The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

En resumen: Se ha descubierto una sofisticada campaña de phishing denominada "La Gran Filtración de Ballenas", que tiene como objetivo a inversores de criptomonedas de alto valor haciéndose pasar por el popular boletín francés de criptomonedas The Big Whale. Los atacantes explotan vulnerabilidades en los protocolos de autenticación de correo electrónico, manipulando los encabezados DKIM, SPF y DMARC para eludir los filtros de seguridad y robar credenciales.

Análisis del Encabezado de Correo de la Campaña de Phishing The Big Whale
El análisis técnico revela una sofisticada manipulación de encabezados de correo en la campaña de phishing Big Whale. Fuente: Investigación de Seguridad CryptoVest

Descubrimiento de una operación masiva de caza de ballenas

En lo que los expertos en ciberseguridad están llamando una de las campañas de phishing dirigidas a criptomonedas más sofisticadas de 2025, los actores de amenazas han estado suplantando sistemáticamente a The Big Whale, un prominente boletín francés de criptomonedas, para recopilar credenciales e información sensible de inversores de criptomonedas de alto patrimonio neto en Europa y América del Norte.

La campaña, detectada por primera vez a principios de junio, ya ha comprometido más de 3,000 cuentas de correo electrónico y potencialmente ha expuesto millones de dólares en activos de criptomonedas. Lo que hace que este ataque sea particularmente peligroso es su uso avanzado de técnicas de manipulación de encabezados de correo que logran eludir las medidas de seguridad tradicionales.

"Este no es tu típico intento de phishing. Los atacantes demuestran un conocimiento profundo de los protocolos de autenticación de correo y han elaborado sus mensajes para pasar las verificaciones SPF mientras explotan las vulnerabilidades DKIM. Es una clase magistral en ingeniería social combinada con sofisticación técnica."

— Marcus Chen, Director de Seguridad de CryptoDefense Labs

Anatomía técnica del ataque

Nuestra investigación reveló un enfoque multicapa que combina varios vectores de ataque para maximizar las tasas de éxito. Los correos de phishing llegan con encabezados aparentemente legítimos que pueden engañar incluso a usuarios experimentados.

Técnicas de manipulación de encabezados de correo observadas:

  • Elusión SPF usando suplantación de subdominios: Los atacantes registraron dominios como "thebig-whale.io" y "the-bigwhale.com" con registros SPF válidos
  • Inyección de firma DKIM: Firmas DKIM válidas de servidores de correo comprometidos para pasar la autenticación
  • Explotación de políticas DMARC: Dirigiéndose a organizaciones con políticas DMARC "p=none"
  • Manipulación de ruta de retorno: Usando direcciones de retorno de apariencia legítima para evitar sospechas

Infraestructura del ataque:

  • Servidores de Comando y Control: Ubicados en 7 países diferentes
  • Dominios de phishing registrados: Más de 45 variaciones de typosquatting
  • Plantillas de correo identificadas: 12 variaciones únicas en 4 idiomas
  • Víctimas estimadas: 3,000+ confirmadas, potencialmente 10,000+ objetivo

Análisis profundo: Forense de cabeceras de email

El análisis de emails de phishing capturados revela una manipulación sofisticada de cabeceras que pasaría una inspección casual. Aquí tienes un desglose de las técnicas empleadas:

1. Manipulación de registros SPF

Los atacantes crearon registros SPF que técnicamente pasan la validación pero se originan desde infraestructura maliciosa:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. Análisis de firma DKIM

Mientras que el Big Whale legítimo usa selectores DKIM específicos, los emails de phishing muestran firmas comprometidas o fabricadas:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. Exposición de X-Originating-IP

Varios emails de phishing expusieron inadvertidamente sus verdaderos orígenes a través de cabeceras X-Originating-IP, revelando conexiones con infraestructura cibercriminal conocida en Europa del Este y el Sudeste Asiático.

Impacto en la comunidad cripto

El newsletter de Big Whale, conocido por su análisis profundo del mercado cripto y que llega a más de 100,000 suscriptores, se ha convertido en un objetivo atractivo de suplantación para los cibercriminales. La campaña de phishing se dirige específicamente a:

  • Individuos de alto patrimonio: Ballenas cripto que poseen posiciones significativas de Bitcoin y Ethereum
  • Usuarios de protocolos DeFi: Dirigido a conexiones de wallets y recolección de frases semilla
  • Inversores institucionales: Cuentas de email corporativas con acceso a APIs de exchanges
  • Suscriptores del newsletter: Explotando la confianza en la marca Big Whale

Las víctimas reportan recibir emails que imitan perfectamente la estética de diseño de The Big Whale, incluyendo su característico esquema de colores azul marino y tipografía francesa minimalista. Los emails típicamente contienen llamadas urgentes a la acción relacionadas con "oportunidades de inversión exclusivas" o "actualizaciones de seguridad" para portafolios cripto.

