Explicación de los ataques de «whaling»: cómo los ejecutivos se convierten en objetivos de gran valor

Información clave

Los ataques de «whaling» se dirigen específicamente a altos ejecutivos, aprovechando su autoridad sobre las transacciones financieras y los datos confidenciales para provocar pérdidas que, en 2024, ascendieron a una media de 137 000 dólares por incidente.
Los deepfakes generados por IA han llevado el «whaling» de un fraude limitado al correo electrónico a una suplantación de identidad multicanal: el caso de Arup de 2024 provocó pérdidas por valor de 25,6 millones de dólares a raíz de una sola videoconferencia falsificada mediante deepfake.
El «whaling» y el fraude al director ejecutivo son amenazas distintas. El «whaling» se dirige directamente al ejecutivo, mientras que el fraude al director ejecutivo utiliza la identidad de este para atacar a otras personas; cada uno de ellos requiere estrategias de defensa diferentes.
Es fundamental contar con una defensa por capas. La autenticación del correo electrónico (DMARC, SPF, DKIM), la formación específica para directivos, los protocolos de doble autorización y la detección de comportamientos deben funcionar de forma conjunta.
Ningún competidor en los mapas de los resultados de búsqueda (SERP) se ajusta al marco MITRE ATT&CK a los marcos de cumplimiento normativo — comprender el T1566 El cumplimiento de los requisitos normativos y de mapeo ofrece a los equipos de seguridad una ventaja práctica.

Según el Centro de Denuncias de Delitos en Internet del FBI, los ataques de suplantación de identidad en el correo electrónico empresarial costaron a las organizaciones 2.770 millones de dólares solo en 2024. Detrás de esta cifra astronómica se esconde una variante especialmente peligrosa del phishing —el ataque de «whaling»—, en el que los atacantes dedican semanas de investigación a elaborar un único mensaje devastador dirigido a un director ejecutivo, un director financiero o un miembro del consejo de administración. A medida que las técnicas de ingeniería social evolucionan con vídeos deepfake generados por IA y la clonación de voz, lo que está en juego para los ejecutivos y los equipos de seguridad que los protegen nunca ha sido tan importante.

¿Qué es un ataque de suplantación de identidad?

Un ataque de «whaling» es una forma de spear phishing muy selectiva dirigida específicamente a altos ejecutivos, miembros del consejo de administración y directivos de alto nivel que tienen autoridad sobre transacciones financieras, decisiones estratégicas y datos confidenciales de la organización. A diferencia de phishing generales phishing , que lanzan una red amplia, los autores de los ataques de «whaling» dedican mucho tiempo al reconocimiento y la personalización para elaborar mensajes que se aprovechan de las presiones y responsabilidades específicas de los puestos ejecutivos.

El NIST define el «whaling» como «un tipo específico de phishing altos cargos de las organizaciones» (CNSSI 4009-2015). Lo que hace que el «whaling» sea especialmente peligroso es la combinación de objetivos de gran valor y métodos de ataque cada vez más sofisticados. El IC3 del FBI informa de unas pérdidas acumuladas por BEC de 55 500 millones de dólares en la última década, y estas pérdidas se están acelerando a medida que los atacantes adoptan tácticas basadas en la inteligencia artificial.

Los ejecutivos son especialmente vulnerables por varias razones. Tienen la facultad de autorizar transferencias bancarias de gran cuantía sin necesidad de aprobación adicional. Habitualmente gestionan asuntos confidenciales que crean pretextos plausibles para solicitudes urgentes. Mantienen una amplia presencia pública —a través de comunicados de prensa, documentos presentados ante la SEC, LinkedIn y participaciones en conferencias— que proporciona a los atacantes material detallado para el reconocimiento. Y, según la inteligencia sobre amenazas de Proofpoint, los ejecutivos se enfrentan a phishing dirigidos aproximadamente cada 24 días de media.

¿A quiénes van dirigidos los ataques de «whaling»?

Entre las especies más comunes objeto de la caza de ballenas se encuentran:

Los directores financieros y los responsables de finanzas: los principales objetivos del fraude en las transferencias bancarias debido a su facultad para autorizar pagos
Los directores generales y los directores de operaciones: son el objetivo de los ataques para obtener datos estratégicos y, a menudo, se suplantan sus identidades para atacar a sus subordinados
Consejeros jurídicos y responsables jurídicos: víctimas de abusos bajo falsos pretextos legales o normativos
Miembros del consejo y consejeros: personas a las que se dirige la atención durante operaciones de fusión y adquisición o acontecimientos relacionados con el gobierno corporativo
Asistentes ejecutivos y jefes de gabinete: considerados como intermediarios con acceso a las comunicaciones y agendas de los ejecutivos
Los directores de recursos humanos: blanco de las estafas de desvío de nóminas y el robo de datos de los empleados

Cómo funcionan los ataques de ballenas

Los autores de los ataques de «whaling» siguen un ciclo de vida metódico que distingue estos ataques del phishing oportunista. Cada fase supone tanto una inversión por parte del atacante como una posible oportunidad de detección para los equipos de seguridad.

