Al igual que los ciberataques de suplantación de identidad, el whaling es una técnica muy pensada por los ciberdelincuentes que tiene más de ingeniería social que de trucos tecnológicos.
Para llevarla a cabo, emplean métodos muy sofisticados como, por ejemplo, la utilización de un lenguaje muy cuidado, detalles de la compañía, datos específicos de la víctima extraídos de sus perfiles sociales… La persona que recibe el e-mail confía en el emisor y sigue sus indicaciones.
En los correos electrónicos tipo whaling, se suele incorporar el logo de la compañía para que el e-mail resulte fiable y creíble. Además, se intenta emplear el mismo tipo y tamaño de fuente que usa el destinatario. Normalmente, los ciberdelincuentes piden completar un ‘informe adjunto’ que, en realidad, es un malware o descargar un software adicional para abrir un texto o programa.
Lo más preocupante es que, según el proveedor de seguridad cibernética SmartTech 247, el número de estos ataques se triplicó en 2017 y se extendió a empresas todos los tamaños.
¿Cómo se pueden prevenir?
El whaling juega con algo muy importante: cualquier empleado o alto cargo que reciba un e-mail de la junta directa o gerente responderá al correo o ejecutará el trabajo que se pide en él. Dado el método tan depurado que siguen los ciberdelincuentes, en muy pocos casos se percibe que el mensaje es falso e, incluso si se duda, en raras ocasiones se pregunta de viva voz al responsable antes de actuar. Es importantísimo estar segur@ de que el contenido del mensaje es verídico, de lo contrario estamos entregando información confidencial a los ciberdelincuentes.
Otro de los recursos habituales en esta caza de ballenas es añadir la palabra ‘urgente’ en el asunto del e-mail. Si esto ocurre, hay que plantearse: ¿se ha hablado con el emisor del correo sobre este tema? Si la respuesta es afirmativa, ¿qué nivel de urgencia expresó el alto cargo en la reunión?
El mejor consejo es siempre preguntar ante la más mínima duda a la persona en cuestión. No se debe continuar ninguna tarea sin estar 100% convencid@ de ello. Por otro lado, es bueno tener en mente -y aplicar- las pautas de prevención del phishing, por ejemplo, fijarse muy bien en la firma, cuestionarse el tipo de archivo adjunto o tomarse el tiempo necesario para examinar el e-mail.
Proteger la información de la compañía es fundamental para el buen funcionamiento de la organización, así como para mantener una buena reputación empresarial. La mejor manera de conseguirlo es con el trabajo de todos los empleados, por lo que la formación del personal es una práctica clave.
Si salvaguardar los datos personales ha sido siempre algo fundamental, la llegada del Reglamento General de Protección de Datos (RGPD) el pasado 25 de mayo ha elevado esta tarea a algo imprescindible.
Si aún no sabes cómo poner en marcha la nueva normativa de protección datos o no conoces tus derechos como ciudadan@ o responsabilidades como trabajador, te recomendamos echar un vistazo a nuestro libro verde ecológico sobre el Reglamento.
Descarga gratis tu guía RGPD >>
Digital Marketing at IT Governance Ltd
Reblogueó esto en Arcanus's Random Stuffs.
Cada vez se emplean métodos más sofisticados para llevar a cabo estos engaños. Por eso es importantísimo cerciorarse bien antes de proceder a la apertura del mail, como bien se recoge en este artículo. Pueden parecer fiables a primera vista, pero no por eso debemos bajar inmediatamente la guardia.