Defenderse contra la suplantación avanzada de email

La sofisticación de esta campaña resalta vulnerabilidades críticas en cómo las organizaciones implementan protocolos de seguridad de email. Aquí están los mecanismos de defensa esenciales:

Para organizaciones:

  • Implementar políticas DMARC estrictas: Pasar de "p=none" a "p=quarantine" o "p=reject"
  • Auditorías regulares de registros SPF: Asegurar que todas las fuentes de envío legítimas estén configuradas correctamente
  • Rotación de claves DKIM: Implementar rotación trimestral de claves para minimizar el impacto de compromisos
  • Herramientas de análisis de cabeceras: Desplegar herramientas automatizadas para inspeccionar cabeceras de email en busca de anomalías
  • Entrenamiento de concienciación de usuarios: Educar a los usuarios sobre identificar intentos sofisticados de phishing

Para usuarios individuales:

  • Verificar direcciones de remitente cuidadosamente: Buscar variaciones sutiles de typosquatting
  • Revisar cabeceras de email: Usar la función "Mostrar Original" para inspeccionar resultados de autenticación
  • Nunca hacer clic en enlaces urgentes: Los servicios legítimos rara vez requieren acción inmediata
  • Usar wallets de hardware: Nunca ingresar frases semilla en línea
  • Habilitar 2FA en todas partes: Protección adicional incluso si las credenciales están comprometidas

Indicadores de compromiso (IoCs)

Los equipos de seguridad deben monitorear los siguientes indicadores asociados con esta campaña:

Dominios maliciosos (lista parcial):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

Direcciones IP asociadas con infraestructura C2:

  • 185.156.177[.]234 (Moldavia)
  • 45.142.212[.]100 (Países Bajos)
  • 193.42.33[.]210 (Rusia)
  • 103.75.119[.]157 (Singapur)

Patrones de asunto de email:

  • "🐋 Alerta Exclusiva: Oportunidad Bitcoin Limitada"
  • "URGENTE: Actualización de Seguridad Requerida para tu Portafolio Cripto"
  • "Reporte Especial de The Big Whale: Actúa Ahora"
  • "Airdrop Exclusivo para Suscriptores de Big Whale"

Investigación en curso y respuesta

Las agencias de aplicación de la ley en múltiples jurisdicciones están coordinando esfuerzos para rastrear a los perpetradores. El newsletter legítimo de Big Whale ha emitido advertencias a su base de suscriptores y está trabajando con proveedores de seguridad de email para implementar medidas de autenticación adicionales.

"Estamos consternados de que los criminales estén explotando nuestra marca para atacar a la comunidad cripto. Estamos implementando BIMI (Indicadores de Marca para Identificación de Mensajes) y trabajando con los principales proveedores de email para asegurar que nuestros emails legítimos estén claramente marcados."

— Declaración del equipo editorial de The Big Whale

La investigación ha revelado conexiones con grupos cibercriminales previamente identificados especializados en robo de criptomonedas, con posibles vínculos a las actividades recientes del Grupo Lazarus en el espacio cripto. Sin embargo, la atribución sigue siendo desafiante debido al uso de infraestructura comprometida y operaciones de bandera falsa.

Implicaciones para la seguridad del correo electrónico en cripto

Esta campaña representa una evolución en el phishing dirigido a cripto, demostrando que los atacantes están invirtiendo recursos significativos para eludir las medidas modernas de seguridad del correo electrónico. La industria cripto enfrenta desafíos únicos:

  • Objetivos de alto valor: Los poseedores de cripto representan objetivos lucrativos para los cibercriminales
  • Transacciones irreversibles: A diferencia de la banca tradicional, las transacciones cripto no se pueden revertir
  • Naturaleza pseudónima: Dificultad para verificar comunicaciones legítimas
  • Cambios rápidos del ecosistema: Nuevos protocolos y plataformas crean superficies de ataque frescas

La industria debe adoptar un enfoque de confianza cero para las comunicaciones por correo electrónico, particularmente para transacciones de alto valor u operaciones sensibles. Esto incluye implementar verificación fuera de banda para solicitudes críticas y educar a los usuarios sobre el panorama de amenazas en evolución.