VAP (Very attacked person)

El objetivo de los cibercriminales nunca se ha alejado de sus orígenes, a pesar de pasar de atacar por diversos elementos de la infraestructura tecnológica de una compañía, saben que poner su punto de mira en las personas que forman parte de la misma, es la mejor y más económica forma de lograr su cometido.

¿Recuerdan a John Thomas Draper (Captain Crunch)?… pues bien, a esto nos referimos. Mientras que la seguridad de los distintos componentes tecnológicos que se integran en una compañía ha mejorado exponencialmente, el ser humano sigue cometiendo una y otra vez, los mismos fallos.

Analicemos, resulta tremendamente complicado y costoso para un cibercriminal identificar y explotar con éxito una posible vulnerabilidad informática. Sin embargo, engañar a los usuarios que consumen esa tecnología, mediante phishing, suplantar su identidad, ingeniería social, etc. sigue siendo muy sencillo. Está demostrado desde el origen del hacking que el retorno de la inversión (ROI), de este tipo de ataques es mucho mayor.

Por ejemplo; resulta sorprendente comprobar que; mientras la mayoría de ataques dirigidos contra las empresas entran en alguna categoría de phishing, spoofing o de suplantación de identidad, las grandes empresas destinan menos del 10% de su presupuesto de seguridad informática, a proteger el área más crítica de su seguridad informática: el correo electrónico de sus empleados -BEC (Business Email Compromise)-. Las empresas deben tratar de no solo de proteger su correo corporativo, sino también el correo personal, las cuentas en la nube y todo aquello que forma parte de su identidad virtual de sus empleados y que es susceptible de ataques.

Una estrategia de ciberseguridad empresarial no será efectiva hasta que sus esfuerzos se centren, no tanto en proteger su “bare metal”; sino a todas esas personas que se han convertido en las víctimas favoritas de los cibercriminales.

Ataques como el conocido como “el fraude del CEO”, se han vuelto tremendamente comunes. La medula para combatir este tipo de ataque, -aparte de entender que cualquier empleado de una compañía en especial aquellos que tengan accesos a los recursos económicos y financieros de la empresa, entender que cualquier persona que esté habilitada para emitir pagos por transferencia a nombre de la empresa o cuente con la información necesaria para realizarlos-, es tomar conciencia de que estos perfiles de empleado son un objetivo y debe emplearse todas las capacidades de la empresa para educarle digitalmente.

En nuestros países hemos visto como se aprovechan proyectos como la factura electrónica, las implementaciones de token bancarios, etc., para llegar a este perfil de colaborador. No hay tecnología para luchar contra las diversas formas de engaño ejercida a los seres humanos, crédulos o no, pero con acceso a información privilegiada de la compañía. Si el colaborador no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto solicitante y picar en el engaño. Este tipo de engaños se conoce como whaling por tratarse de phishing dirigido a peces gordos de la organización.

La manera en que trabajamos está cambiando y los ciberataques evolucionan también. Hoy día, es necesario impedir que las amenazas se aprovechen de nuestros empleados y que las herramientas que ellos utilizan para poner en peligro los extremos de nuestra infraestructura para robar credenciales y acceder a nuestros datos.

Es mandatorio hoy, implementar soluciones para controlar y mitigar amenazas avanzadas sobre el correo electrónico, las redes sociales y las aplicaciones de almacenamiento en nube, con el fin de a proteger la información crítica y responder con rapidez cuando algo vaya mal, sin dejar de lado la importancia de trabajar en una cultura de ciberseguridad saludable dirigida al talento humano de nuestras compañías.