¿Viaje de negocios? Objetivo prioritario para hackers

Como si el estrés y las molestias de los viajes de trabajono fueran ya suficientes, ahora hay otra cosa por la que preocuparse cuandouno viajaa lugares desconocidos: la seguridad del correo electrónico. Gracias al rápido crecimiento del correo espía ospymail(un correo electrónico que revela en secreto la ubicación y comportamiento del receptor al abrirse), los criminales pueden invadir las bandejas de entrada deejecutivos y ejecutivas»fuera de la oficina» para robar información confidencial.

Según un anuncio de servicio público del FBI emitido en junio, desde enero de 2015 se ha producido un aumento del 1.300 % en las pérdidas relacionadascon «correos electrónicoscomprometidos».Aunque cualquier empresa se enfrenta a este riesgo, este tipo deataques tienen más posibilidades de dirigirse a empresas que envíen regularmente dinero al extranjero o tengan acceso a información sensible, como las compañías médicas, los despachos de abogados y los contables.A día de hoy, se han notificado ataques de este tipo en todos los 50 estados de Estados Unidos y en otros 100 países. El impacto económico alcanza los 3.000 millones de dólares (unos 2.723 millones de euros).

Por lo general, los ataques exitosos no son resultadode cibercriminales que bombardean empresas con vínculos y documentos repletos demalware,con la esperanza de lograr un clic (como solía ocurrir en el pasado).En su lugar, infiltrarse en una red corporativa y robar datos sensibles suponela recopilación meticulosa de información durante un periodo de tiempo determinado,para después utilizarla en un ataque de precisión dirigido a uno o dos trabajadores. Una de las formas en que se consigue esa información es gracias alspymail, un correo electrónico estándar con un código de rastreo oculto.

Funciona así. Cada vez que un ejecutivoabreun spymail durante un viaje de trabajo, revela un botínde información privada: su ubicación actual, la hora del día a la que lee su correo electrónico, el hotel en el que se hospeda, etc. Un estafador puedeutilizar este tipo de información para diseñar y escribir correos electrónicos y llamadas de phisingconvincentes. Después,utilizan esta suplantación de identidad para escribir al propio espiado o a sus desprevenidos compañeros de trabajo en la oficina.Dado que el correo espía se parece a cualquier otro correo electrónico normal,el receptor no puede determinar cuáles serastreancon la extensión invisible; y esto es algo que complica mucho la gestión de la ciberseguridad durante unviaje.

Por ejemplo, supongamosque un ejecutivo abre un correo espíamientras se reúne con un proveedor en un país política, económica o socialmente inestable. Al saber que el ejecutivo se encuentraen una zona volátil del mundo, un tercero malintencionado puede aprovechar el miedo y la inseguridad habituales en ese tipo de viajes para lanzar un ataque.Puede redactar correos electrónicos falsos en los que el ejecutivo afirmaque se encuentra en una situación peligrosa (por ejemplo, tras un ataque terrorista o haber sidosecuestrado) y que necesita dinero. En un caso extremo, la información recopilada con correos espía podría servir para planificar un secuestro de verdad.Según un informe, se producen 40.000 casos de secuestro y rescate al año, muchos de los cuales afectan a ejecutivos en viajes de negocios.

Los actores maliciosos también aprovechan que el ejecutivo se encuentra fuera de la oficina para engañar a sus compañeros y lograrque les envíen documentos o datos empresariales sensibles.Este año, empresas comoAdvanced Auto PartsySnapchatfueron víctimas de un grupo de estafadores que fingían ser ejecutivos de alto rango. Los delincuentes robaron los certificados de retenciones de los trabajadores y los utilizaron para presentar devoluciones de impuestos fraudulentas. La información captada por el spymail puede ayudar a los hackers a enviar correos electrónicos creíbles(con remitente, destinatario, contextoy registro de entrada) al departamento de recursos humanos o a la gestoría que lleve las nóminas de la persona en cuestión, y apedir documentos confidenciales en un momento en el que saben que la persona atacada no está presente para darse cuenta.

¿Cómo pueden las compañías evitar una crisis desencadenada por el correo electrónico? Ninguna estrategia de ciberseguridad empresarialestará completa sin un plan para proteger los datos de la empresa cuando sus líderes estén de viaje. Prohibir a los ejecutivos que abransucuentade correo mientras están fuera (incluso si no es un viaje de trabajo) no es una opción realista. A medida que evolucionan las amenazas al correo electrónico, las empresas necesitan adaptar sus defensas en consecuencia. Aquí detallamos cómo hacerlo:

  • Aumentar la conciencia al respecto. Los empleados no pueden defenderse de ciberataques si ignoran las amenazas que los rodean. Ofrecer formaciones periódicas e interesantes que definan el spymail y phishing desde la perspectiva delusuariofinal, y que ilustren las ramificaciones de cada uno, suponeun paso necesariopara lograr trabajadores más alerta. Según PWC y KPMG, sólo el 53% de las empresas cuentacon programas de formación de seguridad y sólo el 50% de los CEO se sientepreparado frente a un ciberataque.
  • Definir un protocolo para la consulta del correo electrónico durante viajes.Ningún responsable de tecnología logrará desencadenar a los ejecutivos de sus bandejas de entrada, ni siquiera cuando estén de vacaciones. Las organizaciones deberían, sin embargo, implementar controles para identificar y mitigar el riesgo de correos espía y suplantación de identidad mientras se está de viaje.Por ejemplo, eldepartamentofinancierodeberíadefinir un proceso cerrado para quien necesite pedir dinero durante sus viajes. Así, cuando se reciba una solicitud que no se adhiera al protocolo fijado, el timo tendrá menos probabilidades de triunfar.
  • Añadir una capa adicional de seguridad.Cuando se está de viaje, el equipo directivo y otros trabajadoresbuscan centrarseen la tarea que tengan entre manos, no en la seguridad y sus problemas. Añadir protecciones contra el spymail a los filtros convencionales de spam y los cortafuegos puede ayudar a proteger los datos de las empresas y ofrecer una mayortranquilidad a los ejecutivos fuera de la oficina.

Mientras las empresas aprendanpor las malas, las estafas por correo electrónico seguirán creciendo. Se trata de un gran problema, similar a los ataques y robos a los bancos por el tipo de datos sensibles que logran.Saber cuándo y a dónde viajan los directivos y envían correos electrónicos es muchas veces una pieza indispensable para este tipo de ataques.Al formar a los empleados, acordarpolíticas de viaje apropiadasy adoptar el último software de seguridad, las empresas pueden reducir el riesgo de convertirse en la siguientepresa de uno de estos ataques.


por
trad. Teresa Woods»

Paul Everton es el fundador y CEO de MailControl, una solución contra el correo espía para empresas que detecta y elimina automáticamente el código de rastreo de los correos electrónicos antes de que llegue a la bandeja de entrada. Antes de lanzar MailControl, Everton fundó las ‘start-ups’ radicadas en Chicago (EEUU) Yapmo y Visible Vote.«

También te pueden interesar