la empresa solicitando un nuevo pago a un proveedor en China, un país en el que Mattel intentaba expandirse. Siguiendo los cambios en la política de pagos, las transferencias requerían la aprobación de dos gerentes de alto rango dentro de Mattel, por lo que la destinataria dio su aprobación y se realizó la transferencia. Solo después de que el dinero desapareciera, la ejecutiva mencionó el pago al nuevo CEO, que no había hecho la solicitud.
Gracias a que el 1 de mayo era festivo bancario en China, Mattel pudo congelar la cuenta que contenía los fondos robados y el dinero se recuperó en dos días. Pero este ataque altamente dirigido podría haberle costado a Mattel 3 millones de dólares con un solo correo electrónico.
Whaling frente a spear phishing
Para resumir las diferencias entre los tres tipos de ataques:
| Phishing | Ataca a todos con ataques genéricos |
| Spear phishing | Ataca a personas específicas con ataques específicos |
| Whaling | Ataca a personalidades y líderes empresariales con ataques personalizados |
La especificidad del objetivo dicta la cantidad de investigación y segmentación que conlleva cada ataque. Pero no importa el tipo de ataque, hay un proceso similar que los hackers siguen para planificar y ejecutar.
¿Cuál es el proceso de un ataque de whaling o spear phishing?
- Reconocimiento: El hacker investiga a su objetivo examinando su presencia online para crear un perfil de los detonantes probables de respuesta de su objetivo. Esto incluye perfiles de redes sociales, sitios web comerciales y cualquier otro lugar donde su objetivo pueda aparecer online. También utilizarán corredores de datos y potencialmente la dark web para obtener información personal.
- Elaboración del cebo: El hacker luego elabora un plan de ataque. Creará un correo electrónico diseñado para convencer a su objetivo de que es un compañero, un servicio de terceros o una agencia gubernamental. Recopilará tanta información como sea posible para engañar a su objetivo, posiblemente haciendo phishing más ampliamente dentro de la empresa.
- Entrega: Los atacantes enviarán el correo electrónico personalizado a su objetivo. Podría parecer una factura y contener un enlace a un sitio web malicioso, invitando al lector a ingresar detalles de pago, o una solicitud del departamento de TI de la empresa para inicios de sesión y contraseñas.
- Explotación: El correo electrónico podría estar cargado con malware o ransomware, enlazar a un sitio suplantado o pedir credenciales, información confidencial o pagos. Hay múltiples formas en que los hackers pueden explotar tu red una vez que han obtenido acceso, como establecer acceso de puerta trasera y otorgarse privilegios de administrador.
- Impacto: Si el ataque tiene éxito, el hacker continuará haciendo phishing para obtener más acceso o comenzará a realizar transacciones, descargar datos o apoderarse de cuentas. La empresa se enfrenta a pérdidas financieras, una vulneración de datos, daños a la reputación o todo lo anterior.
Los ataques adoptan muchas formas, lo que hace difícil estar siempre en guardia. En general, cuanto más alto sea tu puesto o más datos confidenciales tengas a tu alcance, más importante se vuelve la verificación.
¿Cómo puedes protegerte contra los ataques?
Hay dos partes para protegerse contra los ciberataques: la infraestructura de tu negocio y tu propia concienciación.
Primero, veamos qué puedes hacer personalmente.
- Confía pero verifica. Si recibes una solicitud relacionada con un pago o la concesión de acceso a datos confidenciales, hablar con la persona que supuestamente te envió la solicitud es tu mejor opción. Si has conocido a la persona antes, llámala o habla con ella cara a cara y confirma que la solicitud es legítima. Si no lo has hecho, verifica su identidad a través de canales de confianza, como un compañero con conexiones o un individuo de mayor rango en su empresa.
- No dejes que la urgencia te empuje a cometer un error. Los estafadores usan la falsa urgencia para animarte a tomar una decisión rápida. No te arrepentirás de esperar para verificar una solicitud, pero podrías arrepentirte de no verificarla.
- Comprueba atentamente la dirección de correo electrónico del remitente. Cuando un hacker hace que parezca que su correo proviene de un remitente legítimo, esto se llama suplantación de identidad de correo electrónico. Asegúrate de que el nombre de dominio es correcto y de que no hay errores ortográficos en la propia dirección de correo. Descubre más sobre cómo protegerte de la suplantación de identidad de correo electrónico.
- Educa a tu equipo sobre los riesgos de los ataques de suplantación. Un solo correo electrónico de suplantación exitoso puede tener consecuencias devastadoras para una empresa.
Ser consciente de las amenazas potenciales no significa sospechar de cada correo electrónico que recibes, pero sí significa asegurarte de que estás tomando medidas para protegerte tanto a ti mismo como a tu lugar de trabajo.
Cómo te ayuda Proton a reducir tu riesgo
Otra forma efectiva de proteger tu lugar de trabajo es adoptando herramientas seguras y cifradas de extremo a extremo que te ayuden a conservar el control de tus datos:
- Proton Pass es un gestor de contraseñas seguro que te ayuda a crear, almacenar y administrar contraseñas comerciales. Dar a tu equipo la capacidad de compartir sus credenciales de forma segura ayuda a todos a identificar solicitudes ilegítimas de inicios de sesión o datos; si a alguien se le pide que envíe una contraseña por correo electrónico en lugar de compartirla de forma segura en Proton Pass, puede marcar la solicitud como sospechosa. También puedes asegurarte de que si tus datos aparecen en la dark web, seas alertado inmediatamente para que puedas tomar medidas para prevenir intentos de suplantación.
- Proton Mail es un correo electrónico seguro y calendario que mantiene protegidos los correos de tu empresa. Nuestra protección avanzada contra suplantación PhishGuard te defiende contra intentos de suplantación marcando direcciones de correo electrónico potencialmente falsificadas. Cualquier inicio de sesión sospechoso o cambio de cuenta se identifica y se te notifica automáticamente, y la protección de enlaces te ayuda a ver las URL completas antes de abrirlas para evitar abrir accidentalmente un enlace de suplantación.
Si estás listo para protegerte a ti y a tu empresa contra ataques de whaling, spear phishing y suplantación de identidad, empieza hoy viendo qué plan de Proton es mejor para ti.
