Los ciberdelincuentes ya no atacan al azar. Investigan, personalizan y se hacen pasar por el gerente general para ordenar transferencias millonarias. Chile está entre los países más expuestos de la región.
En ciberseguridad, el tamaño del blanco importa. Mientras el phishing tradicional lanza redes amplias esperando cualquier víctima, el whaling apunta directo a la cúpula: CEOs, CFOs y directivos con poder de decisión sobre fondos o accesos críticos. Y en Chile, el terreno es cada vez más fértil para este tipo de ataques.
Distintos reportes de ciberseguridad ubican al país entre los más atacados de América Latina en intentos de robo de credenciales, phishing y accesos indebidos, con millones de intentos de intrusión registrados cada mes. La creciente digitalización y el uso intensivo de servicios financieros han elevado la exposición de las empresas a fraudes dirigidos, y el whaling es hoy una de sus expresiones más sofisticadas.
Cómo funciona el engaño
La efectividad del whaling no depende de vulnerabilidades tecnológicas, sino de información y presión. Antes de ejecutar el ataque, los delincuentes hacen inteligencia: revisan perfiles de LinkedIn, sitios corporativos, comunicados de prensa y redes sociales para reconstruir la estructura interna de la organización, identificar roles clave y replicar el estilo de comunicación del ejecutivo que van a suplantar.
En los casos más elaborados, también aprovechan filtraciones de datos o credenciales comprometidas para acceder a correos reales y ajustar con mayor precisión el tono, la firma y los patrones de escritura. El resultado es un mensaje prácticamente indistinguible de una instrucción legítima.
Las modalidades más frecuentes incluyen correos que simulan órdenes del CEO solicitando transferencias urgentes, suplantación de identidad en plataformas como WhatsApp o Teams, llamadas telefónicas con voz clonada mediante inteligencia artificial, y uso de dominios casi idénticos a los oficiales de la empresa.
“Estamos viendo una evolución clara: los ataques dejaron de ser masivos para volverse selectivos. El whaling es un ejemplo de cómo los delincuentes apuntan directamente a ejecutivos para lograr transferencias o accesos críticos. Este tipo de fraude no explota fallas tecnológicas, sino procesos internos y decisiones bajo presión. Por eso, el riesgo hoy es tanto organizacional como tecnológico”, señala Pablo García, BDM Cyber de TIVIT Latam.
Qué pueden hacer las empresas
La prevención pasa más por protocolos que por software. Los especialistas recomiendan implementar doble validación para pagos y transferencias, verificar cualquier solicitud urgente a través de un canal alternativo al que llegó el mensaje, y evitar que una sola persona pueda autorizar operaciones críticas sin contrapeso.
La capacitación también es clave: los equipos financieros y ejecutivos son el blanco directo de estos ataques y deben conocer sus mecanismos. A eso se suma fortalecer la gestión de accesos y credenciales para reducir la superficie de exposición.
