Ciberataques contra los Directivos de las empresas

Uno de los principales objetivos de los ciberdelincuentes es llegar a la alta dirección de las empresas usando técnicas de ingeniería social para lanzar sus ataques, principalmente a través de correos de phishing, y conseguir cometer fraudes que cuestan millones de dólares a las empresas cada año.

Pero, ¿por qué los altos mandos se convierten en los principales objetivos?

Bien, los que estamos dentro del área de la Ciberseguridad sabemos que es muy común que las personas con cargos directivos no consideren importante apegarse a las políticas de seguridad de la organización y exijan ser excluidos de ellas.

En mi experiencia, los principales argumentos que utilizan van frecuentemente enfocados en ejercer su poder sobre las personas subordinadas. En la mayoría de las empresas, principalmente las PyMEs, los especialistas de ciberseguridad no aplican restricciones (navegación web, uso de aplicaciones, uso de dispositivos externos) o lo hacen de forma mínima a este tipo de usuarios.

Ahora bien, los atacantes, al conocer perfectamente este tipo de vulnerabilidad en las empresas, enfocan sus campañas de phishing (spear phishing) a los altos mandos, o a las personas más allegadas a ellos, conformando ataques dirigidos y personalizados que logran mayor efectividad sobre sus objetivos.

- Un correo urgente del Director General solicitando que actualices los datos bancarios de un proveedor para los próximos pagos.

- Una llamada de emergencia de la Directora financiera argumentando que necesita que le transfieras miles de dólares a una nueva cuenta porque está teniendo problemas con su banco actual y sabes que se encuentra fuera del país por un proyecto. 

¿Vas a cuestionar su solicitud sobre todo si te trata de una emergencia? ¿Sobre todo si de dirige a ti con el tono de voz y las palabras que utiliza normalmente? 

¿Hace falta revisar con detenimiento el correo que te envió o corroborar por segunda vez la solicitud?

Sin políticas de seguridad bien definidas para este tipo de situaciones, probablemente nadie lo haría... hasta caer en cuenta de que han sido víctimas de un engaño.

Este tipo de ataques son conocidos como Fraude al CEO, BEC, Fraude a RRHH, etc., y lo que buscan es engañar a las personas responsables de manejar el dinero para que realicen transferencias interbancarias a cuentas fraudulentas.

La mejor forma de protegerse contra estos ataques es la concientización y compromiso de las personas, especialmente de los que manejan el dinero de la empresa y los directivos que toman las decisiones sobre él, para que dentro del proceso de altas, bajas y cambios de trámites de dinero se cuente con más controles y conocimiento para prevenir este tipo de incidentes.

La alta dirección y gerencia, deben estar comprometidos con la seguridad de la empresa, siendo el ejemplo para los demás colaboradores de la organización y conformando un solo frente contra los delincuentes.

Si eres un alto directivo, y en tu empresa no tienes controlado nada, te recomiendo que pienses en los peligros a los que expones a la organización,  ¿prefieres perder un minuto o un millón? 

Escucha el episodio de nuestro Podcast dedicado a este tema.

#easysec #easycybersecurity #infosec #ciberseguridad #bec #fraudealceo #frauderrhh #ceo #ciberataques #ciberamenazas #cybersecurity