Whaling, el nuevo fraude que amenaza a las empresas

El phishing evoluciona hacia el whaling, el tamaño del pez aumenta. Para que nos entendamos, pongo un ejemplo:
Alpha Payroll se dedica a gestionar el pago de las nóminas a los trabajadores de otras empresas, sus clientes. Un día, un trabajador de Alpha Payroll recibe por correo electrónico la inequívoca orden de su jefe: “Envíame copias de todas las nóminas que hayamos gestionado durante 2015”. Solícito y obediente, el subalterno cumple con su cometido.

Tiempo después, el protagonista de esta historia es despedido. Ni su jefe había enviado tal correo ni él había respetado la política de la empresa que prohíbe a todos sus trabajadores compartir las nóminas de sus clientes. Quién le iba a decir que esa norma también se aplicaba al máximo responsable de la compañía. Y quién le iba a decir que no era él, sino que estaba siendo suplantado.

Uno de los clientes de la empresa descubrió algo raro en las nóminas de su plantilla y notificó el fraude a las autoridades. Se abrió una investigación, Alpha Payroll se metió en un lío y la víctima del fraude, el empleado que sufrió el engaño, fue el primero en pagar las consecuencias. Perdió su trabajo.

Lo que había sucedido es un ejemplo de la sofisticación de una técnica que los cibercriminales emplean desde hace mucho. Primero fue el ‘phising’, la forma más básica de suplantación, que no fija objetivos concretos; después el ‘spear phising’, más personalizado y dirigido; y ahora lo que se ha empezado a conocer como ‘whaling’, pues los suplantados son, exclusivamente, los altos directivos de las compañías.

Un número sorprendentemente alto de gerentes se deja engañar por citaciones falsas recibidas como enlaces de correo electrónico.

Tras conseguir acceso a las claves de los ejecutivos de una empresa -o crear una suficientemente parecida como para dar el pago-, resulta muy sencillo para el ciberdelincuente utilizar la identidad de los jefes para engañar a ciertos empleados, sobre todo los menos precavidos o familiarizados con el fraude en internet y las medidas para detectarlo.

El ‘whaling’ se está convirtiendo en un problema tal que, según el FBI, ya ha costado más de 2.300 millones de dólares (más de 2.000 millones de euros) a las empresas de casi 80 países diferentes que se han visto afectadas en los últimos tres años. Desde enero de 2015, el número de víctimas identificadas se han incrementado en un 270 %, entre ellas grandes y famosas compañías como Mattel, Snapchat o Seagate Technologies.

Para defenderse, lo mejor es entrenar debidamente a los empleados, especialmente aquellos que tienen acceso a la información más sensible o permiso para realizar operaciones delicadas como transferencia, y establecer políticas claras sobre el tránsito de información e informes entre departamentos y empleados, incluidos los ejecutivos.