Login Probar gratis
Whaling: ataques de phishing dirigidos a altos directivos de empresas

Whaling: ataques de phishing dirigidos a altos directivos de empresas

por MataSpam Phishing y Estafas

El whaling es la versión más sofisticada y rentable del phishing: un ataque dirigido específicamente a altos directivos de empresas. Mientras el phishing convencional lanza redes amplias esperando que alguien pique, el phishing ejecutivos investiga a fondo a su víctima —CEO, CFO, directores generales— y fabrica un mensaje personalizado que parece legítimo hasta para el ojo más entrenado. El fraude a altos cargos mueve cifras obscenas: el FBI estimó que las pérdidas globales por Business Email Compromise (BEC), donde el CEO phishing es la técnica estrella, superaron los 50.000 millones de dólares acumulados hasta 2022. Y la tendencia no baja. Si un directivo de tu empresa recibe un email que parece del presidente del consejo pidiendo una transferencia urgente, más vale que sepa distinguir la ballena del pez.

Qué diferencia al whaling del phishing común

El phishing genérico funciona por volumen. Envías un millón de correos con el logo de un banco y esperas que un porcentaje muerda el anzuelo. El whaling es otra liga. El atacante dedica días —a veces semanas— a investigar a su objetivo. Revisa LinkedIn, memorias anuales, notas de prensa, redes sociales. Sabe cuándo el CEO viaja, con quién se reúne y qué tono usa en sus emails.

El resultado es un mensaje que parece proceder del propio director financiero, de un abogado de confianza o de un regulador. El dominio del remitente puede diferir en una sola letra del real —una técnica que conocemos como typosquatting— y el contenido apela a la urgencia y la confidencialidad. "No comentes esto con nadie", "necesito que lo hagas antes de las 14:00", "estoy en una reunión y no puedo hablar". Frases diseñadas para cortocircuitar el pensamiento crítico.

Un email de phishing masivo tiene errores gramaticales y enlaces sospechosos. Un ataque de whaling puede incluir documentos adjuntos que replican plantillas internas de la empresa, referencias a proyectos reales y un tono que calca el estilo de comunicación del supuesto remitente.

Anatomía de un ataque de whaling: paso a paso

Entender cómo operan estos ataques es la mejor defensa. Aquí va el proceso típico:

  1. Reconocimiento (OSINT): El atacante recopila información pública sobre la empresa y sus directivos. Organigramas, comunicados, entrevistas, perfiles de LinkedIn, publicaciones en Twitter/X. Todo suma.
  2. Selección del objetivo: Identifica quién tiene autoridad para mover dinero o acceder a datos sensibles. El CEO, el CFO, el director de RRHH o el responsable de compras son blancos habituales.
  3. Preparación del señuelo: Registra un dominio similar al de la empresa (empresa-corp.com en lugar de empresacorp.com), configura un servidor de correo y fabrica el mensaje. A veces compromete directamente la cuenta de email de otro directivo mediante credential stuffing.
  4. Ejecución: Envía el email en el momento óptimo —viernes por la tarde, durante un viaje del CEO, en plena auditoría— para maximizar la presión y reducir la capacidad de verificación.
  5. Exfiltración: Si la víctima ejecuta la transferencia, comparte credenciales o descarga el adjunto malicioso, el atacante obtiene lo que buscaba. El dinero suele redirigirse a cuentas en el extranjero que se vacían en minutos.

Casos reales que deberían preocuparte

El ataque a directivos no es teoría. Estos son algunos casos documentados que ilustran la magnitud del problema:

Crelan Bank (Bélgica, 2016): Un ataque de CEO phishing costó al banco aproximadamente 70 millones de euros. Los atacantes suplantaron al CEO y ordenaron transferencias que el equipo financiero ejecutó sin cuestionar. El fraude se descubrió durante una auditoría interna.

FACC (Austria, 2016): El fabricante aeronáutico perdió en torno a 42 millones de euros cuando un empleado del departamento financiero transfirió fondos siguiendo instrucciones de un email que parecía provenir del CEO. Tanto el CEO como el CFO fueron despedidos tras el incidente.

Ubiquiti Networks (2015): La empresa de networking perdió aproximadamente 46,7 millones de dólares por un ataque BEC que combinó fraude a altos cargos con suplantación de proveedores. Recuperaron parte del dinero, pero el daño reputacional fue considerable.

