¿Viaja por trabajo? Usted es el objetivo principal de los hackers

Como si el estrés y quebraderos de cabeza de los viajes de negocios no fueran suficientes, hay una cosa más de la que preocuparse cuando se viaja por lugares desconocidos: la seguridad del correo electrónico. Gracias al rápido ascenso de correo espía — correo electrónico que revela en secreto la ubicación y el comportamiento del destinatario cuando se abre: los delincuentes pueden invadir la bandeja de entrada de un ejecutivo que está fuera de la oficina para robar información confidencial.

Según un FBI anuncio de servicio público publicado en junio, las pérdidas relacionadas con el «compromiso del correo electrónico empresarial» han aumentado un 1300% desde enero de 2015. Aunque cualquier empresa esté en riesgo, lo más probable es que estos ataques se dirijan a empresas que envían dinero con regularidad al extranjero o a aquellas que tienen acceso a información confidencial, como empresas médicas, abogados y contadores. Hasta la fecha, se han registrado casos en los 50 estados de EE. UU. y en 100 países, lo que supone un impacto financiero de 3000 millones de dólares.

Centro Insight

• El futuro de la ciberseguridad

  Patrocinado por KPMG

  Explorar los riesgos y las soluciones.

En su mayor parte, estos ataques exitosos no se deben a que los ciberdelincuentes cubran las empresas con enlaces o archivos adjuntos cargados de malware con la esperanza de hacer clic (como ocurría a menudo en el pasado). En cambio, infiltrarse en una red corporativa y desviar datos confidenciales consiste en recopilar información meticulosamente durante un período prolongado y, luego, utilizarla para lanzar un ataque de precisión dirigido a uno o dos empleados. Una forma de recopilar esta información es mediante correo espía, un correo normal con un código de seguimiento oculto.

Así es como funciona. Cada vez que un ejecutivo que viaja abre un correo espía, revela una gran cantidad de información privada: su ubicación actual, la hora del día en que lee el correo electrónico, el hotel en el que se hospeda. Los estafadores pueden utilizar esta información para crear correos electrónicos o llamadas de suplantación de identidad creíbles, dirigidos al ejecutivo o a sus desprevenidos colegas de la oficina central. Como el correo espía se parece a cualquier otro correo electrónico, el destinatario no puede determinar qué correos electrónicos se rastrean con la extensión invisible, lo que dificulta mucho la gestión de la ciberseguridad en la carretera.

Supongamos, por ejemplo, que un ejecutivo abre un correo de espionaje mientras se reúne con un proveedor en un país inestable política, económica o socialmente. Sabiendo que el líder empresarial se encuentra en una parte volátil del mundo, terceros malintencionados pueden organizar un ataque aprovechando el miedo y la incertidumbre que acompañan a esos viajes. El ataque puede incluir, por ejemplo, correos electrónicos falsificados de un ejecutivo extranjero en los que se diga que se encuentra en una situación peligrosa (por ejemplo, ha habido un ataque terrorista, lo han secuestrado, etc.) y que necesitan dinero. En un caso extremo, la información recopilada a través del correo espía se puede utilizar para planificar un secuestro real. Según uno informe, hay 40 000 casos de secuestro y rescate cada año, muchos de los cuales involucran a ejecutivos que viajan por negocios.

Los actores malintencionados también utilizan el hecho de que un ejecutivo está fuera de la oficina para engañar a los compañeros de trabajo de su persona para que envíen archivos corporativos u otros datos confidenciales. A principios de este año, empresas como Piezas de automóvil avanzadas y Snapchat fue víctima de estafadores que se hacían pasar por líderes de la empresa, que robaron los formularios W-2 de los empleados y los utilizaron para presentar declaraciones de impuestos fraudulentas. La información capturada por el correo espía puede ayudar a los piratas informáticos a enviar correos electrónicos creíbles (con el remitente, el destinatario, el contexto y la hora correctos) al departamento de recursos humanos o al proveedor de nóminas de un ejecutivo, solicitando registros confidenciales en un momento en que saben que el ejecutivo no estará presente para detectarlos.

¿Cómo pueden las empresas evitar una crisis provocada por el correo electrónico? Ninguna estrategia de ciberseguridad corporativa está completa sin un plan para proteger los datos de la organización cuando los líderes empresariales están ausentes. Y simplemente prohibir a los ejecutivos revisar el correo electrónico cuando están de viaje, aunque no sea un viaje de trabajo, no es una solución realista. A medida que el panorama de las amenazas del correo electrónico evoluciona, las organizaciones deben adaptar sus defensas en consecuencia. Así es como:

• Entrene para crear conciencia. Los empleados no pueden protegerse de los ciberataques si ignoran las amenazas que los rodean. Ofrecer una formación periódica y atractiva que defina el correo espía y la suplantación de identidad desde la perspectiva del usuario final y que ilustre las ramificaciones de cada uno de ellos es un paso necesario para que los empleados estén más atentos. Según PWC y KPMG, únicamente El 53% de las empresas tienen programas de formación y concienciación sobre la seguridad para los empleados, y solo El 50% de los directores ejecutivos siéntase preparado para un ciberataque.
• Establezca un protocolo de correo electrónico para viajes ejecutivos. Ningún director de TI puede sacar a la alta dirección de sus bandejas de entrada, incluso cuando está de vacaciones. Sin embargo, las organizaciones deberían implementar controles políticos para identificar y mitigar el riesgo de intentos de correo espía y suplantación de identidad mientras los ejecutivos están de viaje. Por ejemplo, los departamentos de finanzas deberían establecer un protocolo que los ejecutivos deben seguir en caso de que necesiten solicitar dinero mientras están de viaje. Cuando se recibe una solicitud que no sigue el protocolo establecido, es menos probable que la estafa tenga éxito.
• Añada una capa adicional de seguridad a la bandeja de entrada. Cuando viajan, los líderes empresariales tienen que centrarse en la tarea que tienen entre manos, no en las cuestiones de seguridad y ciberseguridad. Añadir protecciones contra el correo espía a los filtros de spam y firewalls convencionales puede ayudar a proteger los datos de la empresa y dar tranquilidad a los ejecutivos que viajan.

Como lo son las empresas aprender por las malas, las estafas por correo electrónico son un problema creciente, y se parecen a los atracos a bancos en la cantidad y la sofisticación de la recopilación de información que se dedica a ellas. Saber cuándo y dónde viajan los ejecutivos y envían correos electrónicos es un dato necesario para muchos de estos ataques. Al formar a los empleados, establecer las políticas de viaje adecuadas y adoptar el software de seguridad más reciente, las empresas pueden reducir el riesgo de ser víctimas de uno de estos ataques.