“El presente será el año de los ataques a través de Compromiso de Correo Electrónico Empresarial (Business Email Compromise o BEC), comúnmente conocido como ‘el fraude del CEO’, el cual es altamente lucrativo y puede afectar a cualquier empresa”, afirma Laura Requena, Gerente y analista de ciberinteligencia para América Latina de S21sec.
El nombre hace referencia a los altos directivos que son el objetivo principal de este tipo de ataques, cuya meta consiste en secuestrar y controlar cuentas empresariales de email para interceptar o redireccionar transacciones financieras.
“A diferencia del phishing o del malware tradicionales, estos ataques son dirigidos especialmente para cada víctima: los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para suplantar sus identidades y enviar correos a su nombre con contenido convincente”, señala Requena.
Ante esta técnica perfeccionada sistemáticamente por la ciberdelicuencia, Requena enfatiza que la mejor manera de hacerle frente es a través de una estrategia de seguridad centrada en las personas.
Una de las formas con las que los empleados pueden adquirir conciencia sobre este tipo de fraudes es a través de la “gamificación”: dinámicas de grupo o juegos online que incluyan a todas las áreas de una empresa y que pongan a la gente en situaciones parecidas a las que ocurren en este tipo de fraudes, con el fin de que las interioricen y sean más receptivos ante ellas.
Sin embargo, tales acciones tal vez no basten si las empresas son atacadas de maneras variadas a lo largo del año. “La capacitación por sí sola no es suficiente”, asegura Requena, “se requieren estrategias efectivas y campañas continuas, con carteles o mensajes a través de la intranet empresarial, por ejemplo”.
Por último, ante las violaciones de datos de alto perfil realizadas por piratas informáticos que ponen en peligro la privacidad de los usuarios finales, algunas normas (como la Directiva NIS, Sarbanes-Oxley o GDPR) pueden marcar referencias efectivas para impulsar la creación de nuevos roles empresariales enfocados en el resguardo de la información personal.
En Europa ya se están implementando este tipo de acciones, tal como lo expone Requena: “Las compañías que ya cuentan con un Director de ética agregan el concepto de ‘Innovación responsable’ a ese rol para proteger aún más la identidad digital de las personas. Es un indicio que nos muestra que, en países como México, aún queda mucho trabajo por hacer”.
