Ya sean experimentados o novatos, los ciberdelincuentes se ven obligados a elegir entre atacar objetivos fáciles que ofrecen recompensas menores, o ir a por un pez gordo bien protegido pero que podría suponer un gran beneficio. Luego, existe una tercera opción: objetivos de alto valor y bajo riesgo. Normalmente, estos últimos suelen ser directivos de alto nivel.
Para los ciberdelincuentes, dirigir sus ataques a directivos de organizaciones públicas y privadas resulta cada vez más interesante. Son profesionales que tienen acceso a los datos y sistemas de sus empresas y, a menudo, no están suficientemente protegidos. Extremadamente ocupados, con múltiples frentes abiertos, viajes constantes, participando en foros y relacionándose con mucha gente, no es raro que en un determinado momento bajen la guardia y caigan en la trampa de un email de phishing perfeccionado por ingeniería social o por información pública que sirve para hacerse pasar por un proveedor, socio o cliente.
Cuanto más alto, más dura es la caída
Un fondo de inversión australiano sufrió una estafa de ocho millones de dólares. Los ciberdelincuentes se infiltraron en sus sistemas y emitieron docenas de facturas falsas. El origen del ataque fue un e-mail cuidadosamente elaborado en el que uno de los fundadores de la compañía hizo clic.
Otro caso fue el de la empresa alemana Leoni AG. Un empleado de contabilidad recibió un e-mail falso del director financiero de la firma en el que le ordenaba transferir cuarenta millones de euros a una cuenta fraudulenta. Este director financiero es ahora el exdirector financiero, y el caso sirve de ejemplo de cómo un e-mail bien preparado puede surtir efecto en el personal de cualquier compañía.
Higiene y visibilidad
Detener los ataques dirigidos a los CEO puede ser tan simple como aplicar una buena higiene de ciberseguridad en toda la organización. Desafortunadamente, muchos altos ejecutivos quedan exentos de una gran parte de los controles básicos de seguridad. Igualmente, cuentan por norma con acceso a sistemas a los que no acceden nunca o solo de manera puntual, lo que es, claramente, un riesgo innecesario. Hay directivos que reclaman acceso a todo sin pensar en las consecuencias, y hay responsables de seguridad que no se atreven a buscar un equilibrio entre los privilegios del directivo y su responsabilidad a la hora de mantener a la empresa protegida.
Por otra parte, es conveniente contar con herramientas que sean capaces de proporcionar visibilidad de las políticas de acceso y autorización, identificar amenazas y ofrecer recomendaciones para reducir el riesgo. Tener visibilidad sobre la situación de endpoints, usuarios y redes resulta esencial para poder identificar tendencias o eventos dispares que puedan indicar que se está produciendo un ataque. En esta labor, la introducción de tecnologías de inteligencia artificial y machine learning es crucial para que los equipos de seguridad puedan disponer de análisis en tiempo real y reducir los tiempos de detección y respuesta cuando se produzca un ataque.
Tres tácticas para proteger a la empresa de un ataque a través de un directivo
- Detectar con rapidez. Es probable que los ataques dirigidos a ejecutivos de alto nivel tengan un impacto enorme en la organización, por lo que es fundamental detectarlos lo más rápido posible antes de que se produzca un daño. Para ello, se necesitan tecnologías capaces de correlacionar información y eventos en tiempo real.
- Obtener el contexto adecuado. El cronómetro empieza a correr en el momento en el que se detecta la infracción. Es fundamental poder recopilar información relevante lo más rápido posible para obtener el contexto necesario que permita comprender el ataque. Para combatirlo es necesario saber cómo se produjo el acceso, cómo se propagó, qué sistemas están afectados, si se ha producido alguna filtración de datos, etc.
- Tomar medidas inmediatas. En un ataque a un directivo, la velocidad es un factor crítico. En este punto, es necesario también disponer de herramientas que indiquen cómo detener el ataque, la mejor manera de mitigar su impacto e incluir recomendaciones para poner en cuarentena sistemas específicos, cerrar el acceso a ciertos usuarios, apagar aplicaciones o restaurar endpoints.
Los ataques a la alta dirección pueden ser bastante dañinos, provocando pérdida de ingresos, despidos o, incluso, la quiebra de la empresa. Por desgracia y a pesar del enorme riesgo, muchos ejecutivos de alto nivel son bastante indolentes en materia de seguridad, priorizando el acceso y la productividad sobre los controles de seguridad. Si esto no cambia, lo único que queda es incorporar, la menos, la mejor tecnología que proporcione tanto higiene como visibilidad.
Opinión