¿El personal directivo superior de su organización es vulnerable a un ciberataque? Aprenda cómo mantenerlos seguros.
09 dic 2025
•
,
5 min. leer
Cuando un administrador de fondos de cobertura abrió una invitación inofensiva a una reunión de Zoomtenía poca idea de la carnicería corporativa que vendría después. Esa invitación tenía una trampa explosiva con malware, lo que permitió a los actores de amenazas secuestrar su cuenta de correo electrónico. A partir de ahí actuaron rápidamente y autorizaron transferencias de dinero en nombre de Fagan por facturas falsas que enviaron al fondo de cobertura.
En total, aprobaron de esta manera facturas por valor de 8,7 millones de dólares. El incidente fue en última instancia la ruina de Levitas Capital, después de que forzó la salida de uno de los clientes más importantes de la empresa.
Desafortunadamente, atacar a altos ejecutivos de esta manera no es infrecuente. ¿Por qué preocuparse por los peces pequeños cuando las ballenas pueden obtener tales riquezas?
¿Qué es la caza de ballenas?
En pocas palabras, un ciberataque de caza de ballenas está dirigido a un miembro de alto perfil y alto nivel del equipo de liderazgo corporativo. Podría presentarse en forma de un esfuerzo de phishing/smishing/vishing o un intento de vulneración del correo electrónico empresarial (BEC). El principal diferenciador de un típico ataque de phishing o BEC es el objetivo.
¿Por qué las “ballenas” son objetivos atractivos? Después de todo, hay menos personas a quienes victimizar que los empleados regulares. Destacan tres atributos clave. Los altos ejecutivos (incluido el C-suite) suelen ser:
- Poco tiempo, lo que significa que pueden hacer clic en un correo electrónico de phishing, abrir un archivo adjunto malicioso o aprobar una solicitud de transferencia fraudulenta sin mirarlo adecuadamente. También pueden desactivar o eludir controles de seguridad como la autenticación multifactor (MFA) para ahorrar tiempo.
- Altamente visible en línea. Esto permite a los actores de amenazas recopilar información con la que diseñar ataques de ingeniería social convincentes, como correos electrónicos falsificados para provenir de un subordinado o PA.
- Empoderado para acceder a información corporativa altamente sensible y lucrativa (por ejemplo, datos financieros y de propiedad intelectual) y para aprobar o solicitar grandes transferencias de dinero.
¿Cómo es un ataque típico?
Al igual que un ataque regular de phishing o BEC, la caza de ballenas requiere una cierta cantidad de trabajo preliminar para tener buenas posibilidades de éxito. Esto significa que es probable que los actores de amenazas realicen un reconocimiento detallado de su objetivo. No debería faltar información disponible públicamente para ayudarlos, incluidas cuentas de redes sociales, el sitio web de su empresa, entrevistas con los medios y videos de conferencias magistrales.
Aparte de lo básico, querrán conocer información sobre subordinados y colegas clave, o información corporativa que podría usarse como pretexto para la ingeniería social, como actividades de fusiones y adquisiciones o eventos de la empresa. También puede ayudar al actor de la amenaza a comprender sus intereses personales e incluso su estilo de comunicación si el objetivo final es hacerse pasar por la «ballena».
Una vez que tiene esta información, el adversario generalmente elaborará un correo electrónico de phishing o BEC. Lo más probable es que sea falsificado para que parezca enviado desde una fuente confiable. Y utilizará la táctica clásica de ingeniería social de crear urgencia para que sea más probable que el destinatario apresure su toma de decisiones.
A veces, el objetivo final es engañar a la víctima para que divulgue sus inicios de sesión o, sin saberlo, instale malware y spyware para robar información. Estas credenciales podrían utilizarse para acceder a secretos corporativos monetizables. O secuestrar su cuenta de correo electrónico para lanzar ataques BEC a subordinados que se hacen pasar por la ballena para conseguir un pez más pequeño y realizar una gran transferencia de dinero. Alternativamente, el el estafador puede plantear como el jefe de la “ballena”, para engañarlos y que den luz verde a una transferencia de fondos.
La IA cambia las reglas
Desafortunadamente, la IA está facilitando aún más estas tareas a los malos. Al utilizar LLM con jailbreak o modelos de código abierto, pueden aprovechar las herramientas de inteligencia artificial para recopilar grandes cantidades de datos sobre los objetivos con el fin de ayudar con el reconocimiento de las víctimas. Y luego utilice IA generativa (GenAI) para crear correos electrónicos o textos convincentes en un lenguaje natural impecable. Estas herramientas podrían incluso usarse para agregar contexto útil y/o imitar el estilo de escritura del remitente.
GenAI se puede utilizar para aprovechar la tecnología deepfake para fines altamente ataques vishing convincenteso incluso crear vídeos que se hagan pasar por ejecutivos de alto nivel, con el fin de convencer al objetivo de realizar una transferencia de dinero. Con la IA, los ataques balleneros aumentan en escala y efectividad, a medida que las capacidades sofisticadas se democratizan para más actores de amenazas.
La gran recompensa
Lo que está en juego aquí debería ser evidente. Un ataque BEC importante podría provocar la pérdida de ingresos por valor de millones de dólares. Y una violación de datos corporativos confidenciales puede dar lugar a multas regulatorias, demandas colectivas e interrupciones operativas.
El daño a la reputación puede ser aún peor, como descubrió Levitas Capital. Al final, el fondo de cobertura pudo bloquear la mayoría de las transacciones aprobadas. Pero eso no fue suficiente para impedir que uno de sus mayores clientes se marchara, haciendo caer el fondo de 75 millones de dólares en el proceso. En un nivel más personal, ejecutivos engañados a menudo son chivos expiatorios por sus superiores tras incidentes como estos.
Sacando a los balleneros
Hay varias formas en que los equipos de seguridad pueden ayudar a mitigar los riesgos de phishing y ataques BEC. Pero estas no siempre tienen éxito cuando se enfrentan a un alto ejecutivo que podría pensar que las reglas no se aplican a ellos. Por eso son tan importantes los ejercicios de entrenamiento específicos para ejecutivos que incluyan simulaciones. Deben ser altamente personalizados y limitarse a lecciones breves y manejables que incorporen los últimos TTP de los actores de amenazas, incluido el video/audio deepfake.
Estos deberían estar respaldados por controles y procesos de seguridad mejorados. Esto podría incluir un proceso de aprobación estricto para transferencias de fondos de grandes cantidades de dinero, que podría requerir la aprobación de dos personas y/o verificación a través de un canal alternativo conocido.
Las herramientas de inteligencia artificial también pueden ayudar a los defensores de la red. Considere la seguridad del correo electrónico basada en IA diseñada para detectar patrones sospechosos de comunicación, remitentes y contenido. Y software de detección de deepfake para detectar llamadas potencialmente maliciosas en tiempo real. A Enfoque de confianza cero también puede proporcionar cierta resiliencia útil. Al imponer privilegios mínimos y acceso justo a tiempo, se minimizará el acceso de los ejecutivos y se garantizará que nunca se confíe en sus inicios de sesión de forma predeterminada.
En términos más generales, es posible que su organización desee comenzar a limitar el tipo de información corporativa que comparte públicamente. En un mundo donde la IA está en todas partes, los medios para encontrar y convertir dicha información en armas están ahora en manos de muchos, no de unos pocos.
Acerca del autor
