Ciberataques corporativos: simulan identidad de CEO con distintas modalidades para cometer fraudes

En un contexto de crecimiento sostenido de los ciberataques a empresas, expertos advierten sobre una modalidad cada vez más frecuente: la suplantación de identidad de directivos, especialmente CEOs o CFOs, para inducir pagos, transferencias o acceso a información crítica.

Este tipo de ataques, conocidos en la industria como whaling, forman parte de esquemas más amplios de fraude como el Business Email Compromise (BEC), y se caracterizan por estar dirigidos a perfiles específicos dentro de la organización con capacidad de decisión.

Según el último informe de ESET, el 27% de las empresas en América Latina sufrió al menos un ciberataque en el último año, en un escenario donde predominan amenazas como accesos indebidos, robo de información y fraude digital. A nivel regional, además, América Latina concentró cerca del 9% de los incidentes cibernéticos investigados globalmente en 2025.

Este escenario, impulsado por la creciente digitalización y el uso intensivo de servicios financieros, ha elevado significativamente la exposición de las empresas a fraudes dirigidos como el whaling.

Cómo operan estos ataques

A diferencia del phishing tradicional, los ataques actuales son altamente dirigidos y personalizados. En el caso del whaling, los ciberdelincuentes investigan a la organización y simulan la identidad de un alto directivo para generar urgencia y evitar controles internos.

A partir de fuentes públicas como perfiles en LinkedIn, sitios corporativos, comunicados de prensa y redes sociales, reconstruyen la estructura interna, los roles clave y hasta los estilos de comunicación del CEO o CFO. En algunos casos, también utilizan filtraciones de datos o credenciales comprometidas para acceder a correos reales y replicar con mayor precisión el tono, la firma y los patrones de escritura. Con esta información, logran crear mensajes altamente creíbles que simulan órdenes legítimas, aumentando significativamente las probabilidades de engaño dentro de la organización.

Entre las principales modalidades se destacan:

• Correo electrónico (BEC): mensajes que aparentan provenir de un CEO solicitando transferencias urgentes.
• Mensajería o apps corporativas: suplantación en canales como WhatsApp o Teams.
• Vishing (llamadas telefónicas): uso de voz o incluso clonación mediante inteligencia artificial.
• Suplantación de dominios o cuentas: direcciones casi idénticas a las oficiales.

El uso de inteligencia artificial está potenciando este tipo de fraudes, haciéndolos más creíbles y difíciles de detectar.

“Estamos viendo una evolución clara: los ataques dejaron de ser masivos para volverse selectivos. El whaling es un ejemplo de cómo los delincuentes apuntan directamente a ejecutivos para lograr transferencias o accesos críticos. Este tipo de fraude no explota fallas tecnológicas, sino procesos internos y decisiones bajo presión. Por eso, el riesgo hoy es tanto organizacional como tecnológico”, señala Pablo García PDM CUBER LATAM de Tivit.

Cómo prevenir estos fraudes

El especialista de TIVIT recomienda a las empresas:

• Implementar doble validación para pagos y transferencias
• Verificar pedidos urgentes a través de canales alternativos
• Capacitar a equipos financieros y ejecutivos en fraudes dirigidos como el whaling
• Evitar que una sola persona autorice operaciones críticas
• Fortalecer la gestión de accesos y credenciales

El avance del whaling y otras formas de fraude dirigido refleja un cambio estructural en el cibercrimen: los ataques son cada vez más personalizados, dirigidos y orientados al negocio, lo que obliga a las organizaciones a revisar no sólo su tecnología, sino también sus procesos internos.