En un escenario donde el cibercrimen se vuelve cada vez más selectivo, una amenaza específica está poniendo en jaque a los departamentos financieros de las empresas en Chile y la región: el "whaling".
Este tipo de ataque, bautizado así por dirigirse a los "peces gordos" de una organización (como CEOs o CFOs), consiste en la suplantación de identidad de altos mandos para inducir pagos urgentes, transferencias de fondos o la entrega de información crítica. A diferencia del phishing masivo, el whaling destaca por su alto nivel de personalización y sofisticación.
Cifras de una región bajo ataque
El panorama para las compañías locales es desafiante. Según el último informe de ESET, el 27% de las empresas en América Latina sufrió al menos un ciberataque durante el último año. Además, la región concentró cerca del 9% de los incidentes cibernéticos investigados a nivel global en 2025.
Chile no es la excepción. Los reportes sitúan al país entre los más afectados de la región en categorías críticas como el robo de credenciales y el acceso indebido, acumulando millones de intentos de intrusión mensualmente. La rápida digitalización y el uso intensivo de servicios financieros han elevado significativamente la exposición de las empresas locales a estos fraudes dirigidos.
Cómo opera el engaño: la era de la IA
Los ciberdelincuentes ya no actúan al azar. Para ejecutar un ataque de whaling, realizan una investigación exhaustiva de sus víctimas utilizando fuentes públicas como LinkedIn, sitios corporativos y comunicados de prensa. Así, logran replicar el estilo de comunicación, el tono y hasta la firma de un alto directivo.
“Estamos viendo una evolución clara: los ataques dejaron de ser masivos para volverse selectivos. El ‘whaling’ no explota fallas tecnológicas, sino procesos internos y decisiones bajo presión. Por eso, el riesgo hoy es tanto organizacional como tecnológico”, señaló Pablo García, BDM Cyber de TIVIT Latam.
El uso de Inteligencia Artificial ha potenciado este riesgo, permitiendo incluso el vishing (fraude por voz) mediante la clonación de voz del ejecutivo, haciendo casi imposible distinguir una orden legítima de una estafa a través de llamadas o aplicaciones como WhatsApp y Teams.
El factor humano como defensa
Dado que estos ataques se saltan muchas veces las barreras técnicas al basarse en la confianza y la urgencia, la prevención requiere un cambio en la cultura organizacional. Desde TIVIT Latam recomiendan cinco pilares fundamentales para protegerse:
-
Doble validación: Implementar protocolos rigurosos para autorizar pagos y transferencias
-
Canales alternativos: Verificar cualquier pedido urgente mediante una vía distinta a la que llegó el mensaje (por ejemplo, una llamada de confirmación ante un correo sospechoso)
-
Capacitación específica: Entrenar a los equipos financieros y ejecutivos en la detección de fraudes dirigidos
-
Segregación de funciones: Evitar que una sola persona tenga la facultad de autorizar operaciones críticas
-
Gestión de accesos: Fortalecer la protección de credenciales corporativas para evitar filtraciones
El avance del whaling refleja un cambio estructural en el cibercrimen mundial: el objetivo ya no es solo entrar en la red, sino manipular el corazón del negocio. Para las empresas chilenas, la ciberseguridad ya no es solo una tarea del área de IT, sino una prioridad estratégica para la alta dirección.
