Los ciberataques dirigidos a empresas están en aumento, utilizando técnicas que suplantan la identidad de directivos para facilitar transacciones fraudulentas. Esta táctica, conocida como whaling, se centra en individuos con poder de decisión financiero, como CEOs y CFOs.

Estos ataques son una variante del fraude Business Email Compromise (BEC), que tiene como objetivo las jerarquías organizacionales. Según un informe de ESET, el 27% de las empresas en América Latina ha enfrentado al menos un incidente de esta naturaleza recientemente.

La región ha visto un aumento de riesgos vinculados al robo de información y fraude digital, y representó el 9% de los casos de cibercrimen globalmente en 2025.

Transformación del Cibercrimen: Focalización Estratégica

Los ataques han evolucionado de ser simples operaciones masivas a ataques cuidadosamente dirigidos a objetivos de alto valor. El whaling no depende de vulnerabilidades informáticas, sino que se basa en explotar debilidades en los procesos internos y en la toma de decisiones bajo presión.

El riesgo actual combina elementos organizativos y tecnológicos, lo que subraya la necesidad de una revisión exhaustiva de la cultura de seguridad dentro de las empresas.

En Argentina, la situación es alarmante debido a la elevada incidencia de robo de credenciales y millones de intentos de ataque.

Los delincuentes emplean técnicas de ingeniería social avanzadas para mapear la estructura organizativa y los roles clave, utilizando plataformas como LinkedIn y sitios corporativos para replicar estilos comunicacionales de líderes empresariales.

Métodos de Operación: ¿Cómo Actúan los Estafadores?

Los atacantes utilizan datos filtrados para acceder a correos reales y replicar firmas digitales, creando mensajes altamente convincentes que simulan órdenes legítimas y eluden los controles internos de las empresas.

Una técnica común es la utilización de correos electrónicos corporativos comprometidos que solicitan pagos urgentes haciéndose pasar por superiores. Además, se han reportado casos de vishing, donde la clonación de voz mediante inteligencia artificial se utiliza para engañar al personal.

La suplantación también se extiende a aplicaciones de comunicación como WhatsApp o Teams, utilizando dominios casi idénticos a los oficiales, lo que hace que estos fraudes sean cada vez más difíciles de detectar.

Medidas de Seguridad: Cómo Protegerse del Whaling

Para combatir estas amenazas, es fundamental adoptar medidas de doble verificación en cada operación de pago y transferencia. Verificar cualquier solicitud urgente a través de canales alternativos puede prevenir pérdidas significativas.

La formación continua del personal financiero es esencial, representando la primera línea de defensa contra el whaling y técnicas de ingeniería social.

Asimismo, es recomendable que ninguna persona tenga autoridad unilateral para autorizar operaciones críticas. Fortalecer el manejo de accesos y optar por credenciales robustas puede reducir la exposición al riesgo.

La evolución de estos ataques exige que las organizaciones instalen procesos internos robustos que fortalezcan su defensa frente a la personalización del delito.