Un correo llega a la bandeja del responsable financiero de una empresa. El remitente es el CEO. El mensaje es urgente: hay que realizar una transferencia antes del cierre del día. El tono es el de siempre. La firma, idéntica. Pero detrás no hay ningún directivo: hay un delincuente que lleva semanas estudiando a la organización.

Este esquema, conocido en la industria como “whaling” —una variante del phishing dirigida específicamente a los peces gordos de las empresas—, se ha convertido en una de las amenazas más sofisticadas y efectivas del cibercrimen actual. A diferencia de los ataques masivos e indiscriminados del pasado, estos operativos son altamente personalizados, quirúrgicos y difíciles de detectar con herramientas tecnológicas convencionales.

El fenómeno forma parte de un esquema más amplio conocido como Business Email Compromise (BEC), que apunta a personas con capacidad de decisión dentro de las organizaciones: CEOs, CFOs, gerentes de finanzas o de recursos humanos.

Un mapa de la amenaza en América Latina

Los números son elocuentes. Según el último informe de ESET, el 27% de las empresas en América Latina sufrió al menos un ciberataque en el último año, en un contexto dominado por accesos indebidos, robo de información y fraude digital. A nivel regional, América Latina concentró cerca del 9% de los incidentes cibernéticos investigados globalmente en 2025.

Argentina aparece entre los países más afectados: registra millones de intentos de ataque y se ubica como uno de los territorios con mayor exposición al robo de credenciales, lo que amplifica la vulnerabilidad de sus empresas frente a esquemas de fraude cada vez más elaborados.

“Estamos viendo una evolución clara: los ataques dejaron de ser masivos para volverse selectivos. El ‘whaling’ es un ejemplo de cómo los delincuentes apuntan directamente a ejecutivos para lograr transferencias o accesos críticos. Este tipo de fraude no explota fallas tecnológicas, sino procesos internos y decisiones bajo presión. Por eso, el riesgo hoy es tanto organizacional como tecnológico.”— Pablo García, BDM Cyber de TIVIT Latam

Cómo operan: ingeniería social con precisión quirúrgica

A diferencia del phishing tradicional —que lanza anzuelos masivos esperando alguna víctima—, el whaling requiere una fase previa de inteligencia y reconocimiento. Los atacantes estudian a fondo a la organización durante días o semanas antes de actuar.

A través de perfiles en LinkedIn, sitios corporativos, comunicados de prensa y redes sociales, los delincuentes reconstruyen la estructura interna, identifican los roles con poder de decisión y analizan los estilos de comunicación del CEO o CFO objetivo. En casos más avanzados, utilizan filtraciones de datos o credenciales comprometidas para acceder a correos reales, lo que les permite replicar con alta precisión el tono, la firma y los patrones de escritura del directivo suplantado.

Truco.Poner papel de aluminio en el módem WiFi: para qué sirve y por qué recomiendan hacerlo

abre en nueva pestaña

Con ese arsenal de información, crean mensajes que resultan prácticamente indistinguibles de una comunicación legítima. El ingrediente clave: la urgencia. Las órdenes siempre son para “antes del cierre”, “antes de que llegue el directivo”, “sin comentarlo con nadie más”. Esa presión apunta a cortocircuitar los controles internos y la capacidad crítica del destinatario.

Entre los vectores de ataque más utilizados se encuentran el correo electrónico corporativo (BEC), la suplantación en plataformas de mensajería como WhatsApp o Microsoft Teams, el vishing —llamadas telefónicas con voz clonada mediante inteligencia artificial— y el uso de dominios casi idénticos a los oficiales de la empresa.

Precisamente, el avance de la inteligencia artificial generativa está potenciando estos ataques de manera exponencial, haciendo cada vez más difícil distinguir lo falso de lo real tanto en textos como en voces y hasta en videollamadas.

Qué pueden hacer las empresas

Frente a este escenario, los especialistas en ciberseguridad coinciden en que la respuesta no puede ser exclusivamente tecnológica. Se trata, sobre todo, de rediseñar procesos internos y construir cultura organizacional alrededor del riesgo.

Desde TIVIT Latam, Pablo García recomienda a las organizaciones una serie de medidas concretas:

• Implementar doble validación para pagos y transferencias, especialmente en montos superiores a determinados umbrales.
• Verificar pedidos urgentes a través de canales alternativos al correo electrónico antes de ejecutar cualquier operación.
• Capacitar a equipos financieros y ejecutivos de forma específica en fraudes dirigidos como el whaling y el BEC.
• Evitar que una sola persona autorice operaciones críticas sin revisión de un segundo responsable.
• Fortalecer la gestión de accesos y credenciales, incluyendo autenticación multifactor en todos los sistemas sensibles.

El avance del whaling y otras formas de fraude dirigido refleja un cambio estructural en el cibercrimen: los ataques son cada vez más personalizados, más orientados al negocio y más difíciles de contener solo con tecnología.

En ese contexto, las organizaciones que no revisen también sus procesos internos, sus cadenas de autorización y la cultura de sus equipos quedarán expuestas a una amenaza que, a diferencia de los virus tradicionales, se aprovecha no de fallas en los sistemas, sino de fallas en las personas.