Los ciberataques a ejecutivos expuestos en Redes Sociales

Los ejecutivos de las compañías, blanco fácil para los ciberdelincuentes.  

Las personas que conforman una compañía, son el eslabón más importante y a la vez el más débil de la cadena en lo que a ciberseguridad se refiere. Cuando se produce una fuga de información en una empresa nos encontramos con que muchas veces la causa de la fuga tiene un componente social y humano muy relevante. 

Más digitales, más inseguros

La pandemia no ha hecho más que agravar esta situación: ha acelerado que seamos más digitales pero también más inseguros. 

Es por ello que se hace absolutamente necesario que esta digitalización y automatización de procesos vaya acompañada de una cultura de la ciberseguridad. Una cultura que impregne a todos los empleados de una compañía de tal forma que adquieran un espíritu crítico a la hora de navegar por la red, de trabajar en la nube, de detectar un intento de ciberestafa con campañas de phishing cada vez más sofisticadas, etc. 

Además, no hay que olvidar que el uso personal que puedan hacer de internet y muy en particular de las redes sociales también pueden acabar teniendo repercusiones negativas en la reputación de sus compañías. 

Los ejecutivos de las compañías, blanco fácil para los ciberdelincuentes. 

Los ejecutivos, mandos intermedios y altos de las compañías, disponen de poco tiempo y trabajan con mucha presión, lo que afecta a su capacidad de atención. Además, suelen gozar de credenciales que les proporciona acceso a datos sensibles de la compañía: acceso a cuentas bancarias, programas de nóminas, etc.

La irrupción abrumadora del teletrabajo, y con él el traslado a la nube de documentos y procesos no ha hecho más que agravar la situación. 

En el caso de los ataques a ejecutivos, los vectores de ataque favoritos de los ciberdelincuentes son principalmente dos:

• Los ataques vía email, phishing: suelen revisar su correo electrónico rápidamente y en ocasiones, sin prestar atención a lo que están descargando o ejecutando, lo que hace que sea más probable que los emails sospechosos pasen desapercibidos.

• Los ataques vía navegación: realizar búsquedas en Internet y descargar accidentalmente, o por medio de engaños, códigos maliciosos como Malware, Ransomware, Spyware y cualquier otro tipo de virus con la capacidad de dañar la integridad y acceso de la información. 

• Ataques de falsificación del correo electrónico: este ataque conocido como ataque del CEO, se caracteriza porque el ciberdelincuente se hace pasar por el director general u otro alto ejecutivo de una organización y envía un correo electrónico para engañar a un empleado para que ejecute transferencias no autorizadas o envíe información confidencial.

Deep fakes y ciberseguridad empresarial

Su creciente capacidad de los Deep fakes para suplantar a personas con éxito, tanto en audio como en vídeo, está haciendo que los ciberdelincuentes estén cada vez más interesados en ellas para atacar y estafar a empresas e instituciones públicas.

“Nosotros ya hemos tratado casos de este tipo, del conocido como fraude del CEO, mediante Deep fakes de audios. El consejero delegado de una empresa nos llamó preocupado porque le habían tenido al teléfono durante un minuto y medio mediante ingeniería social sin decirle concretamente para qué, y temía que fuese para conseguir su voz y, mediante concatenaciones, poder reproducirla y usarla para tratar de cometer un fraude contra la compañía”, explica Selva Orejón, experta en ciberseguridad e identidad digital de onBRANDING.

3 claves que permiten a los ejecutivos ciberprotegerse y ciberproteger a su empresa.

1. Rastrear y detectar si se ha producido en la red algún tipo de filtración de información o datos que sean sensibles para la compañía. Debemos adquirir una actitud proactiva en este aspecto, es importante que seamos capaces de identificar las amenazas antes de que los ciberdelincuentes lo hagan, de esta forma podremos reducir las probabilidades de sufrir un ciberataque. Existen herramientas que permiten hacer este rastreo para detectar fugas de información y vulnerabilidades como las siguientes:

• Registro de dominios similares: amenaza de phishing, abuso de marca y ciberocupación
• Credenciales de empleados filtradas
• Subdominios expuestos
• Aplicaciones móviles deshonestas
• Documentos filtrados
• Código fuente filtrado
• Secuestro de dominio
• Caducidad de certificado SSL y del dominio

2. Profiling de candidatos: cuando se contrata a alguien en una compañía, no solo se está reclutando a empleados, sino que se está seleccionando a personas que van a representar a la compañía fuera de ella. Muy especialmente si se trata de puestos directivos. Opiniones en foros o redes sociales, fotografías o contenido audiovisual sensible, delitos omitidos, etc. En definitiva se trata de buscar información y cualquier tipo de contenido en los medios digitales que puedan representar una amenaza reputacional para la compañía contratante.

3. Desposicionar o eliminar el contenido sensible: con el fin de reducir la exposición al riesgo reputacional, de pérdida de privacidad o seguridad para la compañía, sus marcas y sus líderes debe eliminar aquellos enlaces de contenidos de redes sociales, buscadores, etc. 

Agradecemos la valiosa colaboración de Selva Orejón en la redacción de este artículo. Si quieres comunicarte con él puedes hacerlo a través de su buzón para comunicaciones responsables en mypublicinbox.