Werner Thalmeier

Director senior de Ingeniería de Proofpoint

Hoy en día, los empleados de organizaciones se han convertido en el principal objetivo de los cibercriminales. A través de técnicas de ingeniería social, los atacantes consiguen atraer a sus víctimas para que activen sus campañas maliciosas, exponiendo así sus credenciales, divulgando información sensible o incluso transfiriendo fondos de forma fraudulenta.

Algunos estudios indican que los cibercriminales atacan a personas con diferentes roles y responsabilidades dentro de la empresa, pero no solo eso: también cambian constantemente de objetivo. Según un reciente informe sobre empresas de la lista Fortune 500, los cibercriminales cambiaron en un 99% sus objetivos entre empleados de un trimestre a otro. Incluso teniendo en cuenta posibles cambios en plantilla, cuya media es de un 11% en todo el mundo de acuerdo a LinkedIn, estas cifras demuestran que quien hoy no atraiga la atención de los atacantes, sí que puede estar en el punto de mira mañana.

Por otro lado, los cibercriminales están personalizando cada vez más sus tácticas para que sean más creíbles y así haya más posibilidades de que la víctima haga clic en enlaces maliciosos. En 2018, expertos en seguridad observaron un aumento de los ataques de ingeniería social, respecto al año anterior, de acuerdo a este mismo estudio. Es una amenaza imposible de ignorar, y que convierte a los empleados en el eslabón más débil de la cadena de ciberseguridad, por lo que es imprescindible que las empresas dediquen sus esfuerzos en comprender realmente a quiénes se dirigen estos ataques y los métodos empleados.

Conoce a tus VIP, pero también a tus VAP

Los ejecutivos de nivel C y miembros de la junta directiva son por naturaleza objetivos clave en cualquier empresa, bien por su condición de VIP, tener ciertos privilegios de acceso o conocimiento interno de la organización. Todo esto hace que sean particularmente atractivos para los cibercriminales, pero no por ello son los usuarios más atacados.

Al igual que cada persona es única, también lo es su valor para los cibercriminales y el riesgo para la propia organización. Así, hemos constatado que los VAP (Very Attacked People) o personas muy atacadas suelen ser empleados de menor nivel, pero con acceso a ciertos sistemas, conexiones internas y externas en la empresa objeto de ataque, o que forman parte de un proceso de aprobación interna en la que los atacantes están tratando de infiltrarse.

Estos cambios en cuanto a objetivo y estrategias de ataque en el panorama actual de amenazas ponen de manifiesto la preparación, agilidad y tenacidad de los cibercriminales. Nos situamos muy lejos de aquel enfoque en el que un mismo ataque servía para todos. Es peligroso asumir que los usuarios VIP son los únicos objetivos dentro de una organización, ya que los atacantes buscan dar importancia a su actividad cibercriminal.

¿Estás dando demasiada información de tu empresa a los atacantes?

Las redes sociales hacen que sea mucho más fácil encontrar información sobre personas, al mismo tiempo que ofrecen líneas abiertas de comunicación. No obstante, son un arma de doble filo: por un lado, tienen una función muy positiva para que clientes y usuarios de confianza contacten con la empresa y encuentren respuesta a ciertas preguntas, pero también puede suponer un peligro si al otro lado hay alguien que quiere poner en riesgo tu red.

Resulta difícil determinar cuál es la forma ideal de compartir detalles sobre una organización y sus empleados en canales públicos, como páginas web o redes sociales. De todos modos, resumimos a continuación una serie de buenas prácticas a considerar por cualquier empresa.

Conoce lo que sucede externamente para contarlo internamente

Dado que el principal cometido de los equipos de seguridad es proteger a las organizaciones frente a ciberataques, sus expertos deben estar al tanto de aquello que se transmite a través de canales públicos, ya sean direcciones de email, datos personales de los empleados, eventos en los que vayan a participar o redes sociales con gran visibilidad en las que se difunden noticias sobre negocio de la compañía. 

Los cibercriminales van a utilizar esta información para lanzar ataques de phishing o de ingeniería social, por lo que es conveniente tenerla bajo el radar. De esta manera, deben monitorizarse los mails entrantes y, asimismo, aquellas personas que reciben y mandan mensajes a través de alias genéricos necesitan recibir formación acerca de cómo gestionar estas comunicaciones con sumo cuidado.

Defiende la privacidad

Cuando sea posible, es necesario promover la colaboración entre los equipos de trabajo para determinar el nivel de detalle adecuado en los canales públicos. Muchas veces se quiere añadir un toque más humano en aquellos activos dirigidos a los clientes; sin embargo, las organizaciones deben tener claro en qué momento puede resultar algo excesivo. Hay que encontrar un equilibrio entre lo que tiene que estar disponible indefectiblemente y los detalles más orientados a promocionar contactos profesionales.

Si se acuerda publicar los datos de contacto de una persona, como su dirección de email o teléfono, debe emplearse algún tipo de aislamiento, especialmente, si ese usuario cuenta con privilegios de acceso. Por tanto, en vez de difundir su correo corporativo, es mejor utilizar un alias que no coincida con sus credenciales internas. Esta opción puede ayudar a los destinatarios a cuantificar los mensajes entrantes y, al romper las reglas de creación de emails, es más probable que salten las alarmas ante un posible intento de fraude.  

Educa a los usuarios acerca de las tácticas de los cibercriminales

Las personas objeto de ataque varían de un sector a otro y de una organización a otra. Prácticamente, cualquier usuario puede ser un VAP. Por tanto, es clave que desde las organizaciones se forme a los empleados en cuanto a las mejores prácticas a la hora de compartir información, así como para que puedan identificar y evitar los ataques. Se debe concienciar a los trabajadores sobre el uso que hacen los cibercriminales de LinkedIn, Google o Facebook, a fin de que comprendan que toda la información personal que incluyen ahí puede ser utilizada para hacer que un ataque de phishing sea más creíble y difícil de detectar.

Aun así, es necesario que la organización adopte un enfoque de ciberseguridad centrado en las personas, identificando a sus empleados más atacados y preparándolos con simulaciones de phishing basadas en casos reales. El primer paso para que las personas sean más resistentes a las ciberamenazas es hacer que sean más conscientes de los riesgos. Por eso, la formación en materia de ciberseguridad es la base para que los usuarios sean menos vulnerables.