Fase 1: Selección de objetivos. Los atacantes identifican a ejecutivos de alto nivel a través de sitios web corporativos, documentos presentados ante la SEC, comunicados de prensa y redes sociales. Evalúan a los objetivos en función de su autoridad financiera, su visibilidad pública y su función dentro de la organización.

Fase 2: Reconocimiento. Los atacantes analizan el estilo de comunicación del objetivo, sus relaciones comerciales, su agenda de viajes y sus transacciones en curso. Esta fase puede durar semanas y se basa en información de dominio público combinada con datos de ataques anteriores.

Etapa 3: Creación del pretexto. Los atacantes elaboran un escenario verosímil —una adquisición urgente, un asunto legal confidencial, una cuestión de cumplimiento normativo— que se ajusta al contexto empresarial real de la víctima. El pretexto genera una sensación de urgencia al tiempo que exige confidencialidad, lo que disuade a la víctima de buscar una verificación.

Fase 4: Ejecución del ataque. El ataque se lleva a cabo mediante un correo electrónico suplantado, una cuenta empresarial comprometida o, cada vez más, a través de estrategias multicanal que combinan el correo electrónico, las llamadas telefónicas y las videoconferencias. Según un estudio de la APWG, el importe medio de las solicitudes de transferencia bancaria en el marco del BEC alcanzó los 128 980 dólares en el cuarto trimestre de 2024.

Etapa 5: Explotación. Una vez que la víctima entra en la trampa, los atacantes actúan con rapidez para obtener beneficios: autorizan transferencias bancarias, recopilan credenciales para hacerse con el control de las cuentas, sustruyen datos confidenciales o establecen un acceso persistente para desplazarse lateralmente por la red.

Diagrama: Ciclo de vida de un ataque de caza de ballenas en cinco etapas, desde la selección del objetivo hasta la captura, con indicadores de oportunidad de detección en cada transición entre etapas.

Tácticas habituales de ataque de las ballenas

Las investigaciones revelan que el 89 % de los ataques de BEC se hacen pasar por figuras de autoridad, como directores generales, directores financieros y responsables de TI. Entre las tácticas más habituales se incluyen:

Correos electrónicos en los que alguien se hace pasar por el director general y solicita transferencias bancarias urgentes para transacciones confidenciales
Compromiso de la seguridad del correo electrónico de los proveedores (VEC) dirigido a los procesos de pago aprobados por la dirección
Comunicaciones fraudulentas de carácter jurídico o normativo que exigen una actuación inmediata so pena de
Solicitudes de desviación de nóminas en las que se suplantaba la identidad de ejecutivos para redirigir las cuentas de ingreso directo
Archivos adjuntos maliciosos camuflados como documentos de la junta directiva, informes financieros o documentos de fusiones y adquisiciones

Tipos de caza de ballenas y comparaciones clave

Comprender la clasificación de los ataques dirigidos a altos ejecutivos es fundamental para crear defensas eficaces. El «whaling» no es un único tipo de ataque, sino una familia de amenazas relacionadas entre sí, cada una de las cuales requiere estrategias específicas de detección y prevención.

El fraude por suplantación de identidad en el correo electrónico empresarial (BEC) es la categoría más amplia, ya que abarca cualquier fraude basado en el correo electrónico que utilice identidades empresariales suplantadas o comprometidas. El fraude por suplantación de identidad en el correo electrónico de proveedores (VEC) —una variante en rápido crecimiento que, según Fortra, aumentó un 66 % en el primer semestre de 2024— se centra en los procesos de pago a proveedores aprobados por los ejecutivos, mediante la inserción de facturas fraudulentas o la alteración de las instrucciones de pago. El fraude por desvío de nóminas consiste en suplantar la identidad de los ejecutivos para desviar los ingresos directos de los empleados. La pesca de ballenas multicanal combina el correo electrónico con llamadas telefónicas y videoconferencias para crear un engaño en varias capas.

La caza de ballenas frente al fraude de los directores generales: una distinción fundamental

La mayoría de las fuentes del sector utilizan los términos «whaling» y «fraude del director general» indistintamente, pero a los profesionales de la seguridad les conviene comprender una distinción conceptual que mantienen Cisco y Proofpoint:

El «whaling» se dirige a los altos cargos. La víctima es el directivo de alto nivel que recibe el mensaje malicioso y es manipulado para que actúe.
El fraude del director general consiste en suplantar la identidad del directivo. La identidad del alto directivo se utiliza como arma para atacar a subordinados, proveedores o socios que confían en la autoridad del ejecutivo.

Esta distinción es importante porque cada tipo de ataque requiere controles diferentes. La defensa contra el «whaling» se centra en proteger a los ejecutivos mediante protocolos de formación y verificación. La defensa contra el fraude dirigido a directores generales se centra en validar la identidad de los ejecutivos mediante controles de autenticación y en capacitar a los empleados para que cuestionen las solicitudes basadas en la autoridad.

