S21sec, empresa en tecnología y servicios de seguridad, pronostica que el presente será el año de los ataques a través de Compromiso de Correo Electrónico Empresarial (Business Email Compromise o BEC), comúnmente conocido como el “fraude del CEO”.
De acuerdo con Laura Requena, Gerente y analista de ciberinteligencia para América Latina de S21sec, este tipo de fraude es altamente lucrativo y puede afectar a cualquier empresa sin importar su tamaño o el sector industrial al que pertenece.
El nombre hace referencia a los altos directivos que son el objetivo principal de este tipo de ataques, cuya meta consiste en secuestrar y controlar cuentas empresariales de email para interceptar o redireccionar transacciones financieras.
“A diferencia del phishing o del malware tradicionales, estos ataques son dirigidos, pues están diseñados especialmente para cada víctima: los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para suplantar sus identidades y enviar correos a su nombre con contenido bastante convincente, y en el que las víctimas confían”, indica Requena.
Este nivel de personalización permite que la estafa supere los filtros de spam y otras protecciones de las cuentas de correo. Además, para llevarla a cabo los ciberdelincuentes utilizan programas de cómputo accesibles que, en un principio, fueron creados para aumentar la seguridad de las cuentas de email empresariales.
Laura Requena asegura que el éxito en la modalidad de esta estafa radica en la ganancia que ofrece a los delincuentes y dice: “Es muy poca la inversión y el beneficio es alto. Se consigue mucho dinero de esta forma, razón por la que el BEC está teniendo un gran impacto y un protagonismo que casi supera al de ransomware”.
Ante esta técnica perfeccionada sistemáticamente por la ciberdelicuencia, Requena enfatiza que la mejor manera de hacerle frente es a través de una estrategia de seguridad centrada en las personas.
“Contar con servicios que evalúen y auditen periódicamente la capacidad del personal para identificar este tipo de fraude será cada vez más demandado por las empresas”, explica Requena, quien además enfatiza: “Las organizaciones deben ser proactivas para mejorar la capacitación y la educación de su personal, con el fin de garantizar que adquieran las habilidades necesarias para detectar y bloquear estafas”, agrega la experta.
Una manera con las que los empleados pueden adquirir conciencia sobre este tipo de fraudes es a través de la “gamificación”: dinámicas de grupo o juegos online que incluyan a todas las áreas de una empresa y que pongan a la gente en situaciones parecidas a las que ocurren en este tipo de fraudes, con el fin de que las interioricen y sean más receptivos ante ellas.
“La capacitación por sí sola no es suficiente”, asegura Requena, “se requieren estrategias efectivas y campañas continuas, con carteles o mensajes a través de la intranet empresarial, por ejemplo. Son elementos sencillos y de bajo costo que un servicio de consultoría adecuado puede implementar eficazmente”, apunta la experta.
Finalmente, ante las violaciones de datos de alto perfil realizadas por piratas informáticos que ponen en peligro la privacidad de los usuarios finales, algunas normas (como la Directiva NIS, Sarbanes-Oxley o GDPR) pueden marcar referencias efectivas para impulsar la creación de nuevos roles empresariales enfocados en el resguardo de la información personal.
“Las compañías que ya cuentan con un Director de ética agregan el concepto de ‘Innovación responsable’ a ese rol para proteger aún más la identidad digital de las personas, incluso desde el diseño inicial de nuevas tecnologías. Los que no lo tienen acelerarán su creación. Es un indicio que nos muestra que, en países como México, aún queda mucho trabajo por hacer”, concluyó Requena.
Redacción
Recuerda dejarnos un comentario
RECOMENDAMOS La Industria 4.0 es un nicho de oportunidad de negocio
Te compartimos el siguiente vídeo
