La reciente vulnerabilidad de los líderes empresariales ante ciberataques sofisticados ha puesto en alerta a las organizaciones. Uno de los ejemplos más impactantes lo representa el caso de un gestor de un fondo de cobertura que, tras abrir una invitación aparentemente inocente a una reunión de Zoom, se encontró en medio de un escándalo corporativo mayúsculo. Este aviso estaba contaminado con malware, lo que permitió a los atacantes secuestrar su cuenta de correo y, en consecuencia, aprobar transferencias de dinero por un total de 8.7 millones de dólares mediante facturas fraudulentas, lo que llevó a la desaparición de Levitas Capital.
Este tipo de ataques, conocidos como «whaling», están dirigidos específicamente a altos ejecutivos, tales como CEOs y otros miembros del equipo directivo. Aunque puede parecer que hay menos «ballenas» en términos de personal, su atractivo radica en tres características clave: son personas muy ocupadas, lo que aumenta la probabilidad de que hagan clic en un enlace malicioso; suelen estar altamente visibles en línea, lo que permite a los ciberdelincuentes recopilar información para sus ataques; y poseen acceso a información clave y la autoridad para realizar transacciones financieras significativas.
La metodología de un ataque típico de «whaling» comienza con la investigación del perfil del objetivo. Los atacantes analizan redes sociales, sitios web corporativos y cualquier información pública disponible para diseñar un email de phishing que simule venir de una fuente de confianza. Llevan a cabo su maniobra aprovechando las tácticas clásicas de ingeniería social, creando urgencia para que la víctima actúe sin pensar.
Con el avance de la inteligencia artificial, estos ataques se han vuelto aún más sofisticados. Herramientas de IA permiten a los delincuentes recolectar datos a gran escala y crear correos electrónicos o mensajes en lenguaje natural sin errores. La IA también facilita la ejecución de ataques de «vishing» y la creación de vídeos manipulados que pueden convencer a los destinatarios de que efectúen transferencias de dinero.
Los riesgos son enormes. Un ataque de este tipo no solo puede implicar la pérdida de millones de dólares, sino que también puede resultar en infracciones de datos sensibles, lo que acarrearía multas regulatorias y daños en la reputación de la empresa. Este tipo de incidentes no solo daña el prestigio corporativo, sino que también puede llevar a ejecutivos engañados a ser considerados culpables por sus superiores.
Para enfrentar esta amenaza, las organizaciones deben implementar estrategias específicas de formación para sus líderes, que incluyan simulaciones personalizadas sobre los últimos métodos utilizados por los atacantes. Además, establecer procesos de aprobación estrictos para transferencias económicas importantes, junto con controles de seguridad robustos, se presenta como una solución necesaria. Las herramientas de IA también pueden jugar un papel fundamental en la detección de patrones sospechosos en correos electrónicos.
Es vital que las empresas limiten la información corporativa que comparten públicamente, ya que en un mundo donde la inteligencia artificial es omnipresente, el riesgo de ser víctima de un ataque de «whaling» se incrementa drásticamente.
Fuente: WeLiveSecurity by eSet.