Phishing spear phishing whaling

Comparación de los tipos phishing según la precisión de los objetivos y el impacto habitual.

Tipo de ataque	Objetivo	Personalización	Objetivo principal
Phishing	Público masivo (miles de personas)	Genérico — basado en plantillas	Robo de credenciales, malware
phishing	Personas o funciones específicas	Moderado — contexto basado en roles	Robo de datos, acceso inicial
La caza de ballenas	Altos directivos y responsables de alto nivel	Contexto personal ampliamente documentado	Fraude en transferencias bancarias, robo de datos estratégicos
Fraude por parte del director general	Empleados que dependen de los directivos	Moderado: se hace pasar por una autoridad reconocida	Fraude mediante transferencia bancaria, desvío de nóminas

Todos los ataques de «whaling» son una forma de spear phishing, y la mayoría pueden clasificarse como BEC. Sin embargo, no todos los ataques de BEC son de «whaling»: el BEC también incluye suplantaciones de identidad de menor nivel dirigidas a empleados de nivel medio y al personal de contabilidad.

La evolución de los ataques de «whaling» gracias a la IA y los deepfakes

El cambio más significativo en la sofisticación de los ataques de tipo «whaling» en los últimos tres años ha sido la adopción de la tecnología de deepfakes basada en la inteligencia artificial. Lo que antes era una amenaza limitada al correo electrónico se ha convertido en campañas multicanal de suplantación de identidad de ejecutivos que aprovechan simultáneamente las plataformas de vídeo, voz y mensajería.

La tecnología de clonación de voz solo necesita ahora entre 20 y 30 segundos de audio grabado para generar un discurso sintético convincente, y algunas plataformas logran resultados viables con tan solo tres segundos. Las plataformas de «deepfake como servicio» (DaaS) —cuya disponibilidad se disparó en 2025 según Cyble— han democratizado la suplantación de identidad de altos ejecutivos, poniendo estos ataques al alcance de adversarios sin conocimientos técnicos avanzados.

Las cifras reflejan esta transformación. El vishing basado en deepfakes se disparó más de un 1600 % en el primer trimestre de 2025 en comparación con finales de 2024. Las tácticas de fraude impulsadas por la IA aumentaron un 118 % interanual, y las pérdidas por fraude con deepfakes superaron los 200 millones de dólares en Norteamérica solo en el primer trimestre de 2025. Estas tendencias convierten phishing impulsado por la IA en la categoría de ataques de más rápida evolución en el panorama de amenazas para ejecutivos.

Cronología: Evolución de los métodos de ataque de los «balleneros», desde el uso exclusivo del correo electrónico (antes de 2020) pasando por la clonación de voz (2020-2023) hasta las videoconferencias con deepfakes (2024-2026), con casos prácticos destacados en cada fase.

Casos recientes de «deepfake whaling»

Arup (25,6 millones de dólares, enero de 2024). En el ataque de «deepfake whaling» más grave hasta la fecha, los delincuentes utilizaron la inteligencia artificial para crear réplicas de vídeo falsas de varios ejecutivos de Arup durante una videoconferencia. Un empleado del departamento financiero de la oficina de Hong Kong —que en un principio sospechó phishing se convenció tras ver lo que parecían ser sus auténticos compañeros en la llamada. El empleado autorizó 15 transferencias bancarias por un total de 25,6 millones de dólares a cinco cuentas controladas por los atacantes. La CNN y el Foro Económico Mundial documentaron este caso como un punto de inflexión en el fraude a ejecutivos mediante IA.

Multinacional de Singapur (499 000 dólares, marzo de 2025). Los atacantes utilizaron tecnología deepfake en una videollamada de Zoom para suplantar al director financiero de la empresa y convencer a un empleado del departamento financiero de que realizara una transferencia de fondos. El ataque combinó mensajes de WhatsApp con una videoconferencia deepfake, lo que pone de manifiesto el enfoque multicanal que caracteriza al «whaling» moderno.

Clonación de la voz del ministro de Defensa italiano Crosetto (febrero de 2025). Unos clones de voz generados por IA que se hacían pasar por el ministro de Defensa italiano se dirigieron a destacados líderes empresariales, entre ellos Giorgio Armani y Massimo Moratti, y lograron sustraer aproximadamente un millón de euros antes de que se descubriera la estafa.

La caza de ballenas en la práctica

Las consecuencias financieras y operativas de los ataques a las empresas de caza de ballenas van mucho más allá del robo inicial. La responsabilidad de los directivos, el daño a la reputación, las sanciones reglamentarias y el cierre de la empresa son consecuencias bien documentadas.

Estudios de casos destacados sobre la caza de ballenas y el fraude de los directores ejecutivos que ponen de manifiesto una sofisticación cada vez mayor y un impacto financiero creciente.

