Los hackeos sofisticados y aparatosos parecen ser la opción más usada por los hackers en las películas, pero en el mundo real un correo o una llamada telefónica es suficiente para comprometer los datos de toda una organización. El phishing —un tipo de ataque de ingeniería social en los que el perpetrador se hace pasar por una entidad confiable y engaña a la víctima para que abra un correo o conteste una llamada— ha sido el favorito de los hackers desde hace años. Esto se debe en gran medida a que son fáciles de llevar a cabo, son altamente redituables. Una variedad particularmente eficaz del phishing, que se ha vuelto muy común en México, es el ataque Business Email Compromise (BEC).
El ataque percibido: Haciéndose pasar por el alto ejecutivo de una compañía (CEO, COO, etc.), un hacker envía un email o hace una llamada a una persona con acceso a las cuentas de banco de la compañía. Pide que a) se resuelva un asunto urgente, enviando dinero a un tercero o b) se modifique un pago que esté siendo procesado. Cuando el empleado apanicado envía el pago al supuesto proveedor, éste se va directamente a los hackers.
En un escaneo preliminar de las mil compañías más grandes de México, se descubrió que más de 80 por ciento no tenían ningún tipo de protección contra estos ataques en sus servidores de correo. En Metabase Q hemos visto cientos de ejemplos de estos ataques en empresas de todos los sectores, tamaños e ingresos.
El ataque real: Aunque no lo parezca, el verdadero ataque ocurrió meses antes de que se enviara el correo “del CEO”. Este tipo de ataques inicia con el proceso de reconocimiento, en el que el hacker envía un phishing genérico a la empresa, para obtener las cuentas de algún empleado. Este correo puede ser una newsletter, documentos de inversionistas, certificados de regalo falsos, etc. Si el hacker es bueno, logrará atravesar tus herramientas de seguridad tradicionales, rastreando los correos en los que se mencione una transferencia de dinero para elegir el momento de atacar.
Hay maneras de detener este problema, pero requieren de mejores herramientas de ciberseguridad, entrenamiento para toda la empresa, autentificación multi-factor para transacciones financieras, entre otros. Si experimentaste uno de estos ataques recientemente o quieres que tu compañía esté mejor protegida, por favor contáctanos (contact@metabaseq.com).
POR LOUISE IRELAND
XCONTACT@METABASEQ.COM
@METABASEQ
edp