El phishing sigue evolucionando y una de sus variantes más sofisticadas es el whaling, un fraude que no busca engañar a cualquier persona, sino a quienes ocupan puestos de responsabilidad dentro de una organización.
Ante este riesgo, la Secretaría Anticorrupción y Buen Gobierno compartió información para ayudar a la población a reconocer esta modalidad de ataque y evitar caer en ella.
A través de sus redes sociales, la dependencia explicó que el whaling es un tipo de phishing dirigido a directivos y personas con poder de decisión, capaces de autorizar pagos, contratos o trámites dentro de una empresa o institución.
¿Qué es el whaling?
De acuerdo con la Secretaría Anticorrupción y Buen Gobierno, el whaling es una modalidad de fraude en línea que utiliza información detallada sobre la víctima para suplantar identidades y generar confianza.
Los ciberdelincuentes investigan previamente a la persona objetivo mediante redes sociales, sitios web oficiales y otras fuentes públicas para conocer su cargo, funciones o relaciones laborales.
Con esa información elaboran mensajes personalizados que aparentan provenir de un superior, un proveedor o una autoridad, con el propósito de convencer a la víctima de realizar una acción específica.
El nombre whaling, que en inglés significa "caza de ballenas", hace referencia a que los delincuentes buscan atacar a los "peces grandes" de una organización, es decir, personas con capacidad para aprobar movimientos financieros o acceder a información estratégica.
¿Cómo operan estos ataques?
La dependencia explica que este tipo de fraude suele desarrollarse en varias etapas:
Los delincuentes recopilan información de la víctima en redes sociales y sitios oficiales.
Después suplantan la identidad de un directivo, proveedor o autoridad.
Envían un mensaje con carácter de urgencia para presionar a la víctima y evitar que verifique la solicitud.
Finalmente buscan obtener dinero, información confidencial o acceso a sistemas de la organización.
¿Cómo identificar un intento de whaling?
La Secretaría Anticorrupción señala que existen algunas señales que pueden ayudar a detectar este tipo de fraude:
- El mensaje llega por un canal inusual, como un correo personal o WhatsApp.
- Exige actuar de inmediato sin dar tiempo para verificar la información.
- Utiliza un nombre o dominio muy parecido al original.
- Solicita información confidencial o la autorización de pagos fuera de los procedimientos habituales.
- Aprovecha la confianza o la jerarquía para ejercer presión sobre la víctima.
Para reducir el riesgo de ser víctima de un ataque de whaling, la dependencia recomienda:
- Verificar cualquier solicitud por otro medio antes de actuar.
- No autorizar pagos únicamente mediante un correo electrónico o mensaje.
- Desconfiar de las solicitudes urgentes que buscan presionar una decisión.
- Revisar cuidadosamente el dominio del correo electrónico antes de responder o hacer clic en algún enlace.
La Secretaría Anticorrupción y Buen Gobierno destacó que conocer las características de este tipo de fraude es una de las mejores herramientas para prevenirlo, ya que los ataques aprovechan errores humanos más que fallas tecnológicas.
JCM