Año	Organización	Importe de la pérdida	Método de ataque	Lección clave
2024	Arup	25.6 millones	Videoconferencia con deepfakes	Se requiere una verificación multicanal: las videollamadas por sí solas no bastan para generar confianza
2025	Operación Sentinel de INTERPOL	7,9 millones de dólares congelados	Transferencia bancaria BEC (Compañía Petrolera de Senegal)	La coordinación entre las fuerzas del orden puede permitir la recuperación de fondos si se denuncia en un plazo de 48 horas
2020	Levitas Capital	8.7 millones	Invitación falsa de Zoom con malware	El daño a la reputación obligó al cierre total del fondo de cobertura — pérdida total del negocio
2016	Banco Crelan	75.8 millones	Correo electrónico suplantando la identidad del director general	El fraude solo se detectó durante una auditoría interna: la supervisión en tiempo real es fundamental
2016	FACC Aeroespacial	58 millones	Correo electrónico suplantando la identidad del director general	El consejo de administración destituyó tanto al director general como al director financiero por controles inadecuados: responsabilidad de los ejecutivos
2015	Ubiquiti Networks	46.7 millones	Correo electrónico suplantando la identidad del director general	17 días de transferencias bancarias: la doble autorización podría haber detenido la cadena

Según el informe «Cost of a Data Breach» de IBM, el coste medio de una filtración de datos relacionada con el BEC ascendió a 4,89 millones de dólares en 2024. Según un estudio de Hoxhunt, las organizaciones con 50 000 o más empleados se enfrentan a un riesgo semanal de BEC cercano al 100 %, y entre el 63 % y el 70 % de las organizaciones sufrieron intentos de BEC durante el periodo 2024-2025.

El caso de Levitas Capital pone de manifiesto una dimensión del impacto de la caza de ballenas que a menudo se pasa por alto. Aunque las pérdidas directas ascendieron a unos 800 000 dólares, el daño a la reputación provocó que el principal cliente del fondo se retirara, lo que obligó a cerrar completamente el negocio. Este patrón de riesgo interno —en el que una vulneración inicial deriva en amenazas existenciales para la empresa— es cada vez más habitual.

Detección y prevención de ataques de ballenas

Una defensa eficaz contra el «whaling» requiere controles en varias capas que abarquen la autenticación del correo electrónico, la formación de los directivos, la detección de comportamientos sospechosos y procedimientos documentados de respuesta ante incidentes. Ninguna tecnología o proceso por sí solo es capaz de detener el «whaling».

Implementar la autenticación de correo electrónico DMARC, SPF y DKIM con una política de «rechazo»
Implementar una solución de seguridad para el correo electrónico basada en inteligencia artificial que analice los patrones de comportamiento
Impartir programas de formación con simulaciones de caza de ballenas dirigidos específicamente a directivos
Exigir doble autorización para las transacciones financieras que superen los límites establecidos
Establecer protocolos de verificación fuera de banda para todas las solicitudes de los ejecutivos
Implementar la detección y respuesta en red para detectar indicadores posteriores a una intrusión
Supervise los comportamientos relacionados con la identidad mediante ITDR para detectar el uso indebido de credenciales
Aplicar la autenticación multifactorial (MFA)phishing en todas las cuentas de los directivos

Medidas técnicas de autenticación del correo electrónico

La autenticación del correo electrónico constituye la primera línea de defensa contra la suplantación de dominios, aunque presenta importantes limitaciones.

El SPF (Sender Policy Framework) define qué direcciones IP están autorizadas a enviar correos electrónicos en nombre de tu dominio
DKIM (DomainKeys Identified Mail) añade una firma criptográfica que verifica la integridad del correo electrónico y la autenticación del remitente
DMARC (Domain-based Message Authentication, Reporting & Conformance) aplica la política cuando fallan las comprobaciones de SPF o DKIM; configúralo en «rechazar» para evitar que los correos electrónicos falsificados lleguen a los destinatarios

Cloudflare ofrece orientación técnica detallada sobre la implementación de estos protocolos. La limitación fundamental es que la autenticación del correo electrónico no puede detener los ataques que se originan en cuentas legítimas comprometidas o en dominios similares; por eso, los protocolos de detección de comportamientos y de verificación son controles complementarios esenciales.

Diseño de programas de formación para ejecutivos

Los ejecutivos tienen unas necesidades de formación específicas que los programas genéricos de sensibilización sobre seguridad no logran satisfacer. Se enfrentan a perfiles de amenazas distintos, disponen de poco tiempo para formarse y pueden mostrarse reacios a los enfoques estandarizados que consideran por debajo de su nivel de experiencia.

Los programas eficaces de formación sobre «whaling» para ejecutivos deberían utilizar casos prácticos recientes —como el incidente del deepfake de Arup y los de Singapur— como modelos de situaciones que resulten convincentes para los líderes empresariales. Las simulaciones deberían dirigirse tanto a los ejecutivos como a sus asistentes, ya que estos últimos suelen ser el verdadero punto de ataque. La medición de la eficacia de la formación a través de las tasas de clics, las tasas de notificación y el tiempo de notificación proporciona datos sobre la rendición de cuentas que los equipos de seguridad pueden presentar al consejo de administración.

