“Whaling”: cómo funciona la estafa corporativa que usa IA para engañar empresas

Los ciberataques a empresas evolucionaron. Ya no se trata solamente de correos masivos con enlaces sospechosos: ahora los delincuentes investigan a fondo a las organizaciones y se hacen pasar por CEOs o directivos para ordenar transferencias, pedir datos sensibles o acceder a sistemas internos.

La modalidad, conocida como “whaling”, forma parte de los esquemas de fraude denominados Business Email Compromise (BEC) y crece en América Latina impulsada por el uso de inteligencia artificial y la exposición pública de información corporativa.

Según un informe de la empresa de ciberseguridad ESET, el 27% de las compañías de América Latina sufrió al menos un ciberataque durante el último año. Además, la región concentró cerca del 9% de los incidentes cibernéticos investigados a nivel global en 2025.

“Estamos viendo una evolución clara: los ataques dejaron de ser masivos para volverse selectivos. El ‘whaling’ es un ejemplo de cómo los delincuentes apuntan directamente a ejecutivos para lograr transferencias o accesos críticos”, explicó Pablo García, especialista en ciberseguridad de TIVIT.

Cómo funcionan las estafas que imitan a CEOs

A diferencia del phishing tradicional, estos ataques son personalizados. Los ciberdelincuentes investigan a la empresa a través de perfiles de LinkedIn, redes sociales, comunicados y sitios corporativos para reconstruir la estructura interna y copiar el estilo de comunicación de sus directivos.

En algunos casos, incluso acceden a correos filtrados o credenciales robadas para replicar firmas, tonos de escritura y conversaciones reales. El objetivo es generar sensación de urgencia y evitar controles internos.

Entre las modalidades más frecuentes aparecen:

• Correos electrónicos falsos que simulan órdenes urgentes de transferencia.
• Mensajes por WhatsApp o plataformas corporativas como Teams.
• Llamadas telefónicas con voces clonadas mediante inteligencia artificial.
• Dominios o cuentas de correo casi idénticas a las oficiales.

Los especialistas advierten que el avance de la IA hace que estas maniobras sean cada vez más difíciles de detectar, porque permiten crear mensajes, audios y conversaciones extremadamente convincentes.

Qué recomiendan los expertos para evitar caer en el fraude

Ante el crecimiento de este tipo de ataques, los expertos en ciberseguridad recomiendan reforzar tanto la tecnología como los procesos internos de las empresas.

Las principales medidas preventivas incluyen:

• Implementar doble validación para pagos y transferencias.
• Confirmar pedidos urgentes a través de otro canal de comunicación.
• Capacitar a equipos financieros y ejecutivos sobre fraudes dirigidos.
• Evitar que una sola persona autorice operaciones críticas.
• Reforzar la gestión de accesos y contraseñas.

El crecimiento del “whaling” refleja un cambio en el cibercrimen: los ataques ya no buscan únicamente vulnerabilidades técnicas, sino también explotar decisiones humanas y errores internos dentro de las organizaciones.