Cómo Prevenir Ataques de Caza de Ballenas: Una Guía completa
Sus empleados de alto rango son guardianes de un tesoro de información confidencial sobre su empresa. En lo profundo de su castillo de datos figurativos se esconden cosas como números de seguro social de empleados, información de cuentas bancarias corporativas y números de tarjetas de crédito de clientes. Cosas que, en las manos equivocadas, podrían comprometer la integridad de su marca y/o costarle a su empresa millones de dólares. Y todo lo que se necesita es que una persona quede atrapada durmiendo la siesta.
Al igual que los expertos en cualquier otra industria, los delincuentes cibernéticos están aprendiendo y evolucionando constantemente. Uno de sus planes más intrincados hasta la fecha es el ataque de caza de ballenas, en el que intentan hacerse pasar por usted o por uno de sus ejecutivos y estafar a sus empleados.
Incluso mientras lees esto, un aspirante a capitán Ahab está planeando su próximo ataque ultrafiscalizado de caza de ballenas — y tú eres tan buen objetivo como cualquier otro. Aquí hay una guía de preguntas frecuentes, con todo lo que necesitas para detectar ese ataque de antemano y detener al arpón en seco.
¿Qué es un ataque de caza de ballenas?
Un ataque de caza de ballenas (también conocido como phishing de caza de ballenas) es una estafa de phishing cuidadosamente elaborada en la que un impostor se hace pasar por un ejecutivo de alto rango dentro de su empresa, con la intención de engañar a sus empleados para que les envíen grandes sumas de dinero o revelen información confidencial.
¿En qué se diferencia un ataque de caza de ballenas de un ataque de phishing?
Todos los ataques de caza de ballenas son ataques de phishing, pero no todos los ataques de phishing son ataques de caza de ballenas.
Los ataques de phishing existen desde hace un cuarto de siglo. A mediados de los noventa, el término se usó exclusivamente para describir a los hackers que enviaban ráfagas de correo electrónico como «señuelos» con el fin de «phish» para contraseñas y números de tarjetas de crédito de usuarios de AOL.
Hoy en día, se define más ampliamente como cualquier estafa de Internet en la que alguien intenta obtener información confidencial a través de medios engañosos. Toma nota: si puedes caer en la broma de tu tío, puedes caer en una estafa de phishing.
Mientras que estas estafas suelen tener una amplia red (y tienen tasas de éxito relativamente bajas), una variante conocida como ataques de spear phishing implica un enfoque personalizado para dirigirse a un solo usuario. La mayoría de ellos usan la ingeniería social para avivar emocionalmente a la víctima.
Los ataques de caza de ballenas caen dentro de esa categoría, pero en estos casos la «lanza» está cuidadosamente diseñada con la idea de transportar un premio mucho más grande.
¿Cómo funcionan los ataques de caza de ballenas?
La ingeniería social de la caza de ballenas es increíblemente compleja; el criminal normalmente hará todo lo posible para hacer que su imitación de un ejecutivo de la C-suite parezca hiperrealista.
Más comúnmente, harán una investigación en profundidad sobre a) su objetivo dentro de su organización, y b) el superior al que se harán pasar.
Esto último es complicado, pero al usar un dominio de correo electrónico similar e incorporar logotipos de empresas y firmas de correo electrónico, pueden crear un disfraz digital digno de Halloween. Otras veces, pueden usar una dirección de Gmail normal y decir que envían el mensaje desde su «cuenta personal».
En cuanto al objetivo, generalmente no es difícil mirar el Facebook de un empleado, encontrar una foto de una hora feliz después del trabajo e incorporar detalles que «solo ese ejecutivo podría saber».
Incluso si algunas banderas rojas hacen que su empleado levante la guardia, el estafador a menudo puede compensarlo aprovechándose de cosas como la confianza, la urgencia o el miedo a perder su trabajo si no cumplen.
¿Qué es lo peor que podría pasar?
Pregúntale a Snapchat, que fue víctima de un ataque de caza de ballenas en 2016. Un representante de recursos humanos de la organización del gigante de las redes sociales bifurcó los datos de nómina que revelaron la información personal de varios empleados, incluidos los datos de opciones de compra de acciones y todo lo que figuraba en sus W-2.
Apenas un mes después, un ejecutivo de finanzas de Mattel transfirió $3 millones a un banco chino después de recibir instrucciones por correo electrónico de «el nuevo CEO».
Esas estafas podrían incluso considerarse pequeñas en comparación con algunos ataques a gran escala que han costado a las empresas decenas de millones de dólares. Peor aún, perdieron mucha confianza de los consumidores como resultado de estar tan fácilmente comprometidos.
Bien, entonces, ¿cómo puedo evitar que esto suceda?
Como un niño que sale a jugar en la nieve de mediados de enero, necesitarás varias capas de protección. Siga estos consejos y se hará menos vulnerable a la ráfaga de ataques de caza de ballenas que ocurren todos los días.
Eduque a sus ejecutivos y empleados
La mayoría de la gente piensa que las estafas de phishing son muy defectuosas y fáciles de detectar, por lo que pueden ser completamente desprevenidos de la meticulosa ingeniería social de la caza de ballenas. ¡Comience por hacerle saber a su equipo que estas estafas existen!
Luego, entrénalos
Ayudar a tu equipo a aprender a detectar las señales de advertencia de un ataque de caza de ballenas puede acabar ahorrándote millones. Las empresas conocedoras de TI, como Marco, incluso pueden simular un ataque sorpresa para ayudarlo a determinar cuán susceptibles son sus empleados.
Marque correos electrónicos fuera de su red
Esta es una forma increíblemente simple y efectiva de exponer direcciones de correo electrónico falsificadas. La diferencia entre «@smithlenses.com» y «@smith1enses.com » puede ser difícil de detectar en una fuente determinada, pero mostrar que el correo electrónico está fuera de la red generará una alarma.
Configurar protocolos de prevención de la caza de ballenas
Algunos buenos ejemplos de esto incluyen verificar solicitudes de información confidencial a través de otros canales, como una llamada telefónica. Obligar a otra persona a firmar estas solicitudes también es una gran idea: es más difícil estafar a dos personas que a una.
Invierta en software DLP
El software de Prevención de Pérdida de datos (DLP) puede bloquear violaciones de los protocolos que haya implementado. También puede marcar correos electrónicos en función del nombre y la antigüedad del dominio (los nuevos dominios son más sospechosos), la similitud del nombre para mostrar con los contactos conocidos y las palabras clave sospechosas, como «transferencia bancaria».
Que los empleados hagan que los perfiles de redes sociales sean privados
Configurar los perfiles de LinkedIn y Facebook de los empleados para que solo sean visibles para los amigos hará que sea más difícil para los estafadores aleatorios obtener acceso a su información personal y usarla como parte de un ataque de caza de ballenas.
Mantén la guardia en alto
La única manera de prevenir los ataques de caza de ballenas es prepararte para ellos lo más diligentemente posible. Conseguir un poco de ayuda de una compañía como Marco en este momento podría ahorrarte millones de dólares y un dolor de cabeza del tamaño de una ballena en el futuro.