Guía de respuesta ante incidentes para el «whaling»

Cuando se detecta un intento de estafa de suplantación de identidad empresarial (BEC) o este tiene éxito, la rapidez es determinante para contener las pérdidas o recuperarlas. Las recomendaciones del FBI sobre el BEC insisten en que hay que ponerse en contacto con las entidades financieras en un plazo de 48 horas para tener más posibilidades de recuperar los fondos.

Medidas de contención inmediatas. Suspender las cuentas comprometidas, bloquear las transacciones financieras pendientes y notificar a las entidades financieras para que congelen las transferencias.
Determinación del alcance. Realizar un análisis forense del correo electrónico para identificar todas las comunicaciones del atacante, revisar los registros de transacciones financieras y evaluar si se han visto comprometidas las credenciales.
Protocolos de notificación. Notificar al asesor jurídico, a los equipos de cumplimiento normativo, a la dirección ejecutiva y a los organismos reguladores, tal y como exigen los marcos normativos aplicables.
Medidas de recuperación. Restablecer las credenciales de todas las cuentas afectadas, iniciar los trámites para la anulación de los pagos a través de los canales bancarios y verificar la integridad de todas las transacciones recientes autorizadas por la dirección.
Análisis posterior al incidente. Documentar la cadena de ataque, identificar fallos en los controles, actualizar las reglas de detección e incorporar las lecciones aprendidas en los escenarios de formación para directivos.

Asignación MITRE ATT&CK

MITRE ATT&CK no incluye una subtécnica específica para el «whaling». En su lugar, el «whaling» se clasifica dentro de T1566 ( Phishing ) como una variante específica del «spearphishing», en la que los criterios de selección se centran específicamente en miembros de alto rango de la organización.

Correlación de las subtécnicas del modelo MITRE ATT&CK para la detección de ataques de «whaling».

ID de subtécnica	Nombre	Fuentes de datos de detección	Relación con la caza de ballenas
T1566.001	Archivo adjunto de spearphishing	Registros de la pasarela de correo electrónico, supervisión de archivos,malware	Documentos utilizados con fines maliciosos camuflados como material para reuniones de la junta directiva o informes financieros
T1566.002	Enlace de spearphishing	Registros de la pasarela de correo electrónico, filtrado de URL, tráfico de red	Páginas de robo de credenciales que imitan los portales de inicio de sesión para ejecutivos
T1566.003	Spearphishing a través del servicio	Registros de aplicaciones, seguimiento de redes sociales	Mensajes de LinkedIn, comunicación dirigida a ejecutivos a través de Teams o Slack
T1566.004	Spearphishing de voz	Registros de llamadas, supervisión de plataformas de comunicación	Llamadas de voz con deepfake en las que se suplantan la identidad de ejecutivos o figuras de autoridad

Las tecnologías de detección de amenazas basadas en el comportamiento aportan una capa de protección fundamental al identificar patrones de actividad anómalos tras una intrusión inicial —como accesos inusuales a datos, secuencias inesperadas de transacciones financieras o la escalada de privilegios — que el análisis estático del correo electrónico no puede detectar.

La caza de ballenas y el cumplimiento normativo

En la actualidad, múltiples marcos normativos exigenphishing , lo que convierte la defensa contra el whaling en un requisito de cumplimiento normativo, además de una prioridad de seguridad. El requisito 5.4.1 de la norma PCI DSS v4.0 establece la obligatoriedad dephishing a partir del 1 de abril de 2025, y las normas de la fase 1 de Nacha ACH, que entrarán en vigor el 20 de marzo de 2026, añaden requisitos de supervisión basados en el riesgo para las transacciones de pago iniciadas de forma fraudulenta.

Cuadro comparativo del marco normativo que recoge los requisitos de cumplimiento aplicables a la caza de ballenas.

Enfoques modernos para la defensa de la caza de ballenas

Los programas de defensa contra el phishing más eficaces combinan la seguridad del correo electrónico basada en inteligencia artificial con la detección y respuesta de red (NDR) para identificar indicadores de comportamiento tras un ataque, la detección y respuesta ante amenazas de identidad (ITDR) para supervisar las credenciales comprometidas, y protocolos operativos como la verificación fuera de banda. Las tecnologías de detección de deepfakes están surgiendo, pero aún no están maduras; las organizaciones no deben confiar en ellas como medida de control principal.

La conclusión clave desde el punto de vista de la arquitectura es que las pasarelas de correo electrónico por sí solas no pueden detener los ataques sofisticados de «whaling». Los ataques basados en cuentas comprometidas se originan en direcciones de correo electrónico legítimas, y la suplantación de identidad mediante deepfakes elude por completo la verificación visual. La defensa debe ampliarse para detectar las consecuencias que se derivan de un compromiso exitoso.

