Directivos de empresas se han convertido en foco de ataques cibernéticos

Directivos de empresas se han convertido en foco de ataques cibernéticos

Según un análisis de nuestros amigos de EASYSEC, uno de los principales objetivos de los ciberdelincuentes es llegar a la alta dirección de las empresas utilizando para este fin técnicas de ingeniería social, principalmente phishing, y lograr concretar los fraudes que le cuestan a las empresas millones de dólares anualmente.

Sin embargo, la pregunta sería ¿por qué los altos mandos se convierten en los objetivos clave?

Pues bien, para los encargados que laboran dentro del área de la Ciberseguridad, se sabe que es muy común que las personas con cargos directivos no consideren importante apegarse a las políticas de seguridad de la organización y exigen ser excluidos de las mismas.

Los principales argumentos que utilizan van enfocados en ejercer su poder sobre las personas subordinadas. En la mayoría de las empresas, principalmente las PyMEs, los especialistas de ciberseguridad no aplican restricciones a este tipo de usuarios, como sería evitar la navegación web, el uso de aplicaciones no autorizadas o el uso de dispositivos externos.

 

Situación que genera un espacio de vulnerabilidad en las empresas, lo que es bien conocido por los ciberdelincuentes, quienes enfocan sus campañas de phishing a los altos mandos, o a las personas más allegadas a ellos, conformando ataques dirigidos y personalizados cuya efectividad resulta mucho mayor.

Algunos ejemplos pueden ser:

 - Un correo urgente del director general, solicitando que actualices los datos bancarios de un proveedor para los próximos pagos.

- Una llamada de emergencia de la directora de finanzas argumentando que necesita una transferencia de miles de dólares a una nueva cuenta porque está teniendo problemas con su banco actual y además sabes que se encuentra fuera del país atendiendo un proyecto.

¿Seríamos capaces de cuestionar su solicitud, sobre todo si se trata de una emergencia? ¿Sobre todo si se dirige a nosotros con las palabras que utiliza normalmente?

Entonces ¿haría falta revisar con detenimiento el correo que nos envió o corroborar por segunda vez la solicitud?

Este tipo de ataques son conocidos como Fraude al CEO o BEC (business email compromise), y lo que buscan es engañar a las personas responsables del manejo financiero para que realicen transferencias interbancarias a cuentas fraudulentas.

La mejor forma de protegerse contra estos ataques es la concientización y compromiso de las personas, especialmente de los que manejan el dinero de la empresa y los directivos que toman las decisiones sobre él, para que, dentro del proceso de altas, bajas y cambios de trámites de dinero, se cuente con más controles y conocimiento para prevenir este tipo de incidentes.

La alta dirección y la gerencia deben estar comprometidos con la seguridad de la empresa, siendo el ejemplo para los demás colaboradores de la organización y buscando conformar un frente común contra los delincuentes.

La realidad es que, sin políticas de seguridad bien definidas para este tipo de situaciones, probablemente nadie lo haría... hasta caer en cuenta de que hemos sido víctimas de un engaño.

Foto: Cortesía