“Es imperativo que nuestros empleados aprendan a identificar las señales de alerta que podrían indicar un posible intento de estafa"
Miguel López Calleja, director general de Barracuda Networks
| 02 feb 2024
La conveniencia de comprar en línea durante festividades como las recientes Navidades puede llevar consigo riesgos potenciales y es crucial practicar ciertas precauciones para asegurar una experiencia segura y libre de problemas. Esto no es ninguna novedad, desde hace años hemos visto cómo los ciberataques dirigidos a los compradores online se multiplican en estas fechas. Sin embargo, muchas veces se subestima el impacto que estos ataques pueden tener para las empresas al considerarse que su objetivo es únicamente el comprador ‘doméstico’. Aunque esto puede ser cierto en un buen número de ocasiones, también lo es que, en muchas otras, este tipo de ataques sirve de ‘caballo de Troya’ a los atacantes para penetrar en las defensas corporativas y perpetrar estafas y delitos que tienen como víctima no sólo al usuario atacado en concreto sino que buscan un objetivo mayor al infiltrarse en las organizaciones y empresas.
Efectivamente, muchos usuarios utilizan los recursos corporativos (email, portátil, teléfono,…) para ejecutar sus compras y realizar también el seguimiento de sus entregas. Esto brinda a los ciberdelincuentes una ocasión perfecta para burlar las defensas corporativas apoyándose en los propios usuarios que pueden acceder a sitios web fraudulentos atraídos por ofertas imposibles, infectando sus dispositivos y, por ende, a la organización entera. Asimismo, el seguimiento de las entregas y los habituales correos de “compruebe el estado de su pedido” proporcionan una oportunidad perfecta para desencadenar ataques de phishing, que obtengan credenciales de usuario, o de ransomware, que permitan la extorsión de la empresa completa.
Para evitar que los propios empleados acaben convirtiéndose en los mejores aliados de los ciberdelincuentes hay toda una serie de medidas que deberíamos tener en consideración. La primera es la formación de los empleados. Es imperativo que nuestros empleados aprendan a identificar las señales de alerta que podrían indicar un posible intento de estafa. Entre estas señales se incluyen las exigencias de pago por adelantado, perfiles de vendedores sospechosos, elección de plataformas de comunicación alternativas a la propia del portal de compras, solicitud de información de datos personales excesiva… Todo ello y mucho más (como formar a los empleados para que sepan qué hacer y cómo reaccionar en caso de un ataque o la simulación de ataques desde el departamento de IT para mantener a los usuarios ‘atentos y alerta’ a los ataques) se contempla en las herramientas actuales de formación en ciberseguridad para los empleados y debe ser parte de las políticas de formación inicial y reciclaje de toda empresa.
Por otro lado, es fundamental la protección del correo corporativo. Algunos de los principales aspectos que debemos considerar son, por ejemplo, la implementación de medidas de protección frente a ransomware, malware y amenazas persistentes como también a ataques más sofisticados como suplantaciones de identidad y robos de cuenta. Para todo ello es preciso contar con herramientas que complementen con inteligencia artificial las medidas de seguridad tradicionales. En este sentido también es absolutamente necesario establecer una protección de los entornos web corporativos. Muchas empresas confían únicamente en la seguridad implementada de forma nativa por sus herramientas de cortafuegos y descuidan así este vector de ataque. Los servicios web corporativos deben estar protegidos por herramientas específicas de Web Application Firewall, ya que son estas las únicas que pueden hacer frente, de manera efectiva, al amplio rango de ataques al que se enfrenta este tipo de servicios en la actualidad (bots maliciosos, ataques a la cadena de suministro, ataques de denegación de servicio…).
Por supuesto, otro punto a proteger por parte de las empresas es la navegación Web. Es imprescindible contar con herramientas que controlen que el acceso que los empleados realizan a páginas web es correcto y acorde con la política corporativa… El acceso a páginas web de dudosa utilidad corporativa (como pueden ser los sitios de compras y otros, por decirlo así, más escabrosos) debe estar sujeto a las restricciones y controles que imponga la entidad y, como mínimo, debe ser escaneado en busca de posibles ataques.
Con el auge del teletrabajo, es fundamental establecer un protocolo de protección de los accesos remotos y los dispositivos móviles y portátiles. Precisamente este tipo de herramientas que operan muchas veces lejos del entorno corporativo suponen la vía de entrada de multitud de ataques y son un elemento a proteger de manera crítica ya que, en caso de robo de credenciales de uno de estos usuarios, suponen una puerta abierta a los ataques más peligrosos que podamos imaginar, pues el ciberdelincuente podría operar con impunidad total durante meses dentro de nuestra red. Es imprescindible dotar a estos dispositivos de un acceso basado en tecnología Zero Trust (ya que el uso de las tradicionales VPNs ha quedado totalmente desfasado en la actualidad).
En esta línea, también ha cobrado una importancia vital la seguridad del cloud, pues cada vez una mayor parte de los recursos corporativos se ejecuta en alguno de los múltiples “sabores” en los que la “nube” está disponible hoy día (SaaS, IaaS, nube Pública, hibrida…). Por ello, necesitamos contar con herramientas que nos permitan implementar un nivel de visibilidad, seguridad y control en todos estos entornos de forma centralizada, única e integrada con nuestro entorno tradicional, de otro modo perderemos por completo el control de nuestra información.
Por último, pero no por ello menos importante, las empresas han de implementar una estrategia de Backup como mecanismo de prevención. Si todo falla y perdemos datos o servicios críticos como consecuencia de un ataque (por ejemplo, un ransomware que cifra nuestros principales servidores), tener una adecuada estrategia de backup paliará enormemente el impacto del ataque, evitando que tengamos que pagar rescates o, simplemente, asumir la pérdida de información crítica para la continuidad de las operaciones. Una adecuada estrategia de backup debe incluir no sólo los datos que obran en nuestro poder sino también los que se encuentran en servicios cloud y SaaS (como O365, por ejemplo).
En resumen, la precaución durante las compras en línea es clave para garantizar la ausencia de problemas. Las empresas deben ser conscientes de que es muy difícil evitar que sus empleados sucumban a la tentación de efectuarlas dentro del ámbito corporativo por lo que deben estar preparadas para actuar en consecuencia. Como empleados y clientes de las plataformas de compra online, debemos ser conscientes de que no es únicamente nuestra seguridad la que ponemos en riesgo cuando efectuamos este tipo de compras. Identificar y evitar posibles estafas, utilizar conexiones y métodos de pago seguros, y dirigirse a sitios web oficiales son prácticas esenciales para disfrutar de la conveniencia de las compras en línea sin comprometer la seguridad personal y la corporativa.
