La última línea de defensa en un ciberataque es la persona. Si la sagacidad es la principal arma del delincuente digital, la desconfianza y la prudencia son las que deben presidir la cadena de reportes internos que una organización ha de establecer en su política de ciber seguridad. Ante las consecuencias civiles y penales que se derivan de esta tipología de riesgos, ambos valores se erigen como dos activos innegociables de la cultura corporativa que, además, tienen la obligación de entrenarse constantemente.
Y nada mejor para convencerse que vivir en primera persona una suplantación de identidad en una reunión con inversores. En el Webinar del Campus IA+Igual “Cómo crear cultura de seguridad para tus empleados”, organizado con la colaboración de 2Cilindros, el reputado hacker Antonio Ramos ha compartido pantalla con los asistentes para visualizar en directo las armas de manipulación que utilizan los delincuentes para apropiarse de la identidad de cualquier persona parametrizando sus rasgos faciales y su voz.
Basta con tener una intensa huella de personal branding en internet para ser susceptible de ser clonado en cualquier parte del mundo, para cualquier objetivo y sin ser conscientes de ello. Otro hablará en nuestro nombre, con nuestra cara y nuestros gestos habituales, pero no seremos nosotros.
Los mecanismos psicológicos de los ciberdelincuentes son tremendamente hábiles sacando partido de supuestas fortalezas corporativas que en realidad dejan la puerta abierta a que se expresen debilidades humanas como la obedicencia ciega, el exceso de confianza o la sensación de urgencia. Por ello, cualquier programa de ciberseguridad ha de entrenar a los empleados para identificar en un correo, en una conversación o en una comunicación del tipo que sea, estos mensajes ocultos que delatan una potencial situación de riesgo.
¿Qué elementos del aprendizaje hay que reforzar para crear cultura de ciberseguridad?
Ulises Bermejo, director creativo de 2Cilindros, explicó las herramientas narrativas más eficaces para convertir la perspicacia y la desconfianza en hábitos ágiles en el desempeño cotidiano:
- Situaciones hiper realistas con un storytelling que sitúa al empleado en el centro del riesgo.
- En formato “True Crime” para darle un rol ambivalente: hacerle sentir el poder del delincuente y la debilidad de la víctima.
- Con personajes trabajados al detalle, con profundidad psicológica, tono creíble y con el lenguaje verbal y no verbal como elemento comunicador principal.
La simulación vivida en la sesión se llama meet phishing y es un tipo de ciber ataque hiper sofisticado que convive con otros menos complejos pero igual de dañinos para las empresas y los ciudadanos y muy efectivos para los hackers:
- Phishing tradicional: el más habitual y no por ello ya conocido y menos dañino ya que cada vez más adquiere mayores niveles de sofisticación.
- Técnica: uso de correos o mensajes digitales donde se alude a servicios conocidos y/o consumidos por todos.conseguir credenciales de acceso a los datos de los usuarios.
- Spear phishing: o fraude del CEO, es una técnica más dirigida que el phishing habitual.
- Técnica: hacerse pasar por un superior y dirigirse a un responsable de área para solicitarle información sensible de la compañía bajo una justificación creíble. Una vez la consigue, comienza su campaña de fraude.
- Smishing o fraude por sms: los destinatarios de SMS abren el 98% de los mensajes de texto que reciben, mientras que los destinatarios de correo electrónico solo abren el 20% de sus mensajes.
- Técnica: El smishing es un tipo de fraude en las telecomunicaciones en el que los ciberdelincuentes utilizan mensajes de texto para engañar a las víctimas y hacerles hacer clic en un enlace. Los estafadores suelen utilizar tácticas para asustar y presionar para que el destinatario haga clic rápidamente en el enlace, antes de que tenga tiempo de pensar si es auténtico o no. Ese enlace puede instalar malware en el teléfono de la persona o dirigir a la víctima a un sitio web falso en el que introduce sus datos personales, creyendo que el sitio es auténtico.
- Vishing o fraude telefónico: al igual que el phishing y el smishing, persigue obtener datos personales de la compañía, clientes o de los usuarios; pero en este caso el fraude se comete a través de una llamada telefónica, engañando a la víctima mediante la suplantación de la identidad de un tercero de confianza. En ocasiones harán llamadas aleatorias a usuarios suplantando cualquier servicio, como el caso del falso técnico informático que llama para solucionar un supuesto problema con el equipo.
- Técnica: convencer al usuario de que es necesaria la instalación de un programa de acceso remoto para hacerse con el control de su ordenador y acceder a su información. Una modalidad cada vez más frecuente es la suplantación de identidad de operadoras de telefonía móvil.
- QRishing: otra modalidad de fraude digital que se lleva a cabo a través de un código QR.
- Técnica: que el usuario escanee el código para acceder a sus datos personales, claves de acceso, etc.
Y solo faltaba la llegada de la inteligencia artificial para que el mundo del ciberataque se amplíe exponencialmente a través no sólo de suplantaciones de identidad hiper realistas, sino también a través de malware, programas espía, contenidos feak, etc.