martes, agosto 20

El fraude del CEO: peligro inminente

0
Compartir nota

S21sec augura que el presente será el año de los ataques a través de Compromiso de correo electrónico empresarial (Business Email Compromise o BEC), conocido como el fraude del CEO.

De acuerdo con Laura Requena, gerente y analista de ciberinteligencia para América Latina de la compañía, este tipo de fraude es lucrativo y puede afectar a cualquier empresa sin importar su tamaño o el sector industrial al que pertenece.

El nombre hace referencia a los altos directivos que son el objetivo principal de este tipo de ataques, cuya meta consiste en secuestrar y controlar cuentas empresariales de email para interceptar o redireccionar transacciones financieras, explicó la firma en seguridad.

“A diferencia del phishing o del malware, estos ataques son dirigidos, pues están diseñados para cada víctima: los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para suplantar sus identidades y enviar correos a su nombre con contenido bastante convincente, y en el que las víctimas confían”, señaló Requena.

Agregó que este nivel de personalización permite que la estafa supere los filtros de spam y otras protecciones de las cuentas de correo. Además, para llevarla a cabo los ciberdelincuentes utilizan programas de cómputo accesibles que, en un principio, fueron creados para aumentar la seguridad de las cuentas de email empresariales.

Según Requena, en esta modalidad de esta estafa es muy poca la inversión y el beneficio es alto. “Se consigue mucho dinero de esta forma, razón por la que el BEC está teniendo protagonismo que casi supera al de ransomware”.

Ante esta técnica, Requena enfatizó que la mejor manera de hacerle frente es a través de una estrategia de seguridad centrada en las personas, donde las organizaciones sean proactivas para mejorar la capacitación y la educación de su personal, con el fin de garantizar que adquieran las habilidades para detectar y bloquear estafas.

Una de las formas con las que los empleados pueden adquirir conciencia sobre este tipo de fraudes es a través de la “gamificación”: dinámicas de grupo o juegos online que incluyan a todas las áreas de una empresa y que pongan a la gente en situaciones parecidas a las que ocurren en este tipo de fraudes, con el fin de que las interioricen y sean más receptivos ante ellas, precisó S21sec

Sin embargo, indicó que tales acciones tal vez no basten si las empresas son atacadas de maneras variadas a lo largo del año. “La capacitación por sí sola no es suficiente, se requieren estrategias y campañas continuas, con carteles o mensajes a través de la intranet empresarial, por ejemplo. Son elementos sencillos y de bajo costo que un servicio de consultoría adecuado puede implementar eficazmente”, aconsejó Requena.

Por último, ante las violaciones de datos de alto perfil realizadas por piratas informáticos que ponen en peligro la privacidad de los usuarios finales, algunas normas (como la Directiva NIS, Sarbanes-Oxley o GDPR) pueden marcar referencias efectivas para impulsar la creación de nuevos roles empresariales enfocados en el resguardo de la información personal.

En Europa ya se están implementando este tipo de acciones, tal como lo expone Requena: “Las compañías que ya cuentan con un director de ética agregan el concepto de ‘Innovación responsable’ a ese rol para proteger aún más la identidad digital de las personas, incluso desde el diseño inicial de nuevas tecnologías. Los que no lo tienen acelerarán su creación. Es un indicio que nos muestra que, en países como México, aún queda mucho trabajo por hacer”.

contactame@esemanal.mx

También te puede interesar:

S21sec busca generar nuevas alianzas estratégicas

Ataca Cobalt Strike archivos ZIP y PDF: S21sec

Ciberataques costarán 6 trillones de dólares en 2021: S21sec

Cymulate llega a México de la mano de S21sec

Compartir nota
Share.

Sobre el autor

Comments are closed.