Es claro que los ciber delincuentes tienen a las empresas e instituciones en su mira y ven a quienes trabajan en ellas como un camino para acceder maliciosamente a información clave. Ellos saben que la curiosidad y el desconocimiento de las personas que trabajan en ellas puede generar brechas que permitan su ingreso a través de un malware, campañas de phishing o intentos provenientes de sitios web maliciosos.
No solo empresas son el objetivo de los hackers; también pueden ser gobiernos e instituciones públicas o, incluso, usuarios domésticos.
Durante el mes de mayo 2022, Costa Rica fue víctima de un severo ciberataque contra su Ministerio de Hacienda y que también afectó a aduanas, impuestos y diferentes sistemas financieros.
Todo indica que detrás de esos ataques estuvo la banda Conti Ransomware, que se dedica a extraer datos sensibles de agencias gubernamentales y atentar contra plataformas públicas, mediante el uso de phishing y la instalación de softwares maliciosos que secuestran archivos e información sensible. De acuerdo a los expertos, esta banda pronto debiera intentar atacar instituciones de nuestro país.
Para evitar situaciones como la descrita, las empresas y entidades deben definir caminos de acción para concientizar sobre los peligros digitales y generar una cultura de ciberseguridad. De ese modo pueden evitarse numerosas amenazas que pueden comprometer su continuidad operativa.
En la actualidad existen organizaciones expertas que pueden ayudarlas a preparar a sus empleados. Una de las especialistas es Arkavia Networks, que cuenta con un plan de concientización de empleados en que intervienen las áreas de Recursos Humanos y de ciberseguridad o TI.
Falsos ticket para centros de esquí y beneficios irreales de Recursos Humanos
“Mediante técnicas de ingeniería social ponemos a prueba a los colaboradores con la finalidad de detectar brechas y generar campañas educativas que refuercen su entorno de ciberseguridad. Para ello se llevan a cabo acciones internas que simulan ataques reales para sensibilizar y concientizar a los colaboradores y así aprender a reconocer intentos de vulneraciones y evitarlas”, explica David Alfaro, gerente general de Arkavia Networks.
Una manera de hacerlo es mediante correos electrónicos que parezcan oficiales y simulen una situación real. Para eso los expertos de Arkavia preparan situaciones que parecen reales como uso de dominios similares a dominios corporativos, logos, banners, formatos y temáticas, para consumar el engaño.
Alfaro explica que todos los integrantes de la empresa o institución son incorporados en estos ejercicios, pero se les aborda de diferente manera de acuerdo a su cargo o características propias. Señala que para el perfil de directores, gerentes y altos ejecutivos se prepara, por ejemplo, un phishing (email fraudulento) con descuentos para tickets de centros de esquí en el que se adjuntan cupones. Cuenta que, por ejemplo, a otros empleados podría enviárseles información ficticia relacionada con beneficios del departamento de RR.HH., invitaciones a conciertos, etc.
Señala que alrededor del 50% de los colaboradores “caen” en las simulaciones que realizan los equipos de expertos y que esa información se utiliza para diseñar la estrategia interna de educación y concientización en ciberseguridad.
El servicio incluye informes de usuarios, comportamientos, tendencias y recomendaciones para mejorar. Además, para los clientes que lo requieran, los cursos en línea con seguimiento de cumplimiento de sus colaboradores y re-test para evidenciar su progreso.