Cómo Vectra AI la defensa contra el «whaling»

Vectra AI la defensa contra el whaling desde la perspectiva de una seguridad basada en la inteligencia artificial que se centra en lo que ocurre una vez que un ataque ha burlado las pasarelas de correo electrónico y los controles iniciales. Si bien el filtrado y la autenticación del correo electrónico constituyen unas primeras líneas de defensa esenciales, los ataques sofisticados de whaling —especialmente aquellos que utilizan cuentas comprometidas o suplantación de identidad mediante deepfakes— suelen eludir estas defensas. Attack Signal Intelligence detecta las consecuencias de comportamiento de un ataque de whaling exitoso en las superficies de ataque de la red, cloud y la identidad, supervisando patrones anómalos de transacciones financieras, accesos inusuales a datos, escalada de privilegios y llamadas de comando y control que indican que un ataque de whaling ha avanzado más allá de la fase inicial de ingeniería social.

Tendencias futuras y consideraciones emergentes

El panorama de las amenazas a la seguridad empresarial está evolucionando rápidamente, y hay varios factores que podrían redefinir los riesgos para los directivos en los próximos 12 a 24 meses.

Las grabaciones de voz y vídeo generadas por IA serán indistinguibles de la comunicación real. A medida que avance la tecnología deepfake y proliferen las plataformas DaaS, el coste y las barreras técnicas para suplantar de forma convincente la identidad de un directivo seguirán disminuyendo. Las organizaciones deben partir de la base de que cualquier canal de comunicación no verificado —incluidas las videollamadas— puede verse comprometido, y diseñar protocolos de verificación en consecuencia.

La presión normativa sobrephishing se está intensificando. Ahora quephishing de la norma PCI DSS v4.0 son obligatorios y que las normas ACH de Nacha entrarán en vigor en marzo de 2026, las organizaciones que carecen de controles documentados contra el whaling se enfrentan a riesgos tanto de seguridad como de cumplimiento normativo. La aplicación de la Directiva NIS2 en la UE añade nuevas obligaciones de notificación para los incidentes de BEC.

Los agentes de IA y los flujos de trabajo autónomos crearán nuevas superficies de ataque. A medida que las organizaciones implementen agentes de IA con capacidades de autorización financiera, los atacantes especializados en «whaling» pasarán de atacar a los ejecutivos humanos a manipular los sistemas de decisión basados en IA. Los equipos de seguridad deberían empezar a evaluar cómo los flujos de trabajo financieros automatizados validan la identidad y la intención.

Los ataques multiplataforma se convertirán en la norma. La combinación de ataques a plataformas de correo electrónico, voz, vídeo y mensajería, como los observados en los casos de Arup y Singapur, se generalizará. Las estrategias de defensa deben incluir una verificación multicanal que no dependa de una única plataforma de comunicación.

Las organizaciones deben dar prioridad a la inversión en sistemas de detección de comportamientos que identifiquen la actividad posterior a la intrusión, independientemente del vector de ataque inicial; a programas de formación específicos para directivos, actualizados trimestralmente con casos prácticos recientes; y a protocolos de verificación fuera de banda que exijan un canal secundario confirmado para todas las solicitudes de alto valor.

Conclusión

Los ataques de tipo «whaling» ocupan un lugar único en el panorama de las amenazas: combinan la precisión en la selección de objetivos de las operaciones de los Estados con la motivación económica del crimen organizado. A medida que los deepfakes generados por IA eliminan las señales de alerta tradicionales y las plataformas de «Deepfake-as-a-Service» reducen las barreras para suplantar la identidad de los ejecutivos, las organizaciones mejor preparadas son aquellas que han ido más allá de una defensa centrada en el correo electrónico y han adoptado controles por capas que abarcan la autenticación, la detección de comportamientos, la formación de los ejecutivos y protocolos operativos verificados.

El cambio más importante para los equipos de seguridad es de carácter filosófico. Hay que partir de la base de que los ataques sofisticados de «whaling» lograrán eludir las puertas de enlace de correo electrónico. Es necesario desarrollar capacidades de detección y respuesta que identifiquen las consecuencias de un ataque exitoso —transacciones financieras inusuales, uso indebido de credenciales, anomalías en el acceso a los datos— independientemente de cómo se haya llevado a cabo la ingeniería social inicial. Hay que alinear los controles con MITRE ATT&CK los marcos normativos para crear programas sólidos y basados en pruebas.

Para conocer más a fondo cómo la detección de comportamientos y Attack Signal Intelligence la actividad posterior a la intrusión en los ataques dirigidos a altos ejecutivos, explore la Vectra AI .

Preguntas frecuentes

¿Qué es un ataque de suplantación de identidad?

Un ataque de «whaling» es una forma de spear phishing muy selectiva phishing específicamente a altos ejecutivos, miembros del consejo de administración y líderes de alto nivel de las organizaciones. El término «whaling» hace referencia al gran valor de los objetivos: los «peces gordos» de una organización. A diferencia de phishing masivas phishing , que utilizan señuelos genéricos dirigidos a miles de destinatarios, los ataques de «whaling» implican un exhaustivo trabajo de reconocimiento sobre el cargo, las relaciones, el estilo de comunicación y las actividades empresariales actuales del objetivo. Los atacantes elaboran mensajes personalizados que se aprovechan de la autoridad y el acceso del ejecutivo para cometer fraude financiero, robo de datos o suplantación de credenciales. El NIST define el whaling como «un tipo específico de phishing miembros de alto rango de las organizaciones». El FBI informó de pérdidas por valor de 2.770 millones de dólares en BEC en 2024, siendo el whaling el subconjunto de mayor valor de estos ataques.

