Por Luis Fisas, director de Ventas para el sur de Europa en Bitdefender
Luis Fisas
| 18 sep 2024
Ya sean experimentados o novatos, los ciberdelincuentes se ven obligados a elegir entre atacar objetivos fáciles que ofrecen recompensas menores, o ir a por un pez gordo bien protegido pero que podría suponer un gran beneficio. Luego, existe una tercera opción: objetivos de alto valor y bajo riesgo. Normalmente, estos últimos suelen ser directivos de alto nivel.
Para los ciberdelincuentes, dirigir sus ataques a directivos de organizaciones públicas y privadas resulta cada vez más interesante. Son profesionales que tienen acceso a los datos y sistemas de sus empresas y, a menudo, no están suficientemente protegidos. Extremadamente ocupados, con múltiples frentes abiertos, viajes constantes, participando en foros y relacionándose con mucha gente, no es raro que en un determinado momento bajen la guardia y caigan en la trampa de un email de phishing perfeccionado por ingeniería social o por información pública que sirve para hacerse pasar por un proveedor, socio o cliente.
Un fondo de inversión australiano sufrió una estafa de ocho millones de dólares. Los ciberdelincuentes se infiltraron en sus sistemas y emitieron docenas de facturas falsas. El origen del ataque fue un e-mail cuidadosamente elaborado en el que uno de los fundadores de la compañía hizo clic.
Otro caso fue el de la empresa alemana Leoni AG. Un empleado de contabilidad recibió un e-mail falso del director financiero de la firma en el que le ordenaba transferir cuarenta millones de euros a una cuenta fraudulenta. Este director financiero es ahora el exdirector financiero, y el caso sirve de ejemplo de cómo un e-mail bien preparado puede surtir efecto en el personal de cualquier compañía.
Detener los ataques dirigidos a los CEO puede ser tan simple como aplicar una buena higiene de ciberseguridad en toda la organización. Desafortunadamente, muchos altos ejecutivos quedan exentos de una gran parte de los controles básicos de seguridad. Igualmente, cuentan por norma con acceso a sistemas a los que no acceden nunca o solo de manera puntual, lo que es, claramente, un riesgo innecesario. Hay directivos que reclaman acceso a todo sin pensar en las consecuencias, y hay responsables de seguridad que no se atreven a buscar un equilibrio entre los privilegios del directivo y su responsabilidad a la hora de mantener a la empresa protegida.
Por otra parte, es conveniente contar con herramientas que sean capaces de proporcionar visibilidad de las políticas de acceso y autorización, identificar amenazas y ofrecer recomendaciones para reducir el riesgo. Tener visibilidad sobre la situación de endpoints, usuarios y redes resulta esencial para poder identificar tendencias o eventos dispares que puedan indicar que se está produciendo un ataque. En esta labor, la introducción de tecnologías de inteligencia artificial y machine learning es crucial para que los equipos de seguridad puedan disponer de análisis en tiempo real y reducir los tiempos de detección y respuesta cuando se produzca un ataque.
Los ataques a la alta dirección pueden ser bastante dañinos, provocando pérdida de ingresos, despidos o, incluso, la quiebra de la empresa. Por desgracia y a pesar del enorme riesgo, muchos ejecutivos de alto nivel son bastante indolentes en materia de seguridad, priorizando el acceso y la productividad sobre los controles de seguridad. Si esto no cambia, lo único que queda es incorporar, la menos, la mejor tecnología que proporcione tanto higiene como visibilidad.