La gran cantidad de información que los usuarios comparten en Internet se está convirtiendo en un activo de gran valor para los delincuentes a la hora de llevar a cabo sus ciberataques. Es el momento de concienciar a los empleados para que presten atención a toda la información que publican en la Red, sobre todo en las redes sociales, y que pueden comprometer la seguridad de la compañía en la que trabajan.
Una publicación en LinkedIn con una oferta de trabajo puede ser, en realidad, una estafa de phishing. Incidentes similares ocurren muy a menudo ya que, cada vez más, los ciberdelincuentes hacen uso de la ingeniería social para sus ataques valiéndose de la gran cantidad de información que los usuarios comparten en Internet. Y, muy especialmente, en las redes sociales.
Al compartir gran parte de nuestras vidas en las redes sociales, exponemos una parte importante de nuestra privacidad. Pero también servimos en bandeja a los ciberdelincuentes una información que puede ser muy útil para dirigir sus ataques que pueden extrapolarse y poner en peligro también las organizaciones para las que trabajamos.
Esto se está haciendo especialmente patente ante los ciberataques que se dirigen a los nuevos empleados de las organizaciones. Estos suelen incorporarse a las empresas que les proporcionan una dirección de correo electrónico, claves y contraseñas de inicio de sesión en la red, tokens o sistemas de doble factor de autenticación, un smartphone, llaves del edificio…
Se trata de elementos muy atractivos para que los ciberdelincuentes puedan acceder a los sistemas de la empresa aprovechando, especialmente, que el nuevo empleado ‘aterrice’ y conozca mejor los procedimientos.
¿Cómo saben los atacantes de que hay nuevos empleados? Todo empieza con el uso de herramientas que los usuarios utilizan para estar conectados, establecer contactos de utilidad para el desarrollo de la vida profesional.
Al monitorizar redes como LinkedIn, los atacantes están al corriente cuando alguien entra a formar parte de una empresa. El siguiente paso es establecer el contacto haciéndose pasar por alguien de la compañía o un cliente a través de un correo electrónico que simula ser corporativo. A partir de ahí, empiezan a solicitar datos y acciones con lo que consiguen acceso a la empresa sorteando las medidas de detección y respuesta implementadas.
Una amenaza cada vez más habitual
Estas prácticas se están convirtiendo en algo cada vez más habitual a la hora de llevar a cabo ciberataques contra empresas utilizando a los empleados como puerta de acceso.
El reciente ciberataque de Uber se desencadenó, presuntamente, porque un delincuente engañó a un administrador para que aprobara una solicitud de autenticación multifactor (MFA) falsa. El atacante pidió al administrador de WhatsApp que proporcionara más información para ganarse su confianza y aprobar la solicitud de MFA.
Lo que aún no está claro es si, para conseguirlo, utilizó las redes sociales para obtener más información, o simplemente tuvo suerte.
Por su parte, la firma de comunicaciones Twilio compartió recientemente que ciberdelincuentes se dirigieron a sus empleados e hicieron coincidir sus nombres con sus números de teléfono. De esta forma, pudieron entablar una relación uno a uno utilizando bases de datos disponibles públicamente para llevar a cabo sus ciberataques.
No obstante, los ciberdelincuentes también hacen uso de la información personal pública offline para llevar a cabo sus ataques. Una pegatina de una discoteca o de una estación de esquí en el coche, una cartera para transportar el portátil con el logotipo de la universidad, o la funda de smartphone con la imagen y nombre de nuestra mascota puede dar muchas pistas a los delincuentes para poner cebos.
Por lo tanto, es importante tomarse el tiempo necesario, no solo para implementar barreras tecnológicas, sino también para ofrecer educación y capacitación que derive en prácticas de seguridad que eviten comprometer la infraestructura del negocio.
Cómo mitigar los ataques habilitados en las redes sociales
No hay duda de que los ciberdelincuentes utilizan cada vez más herramientas de negocio para atacar, tanto a grandes corporaciones como a pymes. Por eso, algunos expertos recomiendan a las empresas que no establezcan contacto en redes sociales con los nuevos empleados ni lo publiquen.
Además, utilizar servicios de eliminación de datos para extraer información de las bases de datos de LinkedIn y otras firmas también puede ser de gran utilidad. No obstante, algunos apuntan que las solicitudes de eliminación de información, en ocasiones, pueden exponer más información de la que había en la base de datos inicial.
Es posible que un sitio solo tenga direcciones de correo electrónico, pero la solicitud de eliminación de datos también expone el nombre completo del usuario. Aquí es importante tener en cuenta la reputación de los sitios y su historial de eliminación de datos.
Por eso, a medida que las empresas incorporan nuevos empleados, es fundamental informarles sobre la existencia de este tipo de ataques y los riesgos que conllevan para la empresa. Asimismo, es importante aconsejarles que no publiquen nada sobre sus nuevos trabajos o roles, o bien que limiten la publicación solo a contactos de confianza.
Los empleados deben saber exactamente cómo será la comunicación de la empresa y qué métodos se utilizarán. Cada vez más compañías trabajan con sus equipos de seguridad de la información para realizar ejercicios de simulación que buscan asegurarse de que el personal sabe cómo responder adecuadamente a las indicaciones de seguridad.
Los ciberdelincuentes pueden tener como objetivo a cualquier miembro de la empresa para obtener acceso a los sistemas e información corporativa.
Estar preparados para frenar cualquier ciberataque o acceso no autorizado contando con las tecnologías adecuadas es fundamental. No obstante, disponer de empleados capacitados y concienciados sobre el riesgo de llevar a cabo malas prácticas de seguridad que pongan en peligro a la organización, es un factor cada vez más clave al que las empresas deben poner atención.