4 minute read
El Cuento del tío corporativo
Paula GEOSITS
Human Risk Manager de Safe-U.
Creadora de @familiascibercuidadas en IG.
No hace falta mencionar que las estafas y fraudes digitales están a la orden del día entre los ciudadanos de a pie. Que el phishing y sus variantes es uno de los principales vectores de ataque. Sin embargo, este mismo riesgo existe para las empresas, especialmente dirigido a quienes son responsables de autorizar u ordenar operaciones financieras, transferencias y/o pagos a proveedores. Esta maniobra que forma parte de lo que conocemos como “ingeniería social”, y dentro de ésta como “ataque BEC (por business email compromise)” tiene su propio nombre y se denomina Fraude del CEO.
Este tipo de fraude es una forma de phishing en la cual se suplanta la identidad de una persona con jerarquía dentro de la organización, ya sea el Gerente General, un Director, el CFO o el Gerente de Finanzas, capaz de ordenar o autorizar la salida de fondos. En dicho mail se envían instrucciones al colaborador a quien va dirigido, autorizando o solicitando realizar un pago a una cuenta bancaria diferente a la habitual, o bien por un monto superior o de manera excepcional a otra cuenta determinada.
Cuando se trata de una operación de comercio exterior, este fraude puede llegar a ser millonario y, dependiendo de la industria y el tipo de negocios que lleva adelante la organización, este riesgo se multiplica si se suman intermediarios en los procesos de compra, ya que en muchas ocasiones éstos son terceros sobre quienes es complejo validar fehacientemente su identidad.
Sumado a esto, las entidades bancarias delegan esta responsabilidad (validar la identidad del titular de la cuenta destino) a las organizaciones, limitando su control a que los datos del mensaje Swift coincidan con la orden indicada.
Y como si esto fuera poco, el uso de IA generativa facilitó los ataques a los ciberdelincuentes haciendo los mismos mucho más convincentes mejorando el lenguaje y la personalización, llevando estos ataques a otro nivel: aprenden y replican el estilo y las características de escritura de una persona basándose en datos obtenidos a través de redes sociales, chats y otras.
¿Cómo identificar este tipo de ataques?
Como en todo ataque de phishing, el ciberdelincuente buscará generar una sensación de urgencia en el colaborador que recibe el mail de manera que no demore mucho tiempo en analizarlo. A esto se suma, que quien supuestamente envía dicho mail es el CEO de la organización. Entonces, frente a esta situación ¿qué cuidados deben tener las organizaciones?
Podemos mencionar varios, entre ellos:
Sumar protección a sus cuentas de correo electrónico para prevenir phishing.
Identificar a los colaboradores de alto riesgo por su mayor exposición a este tipo de fraudes, y capacitarlos para que sean capaces de identificar este tipo de ataques.
Reforzar la privacidad por parte de personas críticas de las organizaciones (CEOs, Directores, etc) que podrían ser foco de suplantación de identidad.
Reforzar los controles en el alta de nuevos proveedores, así como para la modificación de los datos para los pagos de proveedores vigentes.
Incorporar controles fuertes en los procesos de salida de fondos (preferentemente automatizados) con limitación en los accesos a los sistemas y niveles de aprobación o autorización definidos.
Evitar vías informales de comunicación para facilitar estas transacciones, limitándose a los procesos definidos que incorporen los controles mencionados.
Contar con un departamento de Ciberseguridad que vele por la implementación de medidas de seguridad adecuadas, tanto sobre la infraestructura como en los procesos y las personas que forman parte de la organización.
"El interrogante ya no es si la organización va a recibir algún tipo de ciberataque, sino cuándo"
Llevar adelante buenas prácticas de concientización para los colaboradores junto a simulacros de ingeniería social para entrenarlos en la identificación y reporte de este tipo de ataques.
Según datos provisto por Proofpoint (líder en la protección de correo electrónico), la empresa identifica globalmente un promedio de 66 millones de ataques BEC por mes.
El interrogante ya no es si la organización va a recibir algún tipo de ciberataque, sino cuándo y si están haciendo su mejor esfuerzo para estar mejor preparados en mitigar el impacto.