Repasamos el ataque a Levitas Capital, las señales de alarma y formas de prevención.
Cuando un gestor de inversiones hizo clic sin sospechar nada en una invitación de Zoom, no podía saber las consecuencias. La invitación contenía malware, lo que permitió a los ciberdelincuentes acceder a su cuenta de correo electrónico. A continuación, enviaron facturas falsas y las aprobaron ellos mismos en nombre del gestor.
En total, se "aprobaron" facturas falsas por un valor de 8,7 millones de dólares. Este incidente marcó en última instancia el final de Levitas Capital, tras la salida de uno de sus mayores clientes.
Por desgracia, los ataques selectivos contra altos ejecutivos como éste no son una excepción. ¿Por qué atacar a "peces pequeños" cuando las "ballenas" son mucho más rentables?
¿Qué es un ataque whaling?
Un ataque "ballenero" es un ataque digital dirigido contra alguien de la alta dirección de una organización. Puede ser mediante phishing, smishing, vishing o a través de un Business Email Compromise (BEC). Lo que diferencia a un ataque whaling de un ataque de phishing normal es el grupo objetivo específico: altos ejecutivos influyentes.
¿Por qué las "ballenas" son objetivos atractivos?
Aunque hay menos altos ejecutivos que empleados normales, hay tres razones principales por las que son interesantes para los atacantes. Los directivos, como los CEO o los CFO, suelen serlo:
- Falta de tiempo: tienen la agenda repleta y, por tanto, es más probable que hagan clic en un correo electrónico de phishing, abran un archivo adjunto o aprueben una solicitud sospechosa sin comprobarla detenidamente. A veces también desactivan medidas de seguridad como la autenticación de dos factores (2FA) para ahorrar tiempo.
- Alta visibilidad en línea: Esto permite a los ciberdelincuentes recopilar información fácilmente y utilizar técnicas de engaño creíbles, como un correo electrónico que parece provenir de un asistente o colega.
- Acceso a datos sensibles: Pueden acceder a información empresarial confidencial, como datos financieros y propiedad intelectual, así como estar autorizados a aprobar grandes transacciones en efectivo.
¿Qué aspecto tiene un ataque de este tipo?
Al igual que otros ataques de phishing selectivo, un ataque "whaling" suele comenzar con una preparación exhaustiva. Los atacantes buscan información sobre su objetivo en las redes sociales, el sitio web de la empresa, entrevistas y apariciones públicas.
También quieren saber quiénes son los colegas clave, qué novedades se están produciendo en la empresa (como fusiones o eventos) y cuáles son los intereses personales y el estilo de escritura del objetivo, especialmente si quieren hacerse pasar por esa persona.
Con esa información, los atacantes crean un correo electrónico de phishing o BEC convincente. Parecen proceder de una fuente de confianza y a menudo juegan con la urgencia, haciendo que el destinatario piense menos críticamente.
¿El objetivo? Conseguir que el conductor inicie sesión en un sitio web falso o instale un software malicioso. Con ello, los atacantes obtienen acceso a secretos comerciales o a la cuenta de correo electrónico, con el fin de engañar a otros empleados para que realicen grandes transferencias de dinero. A veces incluso se hacen pasar por el ejecutivo responsable de la "ballena" para conseguir la autorización de un pago.
La IA cambia el juego
La inteligencia artificial (IA) está haciendo que este tipo de ataques sean cada vez más fáciles y eficaces. Los atacantes utilizan modelos de código abierto o herramientas de IA personalizadas para recopilar grandes cantidades de información y, a continuación, emplean la IA generativa (GenAI) para redactar correos electrónicos o mensajes sin errores.
Esta tecnología puede incluso imitar el estilo de escritura del objetivo o añadir contexto a un mensaje. La tecnología Deepfake también puede utilizarse para crear mensajes de voz o vídeo convincentes, supuestamente procedentes de un conductor, con el objetivo de conseguir transferencias de dinero.
La IA permite a más ciberdelincuentes llevar a cabo ataques sofisticados, más rápidamente y a mayor escala.
¿Qué está en juego?
Un ataque BEC con éxito puede costar millones. Del mismo modo, una violación de datos puede dar lugar a grandes multas, reclamaciones legales e importantes interrupciones operativas.
Pero el daño a la reputación suele ser aún mayor, como descubrió Levitas Capital. Aunque finalmente consiguieron bloquear la mayoría de las transacciones fraudulentas, uno de sus mayores clientes se retiró, lo que supuso el fin del fondo de 75 millones de dólares.
Además, los directores que caen en esta trampa a veces son responsabilizados públicamente, aunque hayan sido víctimas de un ataque sofisticado.
¿Cómo proteger a los directores de la caza de ballenas?
Hay varias formas en que los equipos de seguridad pueden mitigar el riesgo de ataques de spearphishing y BEC. Pero esto es difícil si un alto ejecutivo no sigue las normas o piensa que no se aplican a él o ella.
Por tanto...
- Es esencial una formación específica y personalizada para los directivos. Piensa en cursos de formación cortos y específicos sobre simulación que aborden las últimas técnicas de ataque, incluidos el audio y el vídeo deepfake.
- También es importante mejorar las medidas y procesos de seguridad. Por ejemplo, un proceso de aprobación estricto para las transferencias de grandes cantidades de dinero, que exija siempre una doble comprobación o confirmación a través de otro canal.
- La IA también puede ayudar en la defensa. La seguridad del correo electrónico basada en IA puede reconocer patrones de comunicación sospechosos. El software de detección profunda de falsificaciones puede detectar llamadas de voz fraudulentas en tiempo real. Y con un enfoque de confianza cero, en el que siempre se opera con un acceso mínimo y no se confía en nada ni en nadie por defecto, se limita lo que los administradores pueden hacer con sus cuentas.
Examina de forma crítica la información de la empresa que compartes públicamente. En un mundo en el que la IA está en todas partes, los ciberdelincuentes tienen los medios para utilizar casi cualquier cosa en línea contra usted.
