El whaling (literalmente, caza de ballenas) es un tipo de phishing dirigido (o spear phishing) que tiene como objetivo a los altos cargos o cúpulas directivas de una organización, como directivos, presidentes, consejeros, gerentes o altos ejecutivos.
Los ciberdelincuentes entienden que, hoy en día, los directivos y ejecutivos de alto nivel con responsabilidades clave en una organización han recibido capacitación en materia de seguridad para identificar las tácticas de ataque más habituales. También pueden suponer que sus sistemas estarán protegidos por políticas más estrictas y herramientas más sólidas. Ante este escenario, si los atacantes quieren impactar a esos objetivos mediante el phishing deben hallar métodos y pretextos mucho más elaborados.
Como en cualquier ataque de phishing, la víctima recibe un mensaje (normalmente a través del correo electrónico, aunque también puede realizarse a través de llamadas o mensajes de chat) con apariencia legítima, pidiéndole que realice una determinada acción. Los mensajes engañosos utilizan temáticas propias de la actividad y responsabilidades de un directivo, y simulan proceder de un remitente de su entorno corporativo o profesional (homólogos de otras empresas, colegas o miembros de asociaciones a las cuales pertenece, representantes de entidades de su sector…). Un caso típico podría ser el de un consejero delegado que recibe un correo, supuestamente del presidente de una asociación empresarial de su sector, para invitarle a asistir a un evento benéfico a cambio de una aportación económica solidaria.
Este tipo de phishing dirigido se aprovecha, como es habitual, de la empatía y el deseo de ayudar a colegas o compañeros, para hacer caer en la trampa al pez gordo. Además, en el whaling, los engaños también se aprovechan del secretismo, la exclusividad, los halagos, la influencia y el prestigio que rodea a los líderes empresariales. Se trata de un ataque pensado para engañar a un tipo muy concreto de individuos, no a las máquinas.
Los objetivos suelen ser robar dinero, conseguir información confidencial, realizar espionaje empresarial o industrial y obtener acceso a los sistemas corporativos con propósitos ilícitos. Los correos de whaling son un nivel superior de phishing: no solo se dirigen a personas importantes, sino que lo hacen simulando que proceden de una persona o entidad “a su altura”, influyente o que tiene un cargo del mismo nivel o superior. Van a por los “peces gordos”, de ahí la denominación “caza de ballenas”. Las víctimas se sienten obligadas a acatar las órdenes del remitente sin cuestionarlas, incluso pueden sentirse halagados si les hacen sentirse únicos, como líderes que son, por haber recibido una petición específica que solo ellos pueden atender.
Si bien el whaling puede ser confundido con el Fraude del CEO, no se trata de lo mismo. El whaling es un tipo de phishing dirigido a un pez gordo de una organización. En el Fraude del CEO se suplanta a un directivo para engañar a un empleado de nivel inferior, casi siempre un mando intermedio con acceso a las finanzas o la información de la empresa.
Suele tratarse de un crimen de proximidad, es decir, los grupos maliciosos suelen actuar en su zona geográfica, ya que para conseguir su objetivo, este tipo de estafa requiere conocimiento del idioma, las costumbres y los procesos corporativos del objetivo.
