Cinco consejos para proteger la ciberseguridad en la empresa

Francisco Bonatti, socio director de Bonatti Compliance, apunta cinco debilidades que deben protegerse a través del Compliance:

1. Ingeniería social: todavía hoy un número ingente de ataques informáticos se producen porque las empresas, empleados o directivos se dejan engañar y voluntariamente envían los datos, abren enlaces o ejecutan las acciones pretendidas por los cibercriminales. La ingeniería social es una actividad delictiva muy depurada, imprescindible, por ejemplo, para ejecutar la estafa del CEO y se debe combatir desde Compliance con sólidas acciones de formación y concienciación del personal, ayudándoles a que nunca ‘bajen la guardia’.
2. Debilidades internas: los delincuentes aprovechan en muchas ocasiones las propias debilidades, derivadas de usos inadecuados de los equipos por los empleados, que acaban infectados por error, negligencia o ignorancia; o bien, por comportamientos maliciosos de empleados desleales o insatisfechos. El análisis de riesgos y la implantación de protocolos y procedimientos de usos tecnológicos consistentes debe reforzarse con medidas para asegurar su eficaz aplicación por todos los empleados.
3. Uso de equipos personales y teletrabajo desde el hogar: una de las debilidades estrella de la pandemia procede del uso de equipos personales compartidos con el resto de la familia, que pueden desvirtuar todas las medidas de protección empresarial si los padres, hijos o pareja hacen un uso inadecuado del mismo equipo. El propio espacio familiar, como entorno de trabajo, puede ofrecer mucha información a ciberdelincuentes para diseñar ataques de ingeniería social, al igual que ocurre con la información que pueden obtener de las redes sociales (RRSS), una vez han identificado el hogar del empleado o directivo y al resto de su familia.
4. Phishing: en 2020 se ha multiplicado el volumen y la complejidad de los ataques de phishing para distribuir botnets y malware de todo tipo, robar credenciales o acceder a las cámaras y micrófonos de los equipos. Las técnicas se han sofisticado, aprovechando fenómenos coyunturales como el incremento del uso de los correos electrónicos durante la pandemia o saltándose los mecanismos de protección a través de nuevos canales de phishing como son el SMS (smishing) o el uso de PDF infectados que, inconscientemente, relacionamos con una actividad empresarial. Junto con las medidas de ciberseguridad más adecuadas, nuevamente Compliance debe aportar procesos y procedimientos de conducta adecuados y acciones de formación y concienciación dinámicas, que se adapten a un entorno de riesgo que cambia a gran velocidad.
5. Deepfakes: no puede faltar una de las grandes novedades que comienza a ofrecer usos ilícitos. Se trata de técnicas de edición de vídeo que sustituyen a una persona por otra mediante la inteligencia artificial alcanzando resultados altamente realistas, que ofrecen a los cibercriminales nuevos recursos para sofisticar sus procesos de hackeo social o quebrantar contraseñas biométricas.