marzo 11, 2022
Seguridad
5 min. leer

Phishing ejecutivo: consejos para defender a su empresa

El phishing ejecutivo, también conocido como whaling (o fraude del CEO) es un ciberataque dirigido a los altos ejecutivos de la empresa para robar información sensible de la misma.

Povilas M.
Experto en seguridad
En Kraden creemos que todo ejecutivo debe aprender a reconocer un posible ataque de phishing y a defenderse de él. Las estadísticas lo respaldan, ya que el Informe sobre Delitos en Internet del FBI muestra que la ciberdelincuencia inflige cerca de 3.000 millones de dólares en daños cada año. ¿Y el estrés causado? Es inconmensurable. El phishing es uno de los tipos de ciberdelincuencia más comunes. Los ejecutivos son el principal objetivo del spear-phishing. En este artículo, queremos abordar este tema y ayudar a las empresas a entender cómo pueden defenderse mejor a sí mismas y a sus ejecutivos.

¿Qué es el phishing ejecutivo?

El phishing ejecutivo, también llamado whaling (y a veces spear-phishing) son ciberataques personalizados y dirigidos que utilizan la interacción del ejecutivo con otros miembros de la organización o proveedores de servicios. Hay muchas maneras de llevar a cabo y comenzar esto, pero normalmente, los hackers buscan información sensible de la empresa (por ejemplo, información de la nómina, inicios de sesión de cuentas bancarias, próximos acuerdos, etc.) o dinero. Pueden obtener este último mediante el acceso a los bancos o a los holdings financieros (a través de los ejecutivos) o mediante un rescate. Los delincuentes lo obtienen mediante el engaño y la ingeniería social, con un poco de conocimiento de malware también.
Los ataques de phishing forman parte de una red cibernética más grande de estafas conocidas como técnicas de ingeniería social que ya se han mencionado. Es una de las técnicas más utilizadas por los ciberdelincuentes porque es barata, sencilla de crear y muy eficaz. Esto se debe a que se dirige al eslabón más débil de la arquitectura de seguridad: el usuario. Para que te hagas una idea de cómo se puede llevar a cabo el phishing ejecutivo, mira este ejemplo:
El ejecutivo recibe un correo electrónico del departamento financiero sobre su última nómina o bonificación. El correo electrónico contiene un enlace que le dirige a introducir su nombre de usuario y contraseña en una página web falsa que parece la oficial del banco o de la página de nóminas de la empresa. El ejecutivo cree que está utilizando un sitio web oficial, pero en realidad introduce sus datos de acceso en uno falso.
Boom, ahora el hacker tiene acceso a la credencial del usuario de alto rango y puede acceder a los datos.

¿Cómo detectar y prevenir el phishing ejecutivo?

A continuación se presenta un cuadro que resume algunas tácticas y decisiones que pueden ayudar a evitar, detener y/o prevenir un ataque de phishing ejecutivo.
  • Enseñe a sus empleados ejecutivos el riesgo del spear-phishing.
  • Aplicar políticas y normas estrictas y muy concisas sobre el intercambio y la protección de datos.
  • En la medida de lo posible, intente implementar la protección MFA, 2FA en los procesos y accesos.
  • Introduce una nota dedicada a cómo el uso irresponsable de las redes sociales puede conducir a la suplantación de identidad.
  • Además, añada banderas a todos los correos electrónicos procedentes de fuera de la empresa.
  • Realice sesiones mensuales de concienciación sobre seguridad o utilice software de terceros como KnowBe4.
Por lo tanto, el phishing ejecutivo es un tipo de ciberdelito peligroso y común, pero si se arma de conocimientos y toma las precauciones adecuadas, su equipo ejecutivo puede ayudar a prevenir el phishing ejecutivo o, al menos, minimizar las pérdidas si se producen.
Detectar los ataques de phishing es bastante difícil, especialmente a nivel ejecutivo. Esto se debe en gran medida a que los ejecutivos reciben una gran cantidad de correos electrónicos y están muy ocupados, lo que hace que su atención sea muy fácil de explotar. Sin embargo, la aplicación de políticas y la formación pueden ayudar a reducir estos riesgos. Si quiere saber más sobre el phishing para ejecutivos o quiere proteger a sus empleados ejecutivos de él, puede contratar a un consultor o a una empresa de consultoría para que le ayude a establecerlo.
Los correos electrónicos de phishing suelen provenir de fuera de la empresa y las empresas deben ser conscientes de la suplantación de correos electrónicos. Pero los correos electrónicos de phishing ejecutivo pueden venir de dentro o de fuera, y eso hace que la defensa contra este tipo de ciberdelincuencia sea muy difícil. Por eso es necesaria la formación de los ejecutivos para evitar el phishing ejecutivo.
Si uno de sus empleados o ejecutivos descubre que ha sido objeto de una estafa de phishing, siempre debe dirigirse al personal de TI de la empresa para obtener ayuda. Además, si hay una parte externa implicada y que se hace pasar por ella, puede ponerse en contacto con esa parte (banco, proveedor de servicios, etc.) para obtener su apoyo e informarle. También merece la pena informar a los departamentos de ciberpolicía, si el ataque está realmente amenazando la seguridad de su empresa y la integridad de su reputación.

