¿Qué es el whaling?
A diferencia delos intentos de phishing, que se dirigen a personas al azar, el whaling se dirige a personas concretas.
La caza de ballenas es la amenaza que se cierne sobre los empresarios, responsables políticos y directivos que están digitalizando sus procesos de trabajo debido a la crisis sanitaria.
El objetivo del ciberdelincuente es robar dinero, información confidencial o acceder a sus sistemas informáticos.
Para pescar estos «peces gordos», utilizan:
- La usurpación de identidad. La usurpación de nombres de dominio es la estrategia más habitual, utilizada en el 70 % de los ataques. Se informan a través de las redes sociales u otra información que encuentran en los motores de búsqueda.
- Phishing dirigido. El ciberdelincuente se dirige a un empleado de alto rango haciéndose pasar por un superior jerárquico u otro empleado importante de la empresa.
2021, el año de la caza de ballenas
Este año 2021 verá una intensificación de los ataques de whaling.
De hecho, muchas empresas se han apresurado a implantar el teletrabajo para mantener su actividad.
Algunas de ellas no se han tomado el tiempo necesario para formar a sus empleados en las buenas prácticas del teletrabajo seguro, respetando un protocolo riguroso.
Los ciberdelincuentes se aprovechan de este clima de ansiedad en determinados sectores de actividad que no estaban acostumbrados al teletrabajo.
¿Cómo protegerse del whaling?
Para protegerse de los ataques de whaling, lo mejor es la sensibilización. (fuente:ANSSI). Por eso es necesario que los directivos y empleados de alto rango reciban formación exhaustiva. En términos más generales, hay que sensibilizar aún más a todos los empleados.
Actuarcon prudencia: pasar el cursor por encima del nombre del remitente del correo electrónico para comprobar su dirección completa. Considerar la posibilidad de modificar los procedimientos de validación de operaciones sensibles, como las operaciones financieras o la comunicación de información confidencial.
Utilizar unprograma antiphishing: instalar este tipo de software que ofrece servicios como el análisis de URL y la validación de enlaces.
Realizarsimulaciones de ataques: «educar» a los empleados contra el phishing y el whaling significa aprender a actuar correctamente, por ejemplo, verificando las fuentes de los correos electrónicos fraudulentos o detectando sitios web falsos.
En este contexto particular, la palabra clave debe seguir siendo la desconfianza ante estos numerosos intercambios a distancia.
