Ingeniería social para IT

Fraude al CEO desde fuera de la organización

¡Prueba gratis durante 10 días

nuestros 1198 cursos !

Prueba gratis Mostrar modalidades de suscripción
El fraude al CEO es uno de los múltiples nombres que se da a la técnica de simular ser un mando intermedio o una persona de responsabilidad superior en una organización provocando la bajada de guardia en las defensas del sujeto atacado.

Transcripción

Hablamos de normas, de reglamentos, de procedimientos, de normalización de procesos para evitar errores y para minimizar la influencia de ataques de ingeniería social. Pero siempre hay alguien que puede –aunque no debe– saltarse las normas porque son sus normas: el jefe. Si el phishing era el fraude de identidad mediante correo electrónico, el spear-phishing era la versión del anterior, pero enfocado específicamente a una persona o empresa. El fraude al CEO es un típico específico de spear-phishing en el que la víctima buscada es un ejecutivo de alto rango, alguien con poder dentro de la empresa a la que se ataca. El fraude al CEO es conocido en inglés como "whale-phishing" o "whaling", que podríamos traducir como pesca de ballenas. Las ballenas son obviamente esos grandes ejecutivos. Los nombres y datos de contacto de altos ejecutivos de empresas son fáciles de obtener, muchas veces los publica la propia empresa para la que trabajan, aunque también es algo que hace público el propio ejecutivo. Conociendo a la persona, su cargo, su departamento y el alcance de sus responsabilidades, el ingeniero social tiene información de sobra para construir un pretexto óptimo que capte la atención de su víctima, sin necesidad de recurrir a cuestiones no profesionales, que por un lado pueden llegar a resultar más sospechosas y por otro, aunque fuesen útiles contra la persona, podrían no serlo contra la empresa para la que trabaja, que es el objetivo más habitual. Hay dos factores pragmáticos que hacen especialmente interesantes este tipo de objetivos para los atacantes. El primero de ellos, no es otro que la edad y el perfil de los mismos. Normalmente –y hablo solo de estadística– los altos ejecutivos no son ni jóvenes acostumbrados a la vida digital ni técnicos con experiencia en seguridad informática a sus espaldas. El segundo punto de interés es el poder. Los altos ejecutivos son gente con poder de decisión, con capacidad para gestionar cuentas bancarias para dar órdenes a subalternos o para poder contactar con el mismo presidente de una compañía. Combinando este poder con un estadísticamente bajo nivel de conocimientos informáticos, el ciberdelincuente obtiene una víctima muy valiosa. Aunque en español lo llamamos 'fraude al CEO', en el caso de las grandes compañías no son ellos las principales víctimas, sino uno o dos niveles por debajo de su posición en la escala jerárquica. Al tratarse de mandos intermedios, pueden trasmitir peticiones falsas a sus jefes y órdenes de consecuencias –solo beneficiosas para el atacante– a sus subalternos. Otra gran ventaja de atacar a altos ejecutivos es que su nivel de acceso a información es muy amplio, por lo que un atacante podría conseguir una fuga de datos mayor que atacando a un trabajador de rango inferior, el cual probablemente no tenga acceso a la información más allá de lo que concierne a su departamento. Lo más tradicional del fraude al CEO es emplear spear-phising para atacar al objetivo y conseguir instalar malware en su computadora, para cualquier propósito que tenga el ciberdelincuente. Normalmente, el atacante se dedica a robar información o convierte la computadora en un zombi desde el que poder robar credenciales a su propietario y manipular a otros trabajadores de la empresa, por ejemplo, enviando y e-mails en su nombre con ordenes de contratación o despido, transferencias bancarias, etcétera. Como decíamos al principio, en una estructura jerárquica, el que está más alto puede ordenar a un subalterno saltarse algún procedimiento porque las circunstancias lo exijan. Como, por ejemplo, la urgencia de un pago, la inminencia de un plazo que cumplir o incluso un supuesto problema de seguridad. Si un empleado recibe una orden de un jefe con un pretexto de este tipo, aunque se salga un poco del procedimiento, normalmente la cumplirá. Por eso es tan peligroso que un ejecutivo sufra uno de estos ataques, porque puede ser suplantado sin darse cuenta. La mejor opción para prevenir las consecuencias de estos ataques es la normalización de procedimientos, es decir, que no se pueda actuar contra las normas aunque lo indique un jefe, y si ha de ser así, que sea siguiendo la cadena de mando habitual, para que quien ejerce una acción haya recibido la orden de su inmediato superior, a quien conoce en persona y cuyas costumbres, voz y formas de expresarse le son conocidas. El punto de la cadena de mando es importante, ya que el ingeniero social que esté suplantando la identidad de un ejecutivo evitara dar órdenes en su nombre a quienes trabajan a diario con él. En su lugar, abordará a trabajadores de otros departamentos o que estén varios escalones por debajo en la jerarquía, de forma que les resulte difícil verificar la información del ejecutivo. Además de esa dificultad, el empleado que reciba la orden se verá en la situación de poder ayudar a un jefe de alto nivel, que tiene un importante problema que resolver y se encontrará en situación de ganar puntos si le ayuda o de perderlos si defrauda a un jefe. Por esto, las jerarquías y los procedimientos ayudan a garantizar la seguridad, porque eliminan la posibilidad de sentirnos presionados por decisiones que no debemos tomar.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.