Peligro en los altos mandos: las amenazas cibernéticas que acechan a los C-levels
Cuando hablamos de fraudes y estafas de ingeniería social aplicados contra una empresa en particular, es normal que la mayoría de las personas imaginen, de inmediato, que el mayor peligro siempre ronda a los colaboradores de menor nivel jerárquico. Sin embargo, lo que pocos notan es que la alta dirección de una empresa también está expuesta a riesgos.
Existen diversos tipos de amenazas dirigidas específicamente a los C-levels, o sea, los ejecutivos de alto escalafón, que ocupan posiciones de dirección en una compañía. Ellos son un blanco bastante atractivo para los ciberdelincuentes por el hecho de ser personas con mayor cantidad de accesos y privilegios dentro de la empresa. Por lo tanto, lo creas o no, ¡los C-levels pueden estar tan desprotegidos como los demás colaboradores!
En general, por tener que lidiar con una rutina ya de por sí bastante agitada y estresante, pueden terminar dejando de lado la adopción de las políticas de seguridad informática de la empresa. Un estudio reciente de la empresa Mobilelron entrevistó a diversos ejecutivos de ese nivel jerárquico y constató que el 58% de ellos se sentían “intimidados” por la complejidad de las demandas de ciberseguridad y que el 62% declararon que sus dispositivos se habían vuelto “menos útiles” tras la aplicación de esas normas. Así, en resumidas cuentas, es posible que los C-levels estén aun más vulnerables a amenazas cibernéticas que los colaboradores operativos.
Atrapando peces gordos
Una modalidad de ataque que suele apuntar específicamente a la alta dirección de una empresa es el whaling. Esta estafa recibe este nombre en referencia a la caza de las ballenas y cachalotes y se puede considerar la versión más sofisticada y compleja del phishing.
El primer paso para ejecutar exitosamente un whaling es la etapa de reconocimiento. El ciberdelincuente estudia a las personas a quienes pretende atacar, identificando quién es quién dentro de la empresa, aprendiendo sus relaciones (por medio de fotos y otros detalles personales publicados en redes sociales) y estableciendo una forma fiel de comunicarse con ellos.
Cuando ha concluido su análisis, el delincuente puede tanto invadir como falsificar una cuenta legítima de un e-mail o aplicación de mensajería. A continuación, ejecuta su ataque. Haciéndose pasar por el CEO de la empresa, un proveedor, un abogado o incluso un cliente, el estafador aborda a la víctima, generalmente un C-level, y le pide que haga una transferencia de miles de dólares o que le envíe una planilla con datos sensibles, siempre en carácter de urgencia. La víctima, convencida por el tono de emergencia y de autoridad del e-mail que recibe, solo atina a cumplir con lo que se le solicitó.
Delincuente de traje y corbata
Si whaling es el nombre que se le da al tipo de estafa cuyo objetivo es alcanzar a los colaboradores de la alta dirección, la estafa conocida como BEC, Business Email Compromise, tiene un objetivo un poco diferente.
En el BEC, el estafador personifica a un C-level para engañar a los colaboradores de cualquier nivel jerárquico de la empresa. Sin embargo, los empleados operativos, que en general tienden a confiar en los ejecutivos, suelen ser las principales víctimas.
Generalmente, el estafador solicita una transferencia monetaria o el envío de archivos sensibles para futuros intentos de fraude. Pero, claro, son incontables las formas mediante las cuales los ciberdelincuentes pueden engañarte.
Protección de alto nivel
Esas y otras estafas que involucran a los C-levels se pueden mitigar con un programa eficiente de concienciación en seguridad de la información. Y, por supuesto, este no debe destinarse solo a los colaboradores de nivel pleno y junior, sino que también se debe dirigir a los colaboradores sénior y a la propia dirección. Toda la empresa debe tomar conciencia de esos riesgos y de las mejores formas de identificarlos, lo que incluye prestar atención a la dirección de e-mail del remitente y hacer verificaciones por otras vías (una llamada telefónica, por ejemplo) antes de efectuar transacciones de alto riesgo.
Artículo originalmente escrito en portugués por el Equipo de Contenido de Perallis Security: Perigo no topo: as ameaças cibernéticas que visam os C-levels — Perallis Security