El riesgo asociado a la exposición digital
Entre los múltiples elementos de riesgo que enfrentan actualmente las empresas, algunos de ellos son clave y están relacionados con la expansión del perímetro de ciberseguridad más allá de la oficina.
En este ámbito existe un elemento de notable importancia al que se debe prestar especial atención. Se trata de la exposición digital de las personas. Frecuentemente vemos cómo dicha exposición determina en muchos casos la probabilidad de que ocurra un incidente de seguridad de la información, que puede afectar en primer lugar al empleado y por ende a la organización.
Los algoritmos de exposición digital de Kymatio permiten, con un enfoque altamente ágil, determinar la exposición digital del conjunto de empleados en redes sociales. Determinar el nivel de exposición individual posibilita la entrega automatizada de recomendaciones de uso y píldoras de información completamente personalizadas para cada empleado.
En paralelo a las actividades de concienciación automática, la compañía obtiene la información necesaria para conocer su exposición y puede planificar actividades de concienciación individuales, departamentales o corporativas.
Kymatio respeta en todo momento la privacidad del empleado, no analiza sus redes ni accede sus contenidos publicados, atendiendo en todo momento las directrices GDPR.
Ejemplo. Ataque basado en la exposición digital
Los ciberdelincuetes encuentran gran cantidad de elementos disponibles para orquestar ataques dirigidos hacia los empleados de todo tipo de compañías. Vamos a escenificar la situación con un supuesto que está basado en la más dolorosa realidad.
Preparación del ataque
Un grupo de ciberdelincuentes decide atacar a la empresa ACME y para ello se apoya en información publicada en redes sociales por sus empleados.
Buscando en redes profesionales como LinkedIn descubren que Pedro Smith trabaja en ACME en un puesto con funciones críticas, en este caso la realización de transferencias bancarias internacionales.
A través de las redes sociales personales de Pedro, como Facebook, descubre que tiene amigos entre sus compañeros de trabajo. A partir de ahí los cibercriminales recopilan de la misma manera información sobre los compañeros de trabajo de Pedro, la organización de los departamentos de ACME y otra información de utilidad.
Esto permite a los atacantes construir un escenario creíble con el que engañar a Pedro y ejecutar un Spear Phishing (Phishing dirigido).
Ejecución del ataque
Pedro recibe un correo de un proveedor con el que habitualmente trabaja ACME, indicando que es necesaria su ayuda de forma inmediata porque su compañero Juan, del departamento de facturación, con el que habitualmente trabajan está de vacaciones. Toda esta información la han construido los atacantes a partir de información publicada en las redes sociales.
Debido a su alta verosimilitud al utilizar información real que el propio Pedro conoce, éste baja la guardia y confía en el mensaje contestando a los atacantes.
Los criminales deciden crear un ransomware para atacar a la organización y lo adjuntan a uno de los mensajes que envían a Pedro, quién no duda en abrirlo y, sin saberlo, instala malware en su sistema. De repente, todos sus archivos están encriptados y las estaciones de trabajo de la empresa muestran una nota de rescate que exige el pago en veinticuatro horas o, de lo contrario, toda la información de la empresa será eliminada.
Conclusión
En el ejemplo anterior, vemos tan solo uno de los múltiples casos posibles en los que la información de los empleados en las redes sociales pueden poner en riesgo a su empresa y no solo a ellos mismos.
Si se publica suficiente información en las redes sociales, los piratas informáticos pueden analizar la mejor manera de diseñar la estrategia de ingeniería social contra el personal de las organizaciones con el objetivo de iniciar actividades de phishing, vishing o smishing e instalar su propio malware en los sistemas de la empresa.
Este es solo uno de los muchos riesgos asociados con el uso de las redes sociales. Sin embargo, el hecho de que existan amenazas en las redes sociales no significa que deba impedirse su uso, si bien es necesaria una concienciación inteligente al respecto y soportada por datos.
Amenazas relacionadas con las redes sociales
Las información publicada por Pedro y sus compañeros demuestran un tipo común de amenaza a la organización. Sin embargo, existen muchas más para el negocio que pueden surgir al usar las redes sociales.
Phishing orientado a redes sociales
Una de las tendencias más populares ha sido la suplantación de marca. En el pasado, las empresas ya han tenido que lidiar con envíos de correos electrónicos o venta de falsos productos.
Sin embargo ahora, a través de las redes sociales se puede suplantar de forma más creíble a los servicios de atención al cliente de las compañías.
Esto proporciona una cierta ilusión de comodidad a los clientes desprevenidos que luego pueden entregar sus datos personales y credenciales. Incluso los propios empleados pueden ser susceptibles a este fraude.
Breadcrumbs, el rastro digital
Cada publicación, tweet, cumplido o “me gusta” deja pistas sobre quienes somos y cómo opera nuestra organización. Todo lo que un pirata informático inteligente tiene que hacer es extraer datos de las cuentas de redes sociales para obtener información sobre la empresa.
Para cada plataforma importante de redes sociales hay aplicaciones de terceros que le dan a cualquier usuario la capacidad de obtener información de cualquier cuenta que desee. Además, en los sitios web como LinkedIn, al añadir a cualquier usuario se le da acceso a cuentas de correo electrónico cuando descarga los datos como archivo csv. Dichos datos dejan a poco a poco la organización expuesta a un análisis continuo hasta que el potencial ciberdelincuente encuentre el conocimiento interno exacto que necesita.
Archivos y enlaces peligrosos
Las personas demuestran mucha confianza en las redes sociales y casi todo lo que se carga o publica en ellas. La mayoría de los sitios web ahora permiten enlaces de URL acortada, que a menudo enmascaran a dónde se llevará al usuario en realidad. Estos enlaces tienen la capacidad de llevar a un usuario a sitios web falsos o incluso activar una descarga automática. En cuanto a los archivos maliciosos, hubo un caso de ransomware el año pasado apodado «ImageGate» que difundió el ransomware con una imagen cargada en las redes sociales. Los sitios que fueron atacados fueron Facebook y Linkedin. Locky, el ransomware, se extendió por estos sitios durante cierto tiempo antes de que las principales plataformas pudieran parchear sus redes.
Hacktivismo
Los hackers con fines políticos o socialmente motivados a menudo se denominan hacktivistas. Hablamos de hacktivistas que se vengan de alguien con quien no están de acuerdo en las redes sociales, y la compañía queda atrapada en la operación. Estos hacktivistas a menudo actúan con la intención de sabotear o exponer (como los Papeles de Panamá o la fuga de la NSA).
Existe una clara tendencia, se está acelerando y aumentará en los próximos años. Los piratas informáticos maliciosos con motivaciones financieras son una amenaza, pero el hacktivismo plantea otro conjunto de desafíos.
Las empresas deben extremar las medidas y tener cuidado para evitar terreno peligroso a nivel político o social, o de lo contrario pueden ser víctimas de ataques muy específicos con resultados devastadores.