¿Cuál es la diferencia entre phishing el whaling?

phishing estándar phishing una red muy amplia, enviando mensajes idénticos o ligeramente modificados a miles o millones de destinatarios mediante señuelos genéricos, como notificaciones de envío falsas o solicitudes de restablecimiento de contraseña. El «whaling» invierte por completo este enfoque: los atacantes se dirigen a un solo ejecutivo o a un pequeño grupo de altos directivos con mensajes redactados específicamente para ellos. El nivel de personalización es mucho mayor: los correos electrónicos de whaling hacen referencia a transacciones comerciales reales, proyectos en curso o compañeros de trabajo reales por su nombre. Los riesgos financieros son, en consecuencia, mayores, ya que los incidentes de BEC cuestan una media de 137 000 dólares, en comparación con phishing típicas phishing , que pueden implicar el robo de credenciales individuales. La diferencia clave es la inversión frente a la escala. Phishing en el volumen, mientras que el whaling se basa en la precisión.

¿Cuál es la diferencia entre spear phishing whaling?

El «whaling» es una variante especializada del «spear phishing». Ambos consisten en ataques dirigidos contra personas concretas, pero phishing «spear phishing dirigirse a cualquier persona: un empleado del departamento de cuentas por pagar, un administrador de TI o un directivo de nivel medio. El «whaling», por su parte, se dirige específicamente a ejecutivos con autoridad en la alta dirección, miembros del consejo de administración o cargos de liderazgo de alto nivel. Esta distinción es importante porque los atacantes que practican el «whaling» deben hacer frente a mayores costes de inversión (se requiere más reconocimiento), pero persiguen ganancias significativamente mayores (transferencias bancarias de millones en lugar de miles). Las implicaciones defensivas también difieren: la defensa contra el whaling requiere programas de formación específicos para ejecutivos y controles de autorización financiera que los programas estándar phishing spear phishing no abordan.

¿Cuál es la diferencia entre la caza de ballenas y el fraude de un director ejecutivo?

Aunque muchas fuentes utilizan estos términos indistintamente, existe una distinción práctica en cuanto a su orientación. El «whaling» se dirige al ejecutivo: el director general, el director financiero o un miembro del consejo de administración recibe el mensaje malicioso y es manipulado para que actúe. El «fraude al director general» suplantó la identidad del ejecutivo: el atacante utiliza la identidad del director general (correo electrónico falsificado, cuenta comprometida o voz deepfake) para dirigirse a subordinados, equipos financieros o proveedores que confían en la autoridad del ejecutivo. Esta distinción tiene implicaciones reales para la defensa. Protegerse contra el whaling significa formar a los ejecutivos para que reconozcan los ataques dirigidos contra ellos. Protegerse contra el fraude al director general significa formar al resto del personal para que verifique la identidad del ejecutivo antes de actuar ante sus solicitudes, y desplegar la autenticación de correo electrónico para evitar la suplantación de identidad.

¿Cómo funcionan los ataques de «whaling»?

Los ataques de «whaling» siguen un ciclo de vida de cinco etapas. En primer lugar, los atacantes seleccionan a sus víctimas identificando a los ejecutivos con autoridad financiera a través de documentos públicos, sitios web corporativos y perfiles de LinkedIn. En segundo lugar, llevan a cabo un exhaustivo reconocimiento de los patrones de comunicación, las relaciones comerciales y las actividades actuales de la víctima. En tercer lugar, crean un pretexto creíble —a menudo una adquisición urgente, un asunto legal o una cuestión normativa— que se ajusta al contexto empresarial real de la víctima. En cuarto lugar, lanzan el ataque mediante correos electrónicos suplantados, cuentas comprometidas o enfoques multicanal que combinan el correo electrónico con el teléfono y el vídeo. En quinto lugar, aprovechan la interacción para obtener transferencias bancarias, credenciales o datos confidenciales. La solicitud media de transferencia bancaria por BEC alcanzó los 128 980 dólares en el cuarto trimestre de 2024, según un estudio de la APWG.

¿Cómo se puede prevenir un ataque de suplantación de identidad?

