El tiempo promedio para remediar una credencial expuesta alcanza los 94 días.
Pablo García, BDM Cyber LATAM de TIVIT, advierte que estos ataques suelen ser altamente planificados.
“Los ciberdelincuentes recopilan información pública de las organizaciones a través de plataformas como LinkedIn, comunicados corporativos y redes sociales para identificar quiénes autorizan pagos, cómo se comunican los ejecutivos y cuáles son sus rutinas. Luego utilizan correos fraudulentos, llamadas con voces clonadas o videollamadas con deepfakes para engañar a sus víctimas”, comenta.
Además, comenta que el whaling apunta directamente a ejecutivos porque aprovecha la jerarquía que tiene el CEO y CFO en la compañía.
“Este fraude no explota fallas tecnológicas, explota procesos internos y la urgencia del día a día”, señala García.
Pérdidas millonarias
En enero de 2024, un director financiero de la multinacional Arup participó en una videollamada con quien creía que era el CFO y otros ejecutivos de la empresa. Todo parecía normal: los rostros, las voces y los gestos coincidían. Tras seguir las instrucciones recibidas, autorizó 15 transferencias por un total de USD 25 millones.
Minutos después descubrió que ninguno de los participantes era real y que las imágenes y voces habían sido generadas con inteligencia artificial.
El caso evidencia una tendencia creciente en el mundo corporativo. Según cifras del FBI, el fraude por suplantación de ejecutivos o Business Email Compromise generó pérdidas por USD 2.770 millones en Estados Unidos durante 2024.
Lea también: Perú lidera el ranking de detecciones de amenazas cibernéticas en Latinoamérica
Recomendaciones
Frente a este panorama, el especialista de TIVIT, recomienda reforzar controles internos para evitar fraudes financieros y accesos indebidos a información crítica:
- Doble validación obligatoria: si el “CEO” solicita una transferencia urgente por correo o mensaje, se debe confirmar el pedido mediante una llamada a un número previamente registrado y no al que figure en la comunicación recibida.
- Segregación de funciones: quien solicita una operación no debería aprobarla ni ejecutarla. Aunque parece una medida básica, muchas empresas aún concentran todo el proceso de pagos en una sola persona.
- Autenticación multifactor (MFA): dado que gran parte de los ataques inicia con credenciales robadas, activar un segundo factor de autenticación se convierte en una de las principales barreras de protección.
El fraude dirigido refleja un cambio en la dinámica del cibercrimen, con ataques cada vez más personalizados y orientados al negocio.
Por ello, García recomienda que las empresas revisen periódicamente quiénes pueden autorizar operaciones, bajo qué mecanismos de validación y cómo actuar frente a solicitudes urgentes realizadas por altos ejecutivos.
Lee también en El Peruano
