Los ciberataques a empresas son cada vez más frecuentes bajo modalidades como la suplantación de identidad de directivos, especialmente CEOs o CFOs, para inducir pagos, transferencias o acceso a información crítica.
Este tipo de ataques, conocidos en la industria como whaling, forman parte de esquemas más amplios de fraude como el Business Email Compromise (BEC), y se caracterizan por estar dirigidos a perfiles específicos dentro de la organización con capacidad de decisión.
Según el último informe de ESET, el 27% de las empresas en América Latina sufrió al menos un ciberataque en el último año, en un escenario donde predominan amenazas como accesos indebidos, robo de información y fraude digital. A nivel regional, además, América Latina concentró cerca del 9% de los incidentes cibernéticos investigados globalmente en 2025.
‘Estamos viendo una evolución clara: los ataques dejaron de ser masivos para volverse selectivos. El whaling es un ejemplo de cómo los delincuentes apuntan directamente a ejecutivos para lograr transferencias o accesos críticos. Este tipo de fraude no explota fallas tecnológicas, sino procesos internos y decisiones bajo presión. Por eso, el riesgo hoy es tanto organizacional como tecnológico’, señala Pablo García, BDM Cyber de TIVIT Latam.
En Argentina, el escenario también es relevante: el país se ubica entre los más afectados por robo de credenciales y registra millones de intentos de ataque, lo que refuerza la exposición de las empresas a esquemas de fraude cada vez más sofisticados.
Cómo operan estos ataques
A diferencia del phishing tradicional, los ataques actuales son altamente dirigidos y personalizados. En el caso del whaling, los ciberdelincuentes investigan a la organización y simulan la identidad de un alto directivo para generar urgencia y evitar controles internos.
A partir de fuentes públicas como perfiles en LinkedIn, sitios corporativos, comunicados de prensa y redes sociales, reconstruyen la estructura interna, los roles clave y hasta los estilos de comunicación del CEO o CFO. En algunos casos, también utilizan filtraciones de datos o credenciales comprometidas para acceder a correos reales y replicar con mayor precisión el tono, la firma y los patrones de escritura. Con esta información, logran crear mensajes altamente creíbles que simulan órdenes legítimas, aumentando significativamente las probabilidades de engaño dentro de la organización.
Entre las principales modalidades se destacan:
- Correo electrónico (BEC): mensajes que aparentan provenir de un CEO solicitando transferencias urgentes.
- Mensajería o apps corporativas: suplantación en canales como WhatsApp o Teams.
- Vishing (llamadas telefónicas): uso de voz o incluso clonación mediante inteligencia artificial.
- Suplantación de dominios o cuentas: direcciones casi idénticas a las oficiales.
El uso de inteligencia artificial está potenciando este tipo de fraudes, haciéndolos más creíbles y difíciles de detectar.
En este contexto, el especialista de TIVIT recomienda a las empresas:
- Implementar doble validación para pagos y transferencias
- Verificar pedidos urgentes a través de canales alternativos
- Capacitar a equipos financieros y ejecutivos en fraudes dirigidos como el whaling
- Evitar que una sola persona autorice operaciones críticas
- Fortalecer la gestión de accesos y credenciales
El avance del whaling y otras formas de fraude dirigido refleja un cambio estructural en el cibercrimen: los ataques son cada vez más personalizados, dirigidos y orientados al negocio, lo que obliga a las organizaciones a revisar no sólo su tecnología, sino también sus procesos internos.
