El whaling se dispara y convierte a los altos directivos en objetivo del cibercrimen
- Seguridad
Los ataques dirigidos a ejecutivos combinan ingeniería social suplantación y técnicas avanzadas de IA para lograr fraudes millonarios, elevando la sofisticación y accesibilidad de estas estafas. Las empresas deben reforzar procesos identidad y formación específica para proteger a su alta dirección.
El whaling, también conocido como “caza de ballenas”, se ha consolidado como una de las amenazas más peligrosas para las organizaciones. A diferencia del phishing tradicional, estos ataques se dirigen a perfiles con capacidad de decisión y acceso privilegiado para obtener transferencias fraudulentas o información estratégica.
ESET explica que el whaling es una modalidad de phishing altamente personalizada que puede llegar por correo, SMS, llamadas o técnicas de business email compromise (BEC). La clave no está en la técnica, sino en el objetivo: cuanto más alto es el cargo, mayor es el impacto.
Por qué los altos cargos son tan vulnerables
Los atacantes saben que los directivos reúnen características que los convierten en objetivos ideales. Su agenda ajustada puede llevarles a aprobar solicitudes urgentes sin verificar, y su presencia pública facilita la recopilación de información. Su visibilidad en Internet proporciona a los delincuentes abundante material para afinar sus ataques de ingeniería social.
Antes de actuar, los criminales investigan a fondo al ejecutivo: su entorno, colaboradores, estilo de comunicación y hábitos. Con esa información elaboran mensajes falsificados que simulan proceder de una fuente de confianza y apelan a la urgencia. El objetivo puede ser robar credenciales, instalar malware o inducir una transferencia fraudulenta. En algunos casos, comprometer la cuenta del directivo sirve como trampolín para engañar a otros empleados.
La irrupción de la IA está transformando estos ataques, permitiendo automatizar la recopilación de información, redactar mensajes con un lenguaje natural impecable e incluso imitar el estilo de escritura de una persona concreta. Además, los deepfakes de voz y vídeo están elevando el nivel del vishing, haciendo que las estafas sean más difíciles de detectar.
ESET advierte de que la IA no solo hace los ataques más sofisticados, sino también más accesibles para actores maliciosos con menos recursos.
Tecnología, procesos y formación para reducir el riesgo
Para frenar a los “cazadores de ballenas”, ESET recomienda combinar medidas técnicas, procesos robustos y concienciación específica para directivos. Entre las prácticas clave destacan:
- Procesos estrictos de aprobación para transferencias de alto valor, con doble verificación y confirmación por canales alternativos.
- Soluciones de seguridad de correo basadas en IA capaces de detectar patrones sospechosos.
- Herramientas de detección de deepfakes en llamadas potencialmente maliciosas.
- Aplicación de principios Zero Trust para limitar privilegios y accesos.
“Conviene revisar la cantidad de información corporativa que se publica de forma abierta”, recuerda Josep Albors, director de Investigación y Concienciación de ESET España.
Con la IA facilitando la recopilación y explotación de datos, el whaling se ha convertido en una amenaza estratégica para las organizaciones. Proteger a la alta dirección ya no es opcional, sino un requisito para evitar fraudes millonarios, daños reputacionales y compromisos internos que pueden escalar rápidamente.
