A pesar de que se trata de un ciberataque cada vez más frecuente, el “ataque al CEO” o “fraude del CEO” tiene menos repercusión pública de la que nos gustaría. Ello se debe a que, al tratarse de una suplantación de identidad y no comprometer datos personales más allá de los del propio afectado, no requiere que la empresa notifique a la Agencia de Protección de Datos por incumplimiento de la RGPD o LOPDGDD Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Como consecuencia, las medidas de seguridad informática implementadas al respecto difieren en cada empresa, sin existir un protocolo específico sobre cuáles son las apropiadas en cada caso.
¿En qué consiste el “ataque al CEO” o “fraude al CEO”?
Esta modalidad de ciberataque consiste en la suplantación de identidad del CEO de la empresa o un responsable con capacidad de realizar pagos en esta. Así, tras sortear las medidas de ciberseguridad internas, se solicita un pago a un tercero en nombre del CEO o responsable suplantado. Una vez recibido el pago en la cuenta corriente del hacker, los ciberdelincuentes se hacen con el dinero rápidamente. Como pasaría si te equivocaras de cuenta corriente, al tratarse de un pago lícito y realizado por un departamento con autorización, resulta imposible recuperarlo posteriormente
¿Cómo pueden los hackers suplantar la identidad del CEO?
Existen varias vías a través de las cuales los ciberdelincuentes pueden salvar las medidas de ciberseguridad internas para llevar a cabo la suplantación de identidad con el fin de realizar un ataque al CEO:
- Infectando un equipo con un virus para recolectar contraseñas que posteriormente el ciberdelincuente se enviará desde la propia red interna, evitando de este modo también las medidas de ciberseguridad de salida.
- Hackeando el correo electrónico por medio de fuerza bruta.
- O accediendo a través de contraseñas filtradas por medio de la web profunda (Deep web).
A través de estas prácticas y otras de mayor complejidad, los hackers se hacen con todo tipo de datos y contactos de proveedores o clientes, con información útil como mails, presupuestos y otros documentos que contribuyan a que el ataque que después llevarán a cabo resulte lo más real posible.
¿Cómo podemos mitigar el riesgo de sufrir un ciberataque en la empresa?
Las medidas de ciberseguridad deben diseñarse siempre en función de la tipología de cada cliente y negocio, ya que las necesidades varían en cada caso.
Podemos agrupar algunas recomendaciones entre medidas técnicas y administrativas de ciberseguridad.
Medidas técnicas de ciberseguridad
- Incorporación de un gestor de correo con medidas de seguridad informática que facilite la autenticación de identidades, administración y control de accesos.
- Incorporación de herramientas de antivirus centralizado que nos permitan gestionar de forma rápida cualquier problema que se detecte.
- Incorporación de políticas de actualización activando actualizaciones automáticas en la medida de lo posible.
- Incorporación de herramientas de gestión de vulnerabilidades o procesos de Auditorías periódicas para evitar que la explotación de vulnerabilidades pueda llegar a ser críticas para la empresa.
- Incorporación de herramientas de control de datos IRM/DLP que permitan el control y protección de los archivos que se encuentran en listas o bibliotecas compartidas, garantizando que solo las personas seleccionadas tienen acceso a esta documentación.
- Incorporación de un sistema de Bloqueo por Geolocalización que impida el acceso de los países en los que no tiene presencia, clientes o proveedores la empresa.
Medidas Administrativas de ciberseguridad
- Incorporación de políticas de seguridad
- Doble validación en cambios bancarios contactando telefónicamente con el origen para confirmar que el cambio es correcto.
- Actualización efectiva de los equipos.
- Establecer una política de contraseñas y hacer cumplir unas buenas prácticas como actualizarla periódicamente, garantizar su fortaleza (dificultad para adivinarla o craquearla), no utiliza contraseñas por defecto y la custodia de las mismas.
- Registro de acceso para los datos que se encuentran en la red corporativa, en los equipos de trabajo, en el cloud.
- Clasificación de la información: Localizar la información confidencial es elemental para garantizar su seguridad.
- Incorporación de proveedores de confianza, asegurándonos de que cumplen con la normativa vigente legal e incorporan medidas de seguridad informática como ISO 27001 u otros estándares de seguridad.
¿Cuánto dinero puedes pagar en una factura a un proveedor o cliente de tu empresa?
La principal medida de ciberseguridad es sin duda la concienciación. Es imprescindible que los usuarios de la empresa estén formados y sean conscientes de los riesgos, ya que este tipo de ataques son dirigidos y personalizados, llevados a cabo con el máximo realismo por ciberdelincuentes que gozan de una estructura empresarial que garantice el éxito de la operación y por tanto de sus ingresos.
Para ello, es recomendable implementar un Plan de concienciación periódico. A través de formaciones periódicas y acciones de concienciación en materia de ciberseguridad, lograremos que los empleados sean conscientes de las consecuencias que puede implicar un uso inapropiado de los activos de la compañía.
¿Qué cuestiones debería cubrir un plan de concienciación en la materia?
- Conocimiento de la política de seguridad implementada por la empresa.
- Cumplimiento de las buenas prácticas de seguridad.
- Qué hacer en caso de detectar un posible incidente de seguridad.
- Qué hacer cuando un compañero de trabajo no sigue los procesos de seguridad.
- Por qué es importante invertir tiempo y esfuerzo en el cumplimiento de estas políticas.
¿Qué precauciones deberían tomar los usuarios independientemente del tipo de ataque sufrido?
- Evitar navegar por sitios web de dudosa legitimidad.
- Tomar precauciones al abrir correos de usuarios desconocidos, enlaces y documentos adjuntos.
- Utilizar en dispositivos móviles únicamente aplicaciones oficiales de terceras empresas.
- Mantenerse informado a través de redes sociales, avisos de seguridad o newsletters en la materia.
- Descargar únicamente software de sitios web oficiales.
- Ignorar cualquier tipo de pop-up solicitando actualizaciones de seguridad o cualquier otra acción que requiera instalar software en el equipo mientras navegamos por internet.
Dado que estos ciberataques son, en su mayoría, dirigidos, además de la implementación de este tipo de medidas de ciberseguridad es muy importante realizar auditorías de seguridad periódicas, tests de intrusión, actualización y parcheado de los sistemas informático y garantizar una gestión óptima de los dispositivos de seguridad informática de laso que dispone la empresa.
Adicionalmente, se puede contratar la figura de CISO as a Service, (Chief Information Security Officer) para gestionar la implementación y velar por el cumplimiento de las políticas de seguridad necesarias para alcanzar un nivel de madurez de seguridad óptimo.
Desde Grupo Paradell Consultores te ofrecemos servicios de consultoría de ciberseguridad, ciber-investigación en caso de actuaciones indebidas o cuando la información ha sido deteriorada y peritaje informático para garantizar la máxima seguridad para la información de las empresas y en prevención de posibles ataques informáticos.