Corazones rotos ¿y empresas en riesgo?

¿Te has preguntado cómo una historia de amor que parece surgir de las redes sociales podría convertirse en una amenaza significativa para la seguridad de tu empresa y el bienestar de tus empleados?

Cliché o no, hoy es 14 de febrero, ¡el día del amor!, y se aprovecha de mil maneras para relajar un poco a tus colaboradores, y también, lamentablemente, para sacar provecho de aquellos que no están preparados para protegerse de las estafas. 

Las estafas amorosas en línea han alcanzado cifras récord. Solo en los Estados Unidos, la Comisión Federal de Comercio reporta que, en 2022, cerca de 70,000 ciudadanos fueron víctimas de estafas románticas, con pérdidas que superan los 1,300 millones de dólares. Las investigaciones sugieren que los individuos de entre 51 y 60 años son los más propensos a caer en estas actividades criminales. Y sí, las repercusiones van más allá de lo personal, afectando también a las organizaciones donde trabajan estas víctimas.

Por otra parte, el FBI ha emitido advertencias sobre el uso de bots e inteligencia artificial por parte de estafadores para crear perfiles falsos en plataformas de citas. Estas tácticas avanzadas dificultan la identificación de fraudes, incrementando el riesgo de que individuos sean engañados y sufran pérdidas financieras significativas. El FBI enfatiza la importancia de la precaución al interactuar con desconocidos en internet, lo cual no es exclusivo del día del amor, sino que debería ser una práctica común.

Pero, ¿cómo puede esto afectar a tu empresa?

Imagínate que tu empresa es como una gran fiesta de San Valentín, llena de globos, corazones y mucho entusiasmo. Todos están disfrutando, intercambiando tