Qué es el "Whaling", el fraude VIP que imita a jefes para robar millones en segundos

Los ciberataques corporativos dejaron de ser masivos para volverse selectivos. Según el último informe de ESET, el 27% de las empresas en América Latina sufrió al menos un ciberataque en el último año, y la región concentró cerca del 9% de los incidentes cibernéticos investigados globalmente en 2025. "Estamos viendo una evolución clara: los ataques dejaron de ser masivos para volverse selectivos. El Whaling es un ejemplo de cómo los delincuentes apuntan directamente a ejecutivos para lograr transferencias o accesos críticos. Este tipo de fraude no explota fallas tecnológicas, sino procesos internos y decisiones bajo presión", señala Pablo García, BDM Cyber de TIVIT Latam.

Qué es el Whaling y por qué es tan efectivo

El Whaling es un tipo de ataque dentro del Business Email Compromise (BEC) que apunta específicamente a los "peces gordos" de una organización. A diferencia del phishing masivo —que pesca en general—, el Whaling elige un blanco preciso: un directivo con poder de decisión y un destinatario con capacidad para ejecutar transferencias o revelar información crítica.

El método de investigación previo es lo que lo hace tan creíble. A partir de fuentes públicas como perfiles en LinkedIn, sitios corporativos, comunicados de prensa y redes sociales, los ciberdelincuentes reconstruyen la estructura interna de la empresa, los roles clave y hasta los estilos de comunicación del CEO o CFO. En algunos casos, también utilizan filtraciones de datos o credenciales comprometidas para acceder a correos reales y replicar con mayor precisión el tono, la firma y los patrones de escritura.

Las cuatro modalidades más usadas

Los atacantes no solo usan el correo electrónico. Las principales formas de operar son: correo electrónico BEC —mensajes que aparentan provenir del CEO solicitando transferencias urgentes—, mensajería en apps corporativas como WhatsApp o Teams, Vishing —llamadas telefónicas con uso de voz clonada mediante inteligencia artificial— y suplantación de dominios con direcciones casi idénticas a las oficiales que solo cambian en un carácter.

La IA está potenciando este tipo de fraudes. Con las herramientas actuales, los atacantes pueden clonar la voz de un ejecutivo a partir de unas pocas horas de grabación pública —entrevistas, presentaciones, videos corporativos— y usarla en una llamada telefónica al área de finanzas solicitando una transferencia "antes del cierre de mercado". La urgencia fabricada y el origen aparentemente confiable son la combinación que cierra la trampa.

Cómo protegerse: las cinco medidas concretas

Las recomendaciones del especialista de TIVIT son operativas, no teóricas.

• Doble validación para pagos y transferencias: ninguna transferencia importante debe procesarse con la sola autorización por mail, sin importar quién aparezca como remitente.
• Verificar pedidos urgentes por canales alternativos: si llega un mail del CEO pidiendo una transferencia urgente, la respuesta correcta es llamar al CEO directamente al teléfono de siempre, no al que aparece en ese mail.
• Capacitar a equipos financieros: son el blanco más habitual. Deben conocer el patrón de estos ataques y saber que la urgencia fabricada es la señal de alerta más clara.
• Evitar la autorización unipersonal: ninguna operación crítica debería poder ejecutarse si una sola persona la aprueba.
• Fortalecer la gestión de accesos y credenciales: muchos ataques se facilitan porque las contraseñas corporativas fueron comprometidas en filtraciones anteriores y nunca se actualizaron.