Es claro que los ciberdelincuentes tienen a las empresas e instituciones en su mira y ven a quienes trabajan en ellas como un camino para acceder maliciosamente a información clave. Ellos saben que la curiosidad y el desconocimiento de las personas que trabajan en ellas, puede generar brechas que permitan su ingreso a través de malware, campañas de phishing o intentos provenientes de sitios web maliciosos.
No solo empresas son el objetivo de los hackers; también pueden ser gobiernos e instituciones públicas o, incluso, usuarios domésticos. Por ejemplo, en mayo de este año, Costa Rica fue víctima de un severo ciberataque contra su Ministerio de Hacienda, el cual también afectó a aduanas, impuestos y diferentes sistemas financieros.
Todo indica que detrás de esos ataques estuvo la banda Conti Ransomware, que se dedica a extraer datos sensibles de agencias gubernamentales y atentar contra plataformas públicas, mediante el uso de phishing y la instalación de softwares maliciosos que secuestran archivos e información sensible. De acuerdo a los expertos, esta banda pronto debiera intentar atacar instituciones de Chile.
Para evitar situaciones como la descrita, las empresas y entidades deben definir caminos de acción para concientizar sobre los peligros digitales y generar una cultura de ciberseguridad. En la actualidad existen organizaciones expertas que pueden ayudarlas a preparar a sus empleados.
Una de las especialistas es Arkavia Networks, que cuenta con un plan de concientización de empleados en que intervienen las áreas de Recursos Humanos y de ciberseguridad o TI.
David Alfaro, Gerente General de Arkavia Networks, explicó de qué forma capacitan a los empleados en ciberseguridad: “Mediante técnicas de ingeniería social ponemos a prueba a los colaboradores con la finalidad de detectar brechas y generar campañas educativas que refuercen su entorno de ciberseguridad. Para ello se llevan a cabo acciones internas que simulan ataques reales para sensibilizar y concientizar a los colaboradores y así aprender a reconocer intentos de vulneraciones y evitarlas”.
Una manera de hacerlo es mediante correos electrónicos que parezcan oficiales y simulen una situación real. Para eso los expertos de Arkavia preparan situaciones que parecen reales como uso de dominios similares a dominios corporativos, logos, banners, formatos y temáticas, para consumar el engaño.
Alfaro explica que todos los integrantes de la empresa o institución son incorporados en estos ejercicios, pero se les aborda de diferente manera de acuerdo a su cargo o características propias.
Por ejemplo, para el perfil de Directores, Gerentes y altos ejecutivos, se prepara un phishing (email fraudulento) con descuentos para tickets de centros de esquí en el que se adjuntan cupones. A otros empleados podría enviárseles información ficticia relacionada con beneficios del departamento de Recursos Humanos, invitaciones a conciertos, etc.
El servicio que ofrece Arkavia Networks incluye informes de usuarios, comportamientos, tendencias y recomendaciones para mejorar. Además, para los clientes que lo requieran, existen cursos en línea con seguimiento de cumplimiento de sus colaboradores y re-test para evidenciar su progreso.
