El pasado 11 de junio se celebraron en el Palacio de la Moneda las charlas de ciberseguridad sobre educación y buenas prácticas dirigidas al sector privado, con el fin de educar, concientizar y compartir experiencias en materia de seguridad online. Participaron Carlos Córdoba, asesor del centro criptológico nacional de España (CCN), y Francisco Rodríguez, ex asesor del Instituto Nacional de Ciberseguridad de España (INCIBE) y que actualmente trabaja para la entidad privada chilena ITQ Latam.
Uno de los temas tratados durante las jornadas fue el llamado “Fraude del CEO”, un tipo de amenaza que afecta a grandes y medianas empresas con el único objetivo de obtener una buena suma de dinero aprovechándose, sobre todo, de la falta de concienciación de los empleados en materia de ciberseguridad. Este tipo de fraude consiste en suplantar la identidad de un alto directivo de la empresa para engañar a cualquier empleado que esté habilitado para la emisión de pagos por transferencia bancaria. Por tanto, cualquier compañía puede ser objeto de este tipo de delito. Normalmente el ataque se realiza manipulando a una persona, a través de distintas técnicas psicológicas y habilidades sociales que el atacante posee, y el objetivo suele ser el director financiero de la empresa. Hay que tener en cuenta que el usuario es el eslabón más débil de la cadena y que la ingeniería social es independiente de la plataforma tecnológica usada. Este tipo de delito, también conocido como BEC o Business Email Compromise, ha ido creciendo conforme las compañías han ido incorporando la tecnología a sus procesos.
Pasos
Francisco Rodríguez explica que el procedimiento seguido por los criminales sigue diversas pautas, por ejemplo, que el ciberdelincuente se pone en contacto con la empresa atacada mediante correo electrónico suplantando a un ejecutivo de primera línea de la compañía. Previo al “Fraude del CEO”, los atacantes han realizado una labor de búsqueda de información en fuentes abiertas (o OSINT) para recopilar la mayor cantidad de datos. Esto ayuda a que el ataque sea muy creíble y no levante sospechas a la persona que va a ser abordada. También los delincuentes cibernéticos investigan perfiles de empleados de la empresa, dispositivos móviles de los altos ejecutivos y funcionamiento de la empresa. Otro punto relevante es que el ataque se centra en la figura del director financiero de la compañía, pues es quien gestiona los pagos; además, normalmente se solicita la realización de un pago urgente. Los atacantes también se aprovechan de la ausencia de la persona a la cual van a suplantar para que esta no esté accesible; piden al responsable del área financiera de la empresa que la operación sea realizada con total confidencialidad y a la mayor brevedad posible. Se intenta que el ejecutivo no tenga posibilidad de reaccionar ante el ataque, y solicitan no seguir los procedimientos habituales de la empresa atacada, como el uso de cuentas no corporativas para realizar la operación. Ante esto, el director financiero cede a las peticiones de los criminales y transfiere la cantidad solicitada a una cuenta controlada por los estafadores, usualmente en un banco extranjero. A fin de evitar este tipo de fraude que afecta a las empresas, no solo a nivel de imagen sino también a nivel económico, Francisco Rodríguez entrega consejos y recomienda seguir una serie de buenas prácticas.
“Es fundamental que la empresa conozca este tipo de riesgos. Asimismo, es imprescindible realizar jornadas de concienciación en materia de ciberseguridad. También es importante concienciar al director financiero de este tipo de fraudes y capacitarlo para evitar ser víctima del mismo; implantar protocolos internos para la realización de los pagos; disponer de software en los equipos corporativos para evitar el phishing; y actualizar los sistemas operativos de los equipos corporativos”, apunta. Otros consejos del experto están relacionados con revisar siempre las direcciones de correo de origen; no abrir enlaces o adjuntos sospechosos que puedan poner en riesgo el equipo corporativo; limitar la información que se publica en redes sociales que pueda ser utilizada por los cibercriminales y, ante cualquier situación sospechosa, contactar al área de seguridad informática de la empresa.
SIGA LEYENDO:
https://digital.elmercurio.com/2019/06/19/EMXX-Y/EMXX-Y-20190619-006#zoom=page-width