Menu

Alerta S21sec de fraude CEO, ciberataque dirigido

*Asegura que 2019 será el año de los ataques a través de Compromiso de Correo Electrónico

*La seguridad centrada en las personas será un factor decisivo para contrarrestar el riesgo que implica esta modalidad de cibercrimen.

 

La firma española especializada en tecnología y servicios de seguridad, S21sec,   dio a conocer que, de acuerdo con su pronóstico, 2019 será el año de los ataques a través de Compromiso de Correo Electrónico Empresarial (Business Email Compromise o BEC), actividad  comúnmente conocida como el “fraude del CEO”. De acuerdo con Laura Requena, gerente y analista de ciberinteligencia para América Latina de S21sec, este tipo de estafa es altamente lucrativa y puede afectar a cualquier empresa sin importar su tamaño o el sector industrial al que pertenezca.                                    .

El nombre del ataque es un juego de palabras que hace referencia a la nomenclatura inglesa para denominar a los altos directivos de una empresa, quienes son el objetivo principal de este tipo de ataques, cuya objetivo consiste en secuestrar y controlar cuentas empresariales de email para interceptar o redireccionar transacciones financieras.

“A diferencia del phishing o del malware tradicionales, estos ataques son dirigidos, pues están diseñados especialmente para cada víctima: los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para suplantar sus identidades y enviar correos a su nombre con contenido bastante convincente, y en el que las víctimas confían”, señala Requena.

Este nivel de personalización permite que la estafa supere los filtros de spam y otras protecciones de las cuentas de correo. Además, para llevarla a cabo los ciberdelincuentes utilizan programas de cómputo accesibles que, en un principio, fueron creados para aumentar la seguridad de las cuentas de email empresariales.

Requena, asegura que el éxito en la modalidad de esta estafa radica en la ganancia que ofrece a los delincuentes: “Es muy poca la inversión y el beneficio es alto. Se consigue mucho dinero de esta forma, razón por la que el BEC está teniendo un gran impacto y un protagonismo que casi supera al de ransomware”.

Ante esta técnica, Requena enfatiza que la mejor manera de hacerle frente es a través de una estrategia de seguridad centrada en las personas.

Hace hincapié en que contar con servicios que evalúen y auditen periódicamente la capacidad del personal para identificar este tipo de fraude será cada vez más demandado por las empresas, y enfatiza: “Las organizaciones deben ser proactivas para mejorar la capacitación y la educación de su personal, con el fin de garantizar que adquieran las habilidades necesarias para detectar y bloquear estafas”.

Una de las formas con las que los empleados pueden adquirir conciencia sobre este tipo de fraudes es a través de la “gamificación”: dinámicas de grupo o juegos online que incluyan a todas las áreas de una empresa y que pongan a la gente en situaciones parecidas a las que ocurren en este tipo de fraudes, con el fin de que las interioricen y sean más receptivos ante ellas.

Sin embargo, tales acciones tal vez no sean suficientes  si las empresas son atacadas de maneras variadas a lo largo del año. “La capacitación por sí sola no es suficiente”, asegura Requena, “se requieren estrategias efectivas y campañas continuas, con carteles o mensajes a través de la intranet empresarial, por ejemplo. Son elementos sencillos y de bajo costo que un servicio de consultoría adecuado puede implementar eficazmente”.

Por último, ante las violaciones de datos de alto perfil realizadas por piratas informáticos que ponen en peligro la privacidad de los usuarios finales, algunas normas (como la Directiva NIS, Sarbanes-Oxley o GDPR) pueden marcar referencias efectivas para impulsar la creación de nuevos roles empresariales enfocados en el resguardo de la información personal.

En Europa ya son implementadas  este tipo de acciones, tal como lo expone Requena: “Las compañías que ya cuentan con un director de ética agregan el concepto de ‘Innovación responsable’ a ese rol para proteger aún más la identidad digital de las personas, incluso desde el diseño inicial de nuevas tecnologías. Los que no lo tienen acelerarán su creación. Es un indicio que nos muestra que, en países como México, aún queda mucho trabajo por hacer”.






Comments are Closed