Tras la vuelta de las vacaciones y la continuación de la última fase del programa ACTIVA Ciberseguridad, los días 9 y 10 de Septiembre se lanzaron dos convocatorias para invitar a las empresas a participar en el taller “CEO ¿Cuánto saben los ciberdelincuentes de ti?” impartido en modalidad telemática.

Ambas sesiones tenían como objetivo concienciar a los directivos, gerentes y CEOs de cualquier PYME, independientemente de sus características y madurez en el ámbito de la ciberseguridad.

El motivo del taller no es otro que ayudar a los responsables y altos cargos de dichas empresas a concienciarse y sensibilizarse sobre un tipo de fraude conocido como “Fraude del CEO o Whaling”.  Se trata de ataques basados en el phishing dirigido especialmente a altos directivos, donde se sirven de la información personal que sus víctimas publican en Internet, redes sociales o del rastro que dejan al navegar.

La exposición de información profesional o personal de los directivos en Internet puede llevar a los delincuentes a reconstruir el perfil de personas, y a aumentar sus probabilidades de éxito a la hora de perpetrar ataques contra las empresas.

Durante el taller contamos con la participación de la Secretaría General de Industria y Pyme, EOI, INCIBE y de la Policía Nacional, así como los expertos de SCASSI. Cada uno intervino y aportó información muy útil a las empresas sobre los diferentes programas y recursos disponibles, así como ejemplos y casos prácticos relacionados con nuestra información personal y cómo acceder a ella:

1. Huella digital: todos los usuarios, cuando navegamos por la Red, accedemos a alguna web, realizamos compras online o comentamos y participamos en redes sociales dejamos un rastro de información. Este rastro es conocido como huella digital y se compone de todas estas interacciones.

   Durante la sesión, se describieron dos conceptos muy relacionados:

   • Identidad digital: comprende, precisamente, toda la información que compartimos y que existe sobre nosotros en Internet. Fotografías, publicaciones en redes, webs, noticias o información oficial, incluso. Además, también se compone de cómo nos ven otros, pues se nutre de las opiniones y datos que otros aportan sobre nosotros.

   • Reputación online: es el prestigio o estima sobre una marca, empresa o personalidad pública en Internet. Al igual que ocurre con nuestra identidad digital, no está enteramente bajo nuestro control, ya que las opiniones de los usuarios de la Red pueden contribuir a fabricarla a partir de sus comentarios y opiniones.

2. OSINT: este rastro que dejamos puede ser utilizado por los atacantes para obtener información personal de sus víctimas, como su correo electrónico, número de teléfono, nombres y apellidos, así como información sobre su entorno laboral, contactos, posición. Durante el taller pudimos ver el modus operandi que un ciberdelincuente cualquiera podría utilizar para suplantar la identidad de un directivo, sin necesidad de recurrir a herramientas muy sofisticadas.

   Con toda esta información, el atacante sería capaz de elaborar un correo electrónico lo suficientemente realista como para engañar, por ejemplo, al departamento de contabilidad y conseguir que hiciesen, en nombre del directivo en cuestión, una transferencia a un número de cuenta desconocido.

3. Egosurfing: esta práctica tiene como objetivo hacer uso de técnicas similares a las del atacante para buscar información sobre nosotros mismos. Al hacerlo, podremos descubrir datos que no sabíamos que estaban publicados en la red y que pueden vulnerar nuestra privacidad.

   Durante la sesión utilizamos la web Haveibeenpwned para comprobar si nuestro correo electrónico o número de teléfono podría haber estado vinculado a una fuga de datos. Si esto fuese así, nuestra identidad podría correr peligro, y nuestra empresa ser susceptible de un fraude del CEO o Whaling.

Tras la parte práctica, se dedicaron unos minutos a compartir con los participantes una serie de buenas prácticas con las que prevenir y protegerse de este tipo de ataques y fraudes. Algunas de estas buenas prácticas se referían a:

• Configurar la privacidad de nuestras redes sociales para evitar tener abierto al público nuestros datos personales, publicaciones y comentarios.
• Eliminar los datos de navegación una vez hemos terminado, especialmente en dispositivos ajenos.
• Hacer uso del modo incógnito, ya que no almacenará información a medida que naveguemos.
• Hacer uso de extensiones en nuestros navegadores que nos ayuden a proteger aún más la privacidad, como extensiones bloqueadoras de anuncios, inhibidores de código malicioso o para prohibir cookies no imprescindibles.
• Evitar el uso de redes wifi públicas y priorizar la conexión móvil.
• No iniciar sesión en dispositivos ajenos.
• Separar lo corporativo del personal, evitando utilizar nuestro dispositivo personal para el trabajo y viceversa.
• Ampliar estas prácticas a nuestro entorno social y laboral, ya que ellos podrían terminar siendo las víctimas de nuestra suplantación de identidad.

Además, tal como nos compartió Casimiro Nevado en su intervención como Inspector de la Policía Nacional, es fundamental que denunciemos estos delitos de manera que puedan judicializarse, por una parte, y servir de inteligencia para seguir luchando contra ellos, por otra. El 10% de los delitos denunciados son de carácter cibernético, pero solo si denunciamos ayudaremos a tomar consciencia y a ganar la guerra contra los ciberdelincuentes.

Los últimos treinta minutos del taller se invirtieron en resolver las dudas de los participantes, así como a compartir experiencias relacionados con el taller.

Finalmente, queremos aprovechar para recalcar el éxito que tuvieron ambas convocatorias, con un 75% de conexiones por parte de las empresas invitadas que pudieron recibir de primera mano consejos y recomendaciones de la mano de nuestros expertos y que tuvieron la amabilidad de enriquecer las sesiones con sus experiencias y dudas.

Más información del taller