De VIP a Very Attacked Persons: alta dirección en la mira de los ciberdelincuentes

Los ciberdelincuentes han encontrado que las personas que ocupan cargos de la alta dirección en las compañías son igual o incluso más vulnerables que el resto de los empleados. El ritmo de trabajo, la presión por tomar buenas decisiones en tiempo real y la necesidad de mantener un buen relacionamiento tanto presencial como on-line, los ha convertido en blanco de los criminales. 

Los ataques cibernéticos son hoy uno de los principales riesgos que deben afrontar las compañías, pues día a día aumentan las amenazas y los delincuentes van encontrando nuevas formas de vulnerar la seguridad de la información, más con la aparición de diversas tecnologías que no siempre son consideradas, como los IoT o los mismos dispositivos móviles de los colaboradores. 

Adicional a esto, los cibercriminales han detectado que las personas suelen ser más vulnerables  y fáciles de engañar que los sistemas, por lo que los empleados pueden ser la mejor puerta de entrada a una organización. Más aún aquellos que ocupan cargos de la alta dirección, que se han convertido en uno de los blancos preferidos porque la intensidad del trabajo que llevan adelante, la obligación  de tomar decisiones en forma inmediata y la necesidad de relacionamiento con personas por fuera de su círculo cercano, pueden cometer imprudencias en el manejo de la información. 

Si a esto sumamos su posible falta de información sobre las nuevas amenazas cibernéticas, el acceso de sus dispositivos personales a las redes corporativas y los datos sensibles sobre el core del negocio que manejan en sus comunicaciones, hacen que de ser vulnerados, se pueda ver comprometida la continuidad del negocio -no solo sus datos personales o financieros, que también suelen ser atractivos-.

Por esto, cada vez son más frecuentes los ciberataques dirigidos a personas que, usando diferentes métodos de ingeniería social, logran ganarse la confianza y engañar a los empleados para que entreguen la información que los criminales requieren. Entre los más usados para embaucar a los directivos, tenemos: 

  • Phishing. Es una de las más tradicionales y sorprende que muchos todavía sigan cayendo en la trampa. El atacante envía mails con enlaces que llevan a sitios web comprometidos que descargan malware, o a uno falso -idéntico al real- que solicita las credenciales para acceder a información privilegiada. 
  • Pretexting. Muy usado en redes como LinkedIn. El ciberdelincuente investiga profundamente al directivo para luego presentarse como alguien relevante para sus intereses. Crea una identidad falsa y mantiene una relación cordial hasta ganarse su confianza y así obtener información privilegiada. El éxito de esta técnica reside en gran medida en la habilidad del atacante para construir confianza, pero también puede aprovecharse de la falta de información y el sentido de urgencia: ¿Qué tal si se hace pasar por el operador de servicios de TI que requiere ingresar a los dispositivos para realizar una actualización urgente ante una inminente amenaza, y para ello necesita las credenciales de acceso? ¿Están preparados los directivos de tu organización para saber cómo responder ante esto?
  • Usar un cebo. Su característica primordial es la promesa de un beneficio: Descarga de software, acceso a una serie o documento, promesa de actualización, etc. Allí los ciberdelincuentes engañan a las víctimas y lo que realmente terminan descargando es un archivo malicioso que les otorga accesos. Otro clásico es el de dejar pen drives infectadas en estacionamientos o sectores de oficinas en donde se encuentren los altos mandos, tal vez alguno decida utilizarla en medio de una urgencia y con esto infecta su computadora, dejando abierta la puerta de la organización para que los delincuentes encuentren la información que requerían. 

Esto por mencionar solo algunos métodos. Como vemos, si bien los ataques van dirigidos a las personas, el fin de los cibercriminales no son ellos, son las empresas para las cuales trabajan, los colaboradores son el medio más vulnerable con el que pueden llegar a su objetivo principal. Y no es solo el CEO o el directorio el que está en la mira, los gerentes y jefes de otros departamentos y áreas también están siendo considerados como objetivos valiosos por sus funciones y el acceso que tienen al dinero o la información, por ejemplo:

  • Recursos Humanos. Pueden recibir CVs infectadas o caer en un engaño y terminar enviando información sensible de los empleados, como números de DNI, cuentas bancarias o direcciones de correo electrónico.
  • Contabilidad, Tesorería o Finanzas. Es común que en algunas empresas solo se solicite un mail de aprobación de algún jefe o el CEO para realizar transferencias bancarias u operaciones financieras. Si no existe algún mecanismo de control o verificación, puede resultar muy fácil engañarlos. 
  • Aunque pueda parecer paradójico, los gerentes y personal de TI son objetivos de alto valor para los delincuentes: si logran su cometido, podrían tomar el control sobre las credenciales de acceso, la administración de contraseñas y las cuentas de correo electrónico, entre muchos otros datos.

¿Y cómo prevenir estos ciberataques dirigidos a los directivos?

Tanto los directivos como demás colaboradores de la organización deben estar sensibilizados, informados y capacitados sobre las nuevas amenazas y técnicas que van surgiendo con el paso del tiempo. Es necesario que conozcan el modo de operación de los delincuentes y sepan cómo actuar, qué responder y ante quién denunciar en caso de recibir algún ataque. 

Es importante que interioricen que es básico tener cuidado con emails o llamadas telefónicas de personas de las que no se solicitó nada, se debe verificar la fuente del mensaje antes de entregar cualquier información, además de tomarse el tiempo necesario y prestar especial atención a los detalles en emails, inmails o mensajes. Tampoco deben descargarse archivos adjuntos de correos que provengan de remitentes desconocidos, ni hacer clic en los enlaces. 

Los programas de concientización y capacitación en seguridad de la información (awareness) deben enfocarse en lograr que los colaboradores de todos los niveles jerárquicos desarrollen habilidades para identificar e informar cualquier intento malicioso de ingeniería social, más aún aquellos que desempeñan cargos de mandos medios y directivos. Y aunque a veces pueda ser difícil obtener su atención para que atiendan este tipo de capacitaciones, podríamos comenzar por ejecutar un simulacro de ciberataque que luego nos permita mostrar los posibles riesgos que pudieron materializarse como consecuencia de las decisiones que tomaron. 

Esto también permitirá evaluar el impacto de las capacitaciones en temas de seguridad y se podrán identificar potenciales falencias que marquen el camino de los próximos programas para que respondan a estas necesidades.

Debido a que la ingeniería social está vinculada con las capacidades humanas, se requiere una estrategia de seguridad enfocada en las personas, que busque modificar comportamientos y aumentar el nivel de compromiso de los empleados. Este es uno de los mayores retos que enfrentan hoy en día las áreas de seguridad, por eso en NextVision hemos desarrollado NV Awareness, para acompañar a tu empresa con estrategias integrales que incluyan además la educación y transformación de los hábitos de los colaboradores, programa en el cual también incluimos charlas específicas para directivos y mandos medios. ¡Contactanos!