¿Puede la comunicación privada cifrada de extremo a extremo reducir el riesgo de spear-phishing?

La comunicación encriptada de extremo a extremo es una excelente manera de aumentar la seguridad de los datos dentro de la empresa.
Aunque no hace que el phishing ejecutivo sea imposible, puede reducir el riesgo de phishing ejecutivo haciendo que los mensajes sean más resistentes a los ataques del hombre en el medio (MITM) y a la suplantación de identidad.
Un ejemplo sencillo de cómo funcionan los ataques MITM.
Los archivos adjuntos de mensajería multimedia (MMS) son muy populares entre los hackers porque les permiten inyectar malware en ellos para acceder a los dispositivos y datos de los ejecutivos. La comunicación privada encriptada de extremo a extremo crea un entorno seguro, lo que hace mucho más difícil que los hackers accedan a las credenciales de los ejecutivos y a la información sensible.
Kraden es una solución de vanguardia para que tanto los usuarios privados como los representantes de las empresas utilicen un entorno seguro para la comunicación, el intercambio de archivos de texto, voz, imagen y vídeo. Utilizando Kraden debería ayudar a crear un entorno mucho menos propenso al phishing en general.

Conclusión

El phishing ejecutivo es un tipo de ciberataque muy común, pero hay medidas que pueden ayudar a más organizaciones a evitarlo o a minimizar los daños causados por él.
Las empresas deberían contar siempre con formación para ejecutivos para reducir el riesgo de phishing de los mismos, ya que estos ataques no se aprovechan de los sistemas, sino de las personas y de su falta de concienciación en este tipo de situaciones.
La comunicación encriptada de extremo a extremo, como la que realizamos con Kraden, es una gran forma de potenciar la privacidad de las comunicaciones y evitar amenazas de seguridad externas como el phishing ejecutivo.
Más entradas del blog
abril 10, 2023
Tutoriales
8 min. leer
Proxy vs VPN: ¿Cuáles son las diferencias?
Las VPN tienen más funciones que un proxy, pero son más caras. Sin embargo, hay más pros y contras a la hora de elegir entre una VPN o un Proxy.
Povilas M.
Experto en seguridad
marzo 16, 2023
Seguridad
5 min. leer
¿Qué es un borrado remoto? Borrar remotamente su teléfono
Un borrado remoto es una eliminación remota de datos de un dispositivo sin tenerlo físicamente. Los borrados remotos pueden ejecutarse en teléfonos móviles, ordenadores de sobremesa, etc.
Ross K.
Experto en seguridad
Una empresa de seguridad y tecnologías de la información con la misión de hacer que la privacidad de todo el mundo sea un valor por defecto.
2022 Dragon Secure GmbH. Bahnhofstrasse 32, 6300, Zug, Suiza
info@kraden.com