Últimamente se está produciendo un tipo de ataque de ciberseguridad que se llama ataque al CEO o fraude del CEO, es un ataque cibernético no muy conocido o público, dado que como no afecta a datos personales no se ha de notificar a la Agencia de Protección de Datos por incumplimiento de la RGPD o LOPDGDD Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, por eso las medidas en seguridad informática apropiadas para cada empresa.
Explicado a grandes rasgos, el ciberataque lo que hace es suplantar al CEO o un responsable, para el departamento de “pagos” para que realice un pago a la cuenta corriente que dice el “CEO o responsable suplantado”, de esta manera los Hackers reciben ese dinero que sacan de esa cuenta rápidamente y que luego es irrecuperable porque el pago es lícito, es decir realizado por el departamento autorizado, pero a la cuenta del Hacker.
¿Cuánto dinero puedes pagar en una factura a un proveedor o cliente de tu empresa?
¿Qué pasaría si te equivocas de cuenta corriente?
Este ataque se basa en una especie de engaño o “suplantación de identidad” en el que después de una intrusión, evitando las medidas de ciberseguridad internas, ya sea infectando un equipo con un virus que recolecta contraseñas que luego el hacker desde la red interna se envía, evitando también las medidas de ciberseguridad externas, de salida, también se puede hackear el correo electrónico por medio de fuerza bruta o con contraseñas filtradas por la Deep Web. De estas formas u otras, que no entraremos en detalle debido a la complejidad de las mismas, se adquieren todo tipos de contactos, de proveedores o clientes, con información útil, para luego poder hacer ese ataque, también se adquieren muestras de mails, presupuestos …. para poder hacer ese ataque lo más real posible.
Se ha de pensar que estos ataques suelen ser dirigidos, por eso es tan importante tener medidas en ciberseguridad, hacer auditorias de seguridad periódicas, test de intrusión, y tener diferentes dispositivos de seguridad informática bien gestionados y sobretodo, todos los sistemas informáticos actualizados y parcheados.
También es muy importante como medida de ciberseguridad, la concienciación, es decir, la formación a los usuarios, hay que entender que estos ataques son dirigidos y personalizados, con el máximo realismo, dado que los atacantes, hackers, ya son empresas estructuradas y del éxito del ataque dependen sus ingresos….
Recomendaciones de medidas de ciberseguridad para mitigar estos ataques
Como recomendaciones en ciberseguridad, aunque las medidas de ciberseguridad se adaptan a cada cliente, por tipología y negocio puede necesitar unas medidas u otras.
Medidas técnicas de ciberseguridad
- Incorporación de un gestor de correo con medidas de seguridad informática: 2FA (Segundo factor), monitorización de los accesos, módulos DLP, autenticación de identidades, administración y control de accesos.
- Incorporación de herramientas de antivirus centralizado: El poder centralizar la consola de antivirus permitirá saber el estado del endpoint instalado, actualizado, los archivos maliciosos identificados, y poder gestionar de forma rápida, cualquier problema que se detecte.
- Incorporación de políticas de actualización: Mantener el equipo completamente actualizado, activar las actualizaciones automáticas en caso de ser posible.
- Incorporación de herramientas de gestión de vulnerabilidades: Se recomienda la incorporación de una herramienta de gestión de vulnerabilidades, o procesos de Auditorías periódicas, así como incluir el proceso de parcheado en el ciclo de vida del mantenimiento de los equipos. Esto evitará la explotación de vulnerabilidades que puedan llegar a ser críticas para la empresa.
- Incorporación de herramientas de control de datos IRM/DLP: El uso de herramientas IRM (Information Rights Management) o DLP (Data Loss Prevention) permite el control y protección de los archivos que se encuentran en listas o bibliotecas compartidas, de tal forma que nos podemos asegurar que solo las personas seleccionadas tienen acceso a esta documentación. Esto ayuda a todos los procesos de seguridad informática relacionados con la exfiltración de documentos.
- Incorporación de un sistema de Bloqueo por Geolocalización: No permitir el acceso de los países en los que no tiene presencia, clientes o proveedores, esto puede ser mediante la incorporación de distintas soluciones de seguridad informática, como Firewall o Proxy.
Medidas Administrativas de ciberseguridad
Incorporación de políticas de seguridad
- Doble validación en cambios bancarios: Contactar telefónicamente con el origen para confirmar que el cambio es correcto.
- Actualización: Mantener el equipo completamente actualizado, activar las actualizaciones automáticas en caso de ser posible.
- Contraseñas: Establecer una política de contraseñas y hacer cumplir unas buenas prácticas como actualizarla periódicamente, garantizar su fortaleza (dificultad para adivinarla o craquearla), no utiliza contraseñas por defecto y la custodia de las mismas.
- Almacenamiento de los datos: Registro de acceso para los datos que se encuentran en la red corporativa, en los equipos de trabajo, en el cloud.
- Clasificación de la información: Localizar la información confidencial es elemental para garantizar su seguridad.
Plan de concienciación periódico: Se recomienda la realización periódica de formaciones y planes de concienciación en materia de seguridad informática para hacer partícipes a los empleados de las consecuencias que puede conllevar un uso inadecuado de los activos de la compañía. Estas campañas de concienciación deberían dar respuesta, como mínimo, a las siguientes cuestiones:
- ¿Qué política de seguridad tenemos implementada?
- ¿Cumplo con las buenas prácticas de seguridad?
- ¿Qué hago si creo que puede haberse producido un incidente de seguridad?
- Un compañero de trabajo no sigue los procesos de seguridad. ¿Qué debo hacer?
- ¿Por qué debo invertir tiempo y esfuerzo en el cumplimiento de estas políticas?
Por otra parte, el tipo de campañas fraudulentas que ha provocado el incidente, cuenta con características que las hacen distintas a las habituales, pero las medidas de seguridad a tomar por parte de los usuarios, son las mismas:
- Evitar navegar por sitios web de dudosa legitimidad;
- Tomar precauciones al abrir correos de usuarios desconocidos, enlaces y documentos adjuntos;
- Instalar aplicaciones en el dispositivo móvil únicamente de la tienda oficial;
- Estar al día: siguiéndonos en redes sociales, consultando los avisos de seguridad o suscribiéndote a los boletines para estar informado.
- Descargar software, únicamente, de sitios web oficiales;
- Cuando navegas por Internet, no hacer caso de las ventanas emergentes solicitando actualizaciones de seguridad o cualquier otra acción que requiera instalar software en el equipo.
Incorporación de la figura de CISO a la compañía: Se recomienda la incorporación o la contratación del servicio de CISO as a Service, (Chief Information Security Officer) en la compañía. Esta figura define, gestiona la implementación y vela por el cumplimiento de las políticas de seguridad necesarias para alcanzar un nivel de madurez de seguridad óptimo en las actividades del cliente. También supervisaría y recomendaría mejoras en seguridad informática.
Incorporación de proveedores de confianza: Es importante contar con proveedores que cumplan la normativa vigente legal e incorporen medidas de seguridad informática como ISO 27001 u otros estándares de seguridad.
Si quieres más información sobre las medidas de ciberseguridad que necesita tu empresa , contacta con nosotros y le ayudaremos a mejorar su seguridad informática
fuentes :
Europol: Pdf muy interesante link