La prevención requiere controles en varias capas, ya que ninguna tecnología por sí sola es capaz de detener el «whaling». Empiece por la autenticación del correo electrónico: implemente SPF, DKIM y DMARC con una política de «rechazo» para evitar la suplantación de dominios. Añada una solución de seguridad para el correo electrónico basada en IA que analice los patrones de comportamiento, no solo el contenido. Implemente protocolos de doble autorización que exijan la aprobación de dos personas para cualquier transacción financiera que supere un umbral definido. Establezca una verificación fuera de banda: cuando un ejecutivo solicite una transferencia bancaria por correo electrónico, confirme llamando a un número de teléfono conocido (nunca a un número proporcionado en el correo electrónico). Implemente detección y respuesta de red para identificar indicadores posteriores a la compromisión. Realice phishing específicos para ejecutivos cada trimestre. Aplique la autenticación multifactorial (MFA) phishing en todas las cuentas de ejecutivos. Por último, documente y ensaye un manual de respuesta a incidentes específico para escenarios de whaling.

¿De qué manera la IA hace que los ataques de las ballenas sean más peligrosos?

La IA ha transformado el «whaling» de tres maneras fundamentales. En primer lugar, la tecnología de clonación de voz genera ahora un discurso sintético muy convincente a partir de tan solo 20-30 segundos de audio grabado, lo que permite a los atacantes suplantar la identidad de ejecutivos durante las llamadas telefónicas. En segundo lugar, la tecnología de vídeo deepfake —ahora disponible a través de plataformas de «Deepfake-as-a-Service»— permite a los atacantes crear suplantaciones en tiempo real de ejecutivos en videoconferencias, como demostró el caso de Arup, en el que se sustrajeron 25,6 millones de dólares. En tercer lugar, los grandes modelos de lenguaje permiten a los atacantes generar correos electrónicos altamente personalizados que imitan el estilo de redacción, el tono y el vocabulario de un ejecutivo con un esfuerzo mínimo. El vishing basado en deepfakes se disparó más de un 1600 % en el primer trimestre de 2025, y las tácticas de fraude impulsadas por la IA aumentaron un 118 % interanual. El efecto combinado es que las señales de alerta tradicionales —gramática deficiente, saludos genéricos, patrones de comunicación desconocidos— ya no son indicadores fiables.

¿Quiénes corren mayor riesgo de sufrir ataques de ballenas?

Los directores financieros (CFO) y los directores de finanzas son los que corren mayor riesgo de sufrir fraudes en transferencias bancarias debido a su facultad directa para autorizar pagos. Los directores generales (CEO) son los ejecutivos cuya identidad se suplantan con mayor frecuencia, y esta se utiliza para atacar a subordinados y proveedores. Los asistentes ejecutivos y los jefes de gabinete constituyen un objetivo cada vez más frecuente, ya que suelen gestionar las comunicaciones de los ejecutivos y cuentan con autoridad delegada. Los directores de recursos humanos son blanco de estafas de desvío de nóminas. Los miembros del consejo de administración se enfrentan a un riesgo elevado durante las operaciones de fusiones y adquisiciones, los eventos de gobernanza y los periodos de presentación de informes anuales. Según un estudio de Hoxhunt, las organizaciones con 50 000 o más empleados se enfrentan a un riesgo semanal de BEC cercano al 100 %. La industria manufacturera (27 %), la energética (23 %) y el comercio minorista (10 %) son los sectores más afectados.

¿Se pueden producir ataques de «whaling» durante las videollamadas?

Sí, y esto supone la evolución más significativa en las tácticas de los estafadores. El caso Arup de 2024 —en el que los atacantes utilizaron un vídeo deepfake para suplantar la identidad de varios ejecutivos en una videoconferencia, lo que provocó pérdidas por valor de 25,6 millones de dólares— demostró que las videollamadas ya no pueden considerarse un canal de verificación fiable. El caso de Singapur de 2025 consistió en una videollamada de Zoom con deepfake combinada con mensajes de WhatsApp para sustraer 499 000 dólares. En febrero de 2025, clones de voz generados por IA que se hacían pasar por el ministro de Defensa de Italia atacaron a destacados líderes empresariales. Las plataformas DaaS han puesto la suplantación de identidad por vídeo y voz al alcance de adversarios sin profundos conocimientos técnicos. Las organizaciones deben establecer protocolos de verificación fuera de banda que no dependan de un único canal de comunicación, incluido el vídeo.

¿Qué debo hacer si recibo un correo electrónico que parece ser phishing?

No responda, no haga clic en ningún enlace ni abra archivos adjuntos. Denuncie el mensaje inmediatamente a su equipo de seguridad a través del canal de denuncia establecido por su organización. Si ya se ha iniciado una transacción financiera, póngase en contacto con su entidad financiera y solicite una retención inmediata; el FBI destaca que la denuncia en un plazo de 48 horas ofrece las mayores posibilidades de recuperar los fondos. Verifique la solicitud a través de un canal alternativo llamando al supuesto remitente a un número de teléfono que ya tenga registrado, nunca a un número proporcionado en el mensaje sospechoso. Conserve el correo electrónico original con los encabezados completos como prueba forense. Si el ataque implicó la introducción de credenciales, restablezca inmediatamente sus contraseñas y notifique a su equipo de TI para que compruebe si ha habido accesos no autorizados. Documente la cronología de los acontecimientos para su equipo de respuesta a incidentes.