Estos no son casos aislados. El IC3 del FBI recibe miles de denuncias anuales por BEC. Las pymes también caen: no necesitas ser una multinacional para que alguien quiera suplantar a tu jefe. Si tu empresa ha sufrido un incidente similar, tener un plan de respuesta a incidentes marca la diferencia entre contener el daño y perderlo todo.

Señales de alerta: cómo detectar un intento de whaling

Ningún filtro antispam —ni siquiera uno con IA como MataSpam— puede garantizar el 100% de detección frente a ataques tan personalizados. La última línea de defensa es el criterio humano. Estas son las señales que deberían activar tus alarmas:

SeñalPor qué es sospechosa
Urgencia extrema"Necesito esto AHORA" busca que actúes sin pensar
Petición de confidencialidad"No lo comentes con nadie" aísla a la víctima
Cambio de cuenta bancariaEl proveedor "ha cambiado de banco" justo ahora
Email ligeramente distintodirector@empresa-corp.com vs director@empresacorp.com
Tono inusualTu CEO tutea a todo el mundo y de repente trata de usted
Adjuntos inesperadosFacturas, contratos o documentos que no esperabas recibir
Presión para saltarse protocolos"Esta vez hazlo sin la doble firma, ya lo regularizamos"

Un truco que funciona: ante cualquier email sospechoso que pida dinero o datos, verifica por un canal diferente. Si el email viene del CEO, llámale al móvil. Si viene de un proveedor, contacta con tu persona de referencia habitual. Nunca uses el teléfono o email que aparece en el propio mensaje sospechoso.

Cómo proteger tu empresa del phishing a ejecutivos

La defensa contra el whaling combina tecnología, procesos y formación. Ninguna de las tres patas funciona sola:

Tecnología:

  • Implementa DMARC, SPF y DKIM en tu dominio. Esto no impide que te envíen emails desde dominios similares, pero sí protege tu propio dominio de ser suplantado.
  • Activa la autenticación multifactor (MFA) en todas las cuentas de correo corporativas. Si un atacante obtiene las credenciales de un directivo, el MFA puede frenarle. Las passkeys son una alternativa aún más robusta que las contraseñas tradicionales.
  • Usa filtros de email que analicen no solo el contenido sino también los metadatos, patrones de envío y reputación del dominio remitente.
  • Analiza adjuntos sospechosos en VirusTotal o en un sandbox antes de abrirlos.

Procesos:

  • Establece un protocolo de doble verificación para transferencias superiores a un umbral definido. Dos personas deben aprobar. Sin excepciones "urgentes".
  • Define un procedimiento claro para cambios de datos bancarios de proveedores que incluya verificación telefónica con un número previamente registrado.
  • Clasifica la información interna. Cuanto menos datos personales de directivos haya en fuentes públicas, más difícil será fabricar un ataque convincente de phishing a ejecutivos.

Formación:

  • Realiza simulacros de whaling específicos para el comité de dirección y los equipos financieros. No basta con el típico test de phishing genérico.
  • Forma a los asistentes ejecutivos y al departamento financiero. Son quienes ejecutan las órdenes del CEO y los primeros en recibir estos ataques.
  • Crea un canal seguro para reportar emails sospechosos sin miedo a "molestar al jefe". Si alguien duda, que pregunte. Mejor una falsa alarma que 70 millones de euros menos.

Un detalle que muchas empresas pasan por alto: revisa qué información publican tus directivos en LinkedIn y redes sociales. Anunciar públicamente un viaje de negocios a Singapur es regalarle al atacante el momento perfecto para lanzar su ataque a directivos. Y si tu empresa depende de dispositivos IoT para la gestión de edificios o salas de reuniones, vigila también ese vector: los atacantes buscan cualquier puerta de entrada, y a veces la encuentran en los sistemas de domótica menos vigilados.

El papel de la inteligencia artificial en el whaling moderno

Los ataques de CEO phishing están evolucionando. Con herramientas de IA generativa, los atacantes pueden analizar el estilo de escritura de un directivo a partir de emails filtrados, publicaciones o entrevistas, y generar mensajes que replican su tono con una precisión inquietante. También pueden crear deepfakes de voz para las llamadas de verificación: ya se han documentado casos donde un empleado recibió una llamada que sonaba exactamente como su CEO pidiendo una transferencia urgente.

Esto complica la detección, pero también abre oportunidades defensivas. Los filtros de correo basados en IA pueden detectar anomalías sutiles: un email del CEO enviado desde una IP inusual, a una hora atípica, con un patrón lingüístico que difiere del habitual. Es una carrera armamentística donde ambos bandos usan las mismas herramientas. Al igual que el Ransomware as a Service ha democratizado los ataques, las herramientas de IA están bajando el listón técnico para lanzar campañas de whaling sofisticadas.

Qué hacer si tu empresa ya ha picado

Si sospechas que un directivo o empleado ha caído en un ataque de whaling, actúa rápido:

  1. Contacta con tu banco inmediatamente. Si la transferencia se hizo en las últimas horas, puede haber posibilidad de revertirla o bloquearla en destino.
  2. No borres el email. Conserva todas las evidencias: cabeceras del mensaje, adjuntos, URLs. Las necesitarás para la investigación.
  3. Reporta al INCIBE (017) y presenta denuncia ante la Policía Nacional o Guardia Civil. El INCIBE gestiona el CERT nacional y puede coordinar con otros países si el dinero ha salido de España.
  4. Revisa si hay más cuentas comprometidas. Si el atacante accedió al email de un directivo, puede haber establecido reglas de reenvío o accedido a otros sistemas. Cambia contraseñas y revisa los logs de acceso.
  5. Comunica internamente lo ocurrido (con la discreción necesaria) para que otros departamentos extremen la vigilancia. Es habitual que un ataque exitoso venga seguido de intentos adicionales aprovechando la confusión.

Preguntas frecuentes

¿Por qué se llama whaling y no simplemente phishing?

El término whaling (caza de ballenas) hace referencia al tamaño de la presa. Mientras el phishing busca "peces pequeños" —cualquier usuario—, el whaling apunta a los "peces gordos": directivos con poder de decisión y acceso a fondos o información crítica. La sofisticación y personalización del ataque es proporcionalmente mayor.

¿Las pymes también son objetivo de whaling?

Sí. De hecho, las pymes suelen ser más vulnerables porque tienen menos controles internos y protocolos de verificación menos formalizados. Un atacante que investiga al gerente de una empresa de 20 empleados puede fabricar un email convincente con el mismo esfuerzo que para una multinacional, y la transferencia puede ejecutarse con una sola autorización.

¿DMARC protege contra el whaling?

DMARC, junto con SPF y DKIM, protege tu dominio para que nadie envíe emails haciéndose pasar por tu empresa. Pero no te protege de recibir emails desde dominios similares al tuyo. Si un atacante registra tu-empresa.com (con guion) y tu dominio es tuempresa.com, DMARC no lo bloqueará. Es una capa necesaria pero insuficiente por sí sola.

¿Cómo distingo un email de whaling de una petición legítima urgente?

La clave está en la verificación fuera de banda. Ante cualquier petición urgente que implique dinero, datos sensibles o cambios en procedimientos habituales, contacta al remitente por teléfono usando un número que ya tengas guardado, no el que aparezca en el email. Si es legítimo, tu jefe entenderá la precaución.

El siguiente paso

Haz esto ahora: envía un email al departamento financiero y a los asistentes de dirección de tu empresa con estas tres reglas. Primera, toda transferencia superior a 5.000 € necesita confirmación telefónica. Segunda, todo cambio de cuenta bancaria de proveedor se verifica con un contacto previamente registrado. Tercera, ante la duda, se para la operación y se consulta. Tres reglas, cero coste de implementación, y un muro que la mayoría de ataques de whaling no podrá saltar. Si quieres profundizar en cómo los atacantes duplican comunicaciones legítimas para engañarte, echa un vistazo a nuestro artículo sobre clone phishing.

whaling ataque directivos phishing ejecutivos fraude altos cargos ceo phishing
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Phishing que burla el 2FA: cómo los atacantes roban tus códigos de verificación
Phishing y Estafas

Phishing que burla el 2FA: cómo los atacantes roban tus códigos de verificación

Phishing de PayPal: protege tu cuenta de correos fraudulentos
Phishing y Estafas

Phishing de PayPal: protege tu cuenta de correos fraudulentos

Las mejores herramientas anti-phishing para proteger tu correo electrónico
Phishing y Estafas

Las mejores herramientas anti-phishing para proteger tu correo electrónico

← Volver al blog