En la era digital actual, los ciberdelincuentes utilizan métodos más inteligentes para atacar a las organizaciones. El phishing selectivo y el compromiso de correo electrónico empresarial (BEC) son especialmente peligrosos, y suelen afectar a altos directivos. Los ejecutivos que desean proteger sus empresas deben estar informados sobre estos ataques dirigidos.
LEA TAMBIÉN: Las últimas estafas de phishing: qué tener en cuenta
Spear Phishing: Ataques dirigidos
El término "spear phishing" se utiliza para describir a atacantes que crean correos electrónicos altamente selectivos para engañar a personas específicas de una organización. A diferencia del phishing masivo, estos correos electrónicos utilizan información copiada de redes sociales, sitios web de empresas o filtraciones de datos anteriores para hacerlos parecer auténticos.
Por ejemplo, un atacante podría hacerse pasar por un compañero de confianza o un jefe de departamento, solicitando información confidencial u obligando a la persona a hacer clic en un enlace malicioso. Estos correos electrónicos suelen incluir datos personales precisos, lo que los hace más auténticos y aumenta la probabilidad de éxito.
Correo electrónico empresarial comprometido: trucos ingeniosos
El BEC es un tipo de ciberataque en el que los atacantes acceden o falsifican una cuenta de correo electrónico empresarial legítima para engañar a empleados, clientes o socios y conseguir que envíen dinero o divulguen información confidencial. Estos ataques suelen dirigirse a altos directivos o personal financiero autorizado para realizar transferencias bancarias. Un método común consiste en enviar un correo electrónico que se hace pasar por el director ejecutivo, solicitando al equipo financiero que realice una transacción urgente y encubierta. El FBI ha reportado pérdidas financieras sustanciales debido a estafas BEC, lo que refleja la gravedad de esta amenaza.
El panorama de amenazas ejecutivas
Los altos ejecutivos son el objetivo de estos ataques porque poseen información confidencial y controlan los fondos. Los ciberatacantes dedican una cantidad considerable de tiempo a monitorear el comportamiento en línea de los ejecutivos, creando escenarios plausibles que explotan su rol en la empresa. La razón por la que estos ataques funcionan es que las comunicaciones de los altos ejecutivos son confiables, por lo que es fundamental que sean diligentes.
Estrategias de mitigación a implementar
Para combatir los ataques de phishing y BEC, los ejecutivos deben implementar lo siguiente.
1. Capacitación en concientización sobre seguridad
Educar a todos los empleados, incluidos los altos ejecutivos, sobre cómo identificar y responder a los ataques de phishing de forma periódica.
2. Protocolos de autenticación de correo electrónico
Implemente tecnologías como DMARC, SPF y DKIM para autenticar si el correo entrante es legítimo.
3. Autenticación multifactor (MFA)
Aplique MFA al iniciar sesión en cuentas de correo electrónico y sistemas sensibles para introducir un nivel adicional de seguridad.
4. Procedimientos de verificación
Utilizar métodos para verificar la legitimidad de las solicitudes financieras, en particular aquellas que implican montos significativos o cambios en las instrucciones de pago.
5. Auditorías periódicas
Realizar auditorías de seguridad periódicas para identificar vulnerabilidades y garantizar que se implementen políticas de seguridad.
Nota final
El phishing selectivo y la vulneración del correo electrónico empresarial representan peligros significativos para la seguridad organizacional, especialmente a nivel ejecutivo. Estar al tanto de estos ataques dirigidos e implementar medidas preventivas sólidas puede contribuir significativamente a que su organización sea inmune a estos sofisticados ciberataques.
