Videos deepfakes, entre las técnicas más usadas.
Información aparentemente inofensiva que el personal de una empresa pública en redes sociales, como cargos o ascensos, periodos vacacionales, contactos e incluso participaciones en podcast o programas de radio, facilita a los ciberdelincuentes la ejecución de delitos como el “doxing” corporativo.
En febrero de este año Kaspersky detectó mil 646 ataques de este tipo, lo que evidencia la vulnerabilidad de las organizaciones cuando se trata de explotar la información disponible públicamente. Por lo general, el objetivo de estos ataques es extraer información confidencial, como bases de datos de clientes o robar fondos.
Mediante esta práctica, los ciberdelincuentes recopilan información confidencial sobre una organización y sus empleados para perjudicarlos u obtener diversos beneficios, lo que conlleva pérdidas económicas y reputacionales significativas para la empresa.
Una de las formas usadas para el doxing es a través del correo electrónico empresarial (Business Email Compromise, BEC). En este tipo de ataques los delincuentes inician cadenas con los empleados, haciéndose pasar por alguien de la empresa para solicitar, por ejemplo, un reemplazo de los datos bancarios en la nómina.
Otra de las estrategias es el robo de identidad, mediante la que los doxers se basan en la información para hacer el perfil de un empleado concreto y luego explotar su identidad. Nuevas tecnologías como los deepfakes facilitan la ejecución de este tipo de ataques, siempre que haya datos públicos para empezar.
Por ejemplo, pueden aprovechar un video deepfake manipulado con técnicas de Inteligencia Artificial (IA) que haga creer que un empleado podría dañar la reputación de la empresa en la que trabaja. Los doxers sólo necesitan una imagen del empleado objetivo e información personal básica para crearlo.
Incluso, se puede usar la voz de un ejecutivo de alto nivel que haya participado en algún programa de radio o en algún podcast, imitarla y hacer una llamada al departamento de contabilidad solicitando una transferencia bancaria urgente o pidiendo que le envíen la base de datos de clientes.
“Estos ataques no serían posibles a escala masiva sin que los delincuentes recopilaran y analizaran la información pública disponible en redes sociales”; sin embargo, Roman Dedenok, investigador de seguridad en Kaspersky, explicó que este es un ataque que no impacta sólo a los usuarios de redes sociales.
“Es una amenaza real para los datos confidenciales de las organizaciones y no debe pasarse por alto. El doxing de las organizaciones, al igual que el de las personas, puede dar lugar a pérdidas financieras y de reputación, mientras más sensible sea la información confidencial extraída mayor será el daño”.
Pero también podría evitarse o al menos minimizarse con procedimientos de seguridad, como no hablar nunca de asuntos relacionados con el trabajo en aplicaciones de mensajería que no sean los oficiales de la empresa, así como capacitar a los empleados para que esto se cumpla estrictamente.
Informar y concientizar a los empleados sobre los problemas de ciberseguridad es otra manera efectiva de contrarrestar ese tipo de técnicas de ingeniería social. Es decir, a través de educación sobre las ciberamenazas básicas; tecnologías antispam y antiphishing son igualmente efectivas para minimizar el riesgo de un ataque a una organización.
C$T-EVP
