Cuando los ciberdelincuentes se creen el Capitán Ahab
Muchos conceptos de ciberseguridad tienen su origen en la literatura. La Odisea de Homero, en varios de sus pasajes, hace referencia a la leyenda, según la cual los griegos, que estaban hartos de sitiar Troya, fingieron una retirada, y dejaron atrás el famoso caballo de madera con soldados escondidos en su interior.
También conocemos Moby Dick. El gran clásico de Herman Melville en el que la caza de un cachalote se convierte en una metáfora de la condición humana.
Pero esta actividad, (infame para algunos) en seguridad informática, hace referencia a la práctica de perpetrar ataques de ingeniería social dirigidos a altos ejecutivos de una empresa.
En lugar de utilizar arpones junto con granadas de pentrita, los balleneros prefieren engañar al «pez gordo» mediante métodos más sutiles como el phishing (sabemos de sobra que técnicamente, una ballena no es un pez, pero es lo que hay), o comprometiendo el correo electrónico empresarial de la futura víctima.
En este último caso, los atacantes obtienen acceso a la cuenta de correo electrónico de un ejecutivo y la utilizan para enviar mensajes a otros empleados (o proveedores, clientes, etc.), pidiéndoles que transfieran fondos o revelen información confidencial.
Las herramientas impulsadas por IA pueden generar plantillas de correo electrónico muy convincentes, imitar el estilo de escritura y los patrones de voz de las personas, o ajustar el contenido del mensaje en función del destinatario.
Cuantos más privilegios tenga la persona objetivo, más aumentan las posibilidades de los delincuentes de violar con éxito las defensas de la organización.
Por ejemplo, los estafadores pueden convencer al director del departamento de finanzas de una filial con sede en otro país, para que transfiriera unos cuantos millones de euros a una cuenta en concreto.
En 2021, la empresa brasileña de cosméticos Natura & Co fue víctima de un ataque dirigido a su departamento de finanzas.
Los delincuentes se hicieron pasar por un ejecutivo de alto rango y enviaron correos electrónicos, instruyendo a los empleados a transferir 14,6 millones de dólares a una cuenta bancaria de Hong Kong.
Por muy alto que se esté en el escalafón, siempre habrá algún baranda por encima, sobre todo en las grandes compañías o en las administraciones públicas.
Por lo tanto, cuando un correo electrónico parece provenir del director ejecutivo, (o de un funcionario de alto rango), los destinatarios tienden a aparcar el escepticismo, asumen que el mensaje es legítimo, y cumplen con las acciones solicitadas
Las consecuencias de un ataque de este tipo pueden suponer (entre otros imponderables) el robo de secretos industriales, la penetración en los sistemas de la empresa, estafas a clientes o proveedores, y pérdidas financieras debido a transacciones fraudulentas.
Por no hablar del daño a la reputación de la empresa, y el coste de limpiar el desastre.
Para perpetrar un ataque de este tipo, la preparación es fundamental
Antes de ponerse a cazar una ballena, es primordial realizar una investigación previa sobre ella.
Esto se aplica tanto a los ejecutivos como a la propia empresa.
¿Qué factores se tienen en cuenta?
En primer lugar, hay que conocer las características de la empresa.
- Sector.
- Número de empleados.
- Clientes.
- Proveedores.
- Toda la información corporativa posible.
En segundo lugar, se debe investigar a la futura víctima para obtener la mayor cantidad de información posible sobre ella.
- Seguimiento de su presencia digital, normalmente mediante datos procedentes de fuentes abiertas.
- Se buscan datos en las webs corporativas.
- Consulta de sus perfiles en redes sociales, especialmente aquellas con un enfoque profesional, como LinkedIn.
- Se recopilan datos de contacto básicos como correo electrónico o incluso números de teléfono personales.
- Cualquier tipo de información personal, como fechas de cumpleaños, pasatiempos, vacaciones, y relaciones.
También se suelen utilizar métodos de «baja tecnología», como por ejemplo bucear en su basura, robar su correspondencia, o invitarle a unas copas.
Conclusión
el Capitán Ahab y sus balleneros son una amenaza grave que puede provocar importantes pérdidas financieras y daños a la reputación de una organización.
A diferencia de las vulnerabilidades técnicas, que en su mayoría pueden mitigarse mediante el uso de software, el «riesgo humano» está ligado a la forma en que los individuos interactúan con la tecnología.
Hoy en día, la mayoría de empresas, suelen estar bastante seguras a nivel técnico, pero lamentablemente esto ya no es suficiente para evitar que los delincuentes accedan a sus recursos.
En este sentido, los sufridos departamentos de TI pueden verse impotentes si algún directivo (o empleado) despistado cae en la trampa de turno.
Los profesionales, sea cual sea su posición en la empresa, pueden ayudar a prevenir (o incluso frustrar) los ataques para mantener sus organizaciones un poco más seguras.
Siempre hay que tener cuidado con los correos electrónicos que solicitan información confidencial o requieren una acción inmediata, aunque parezcan provenir de las alturas.
No cuesta nada coger el teléfono (u otro método de comunicación diferente) para verificar las solicitudes con el supuesto remitente.
Sobre todo sí parecen desmesuradas, inusuales, o fuera de lugar.
- Confírmeme si tengo que trasferir 10 millones de euros a esta cuenta con un IBAN de Montenegro.
- ¿Por qué me está solicitando el director ejecutivo los datos de las nóminas de los empleados actuales y anteriores?
Con un poco de escepticismo, podremos hacer como Moby Dick, que consiguió arrastrar al infame Ahab hasta lo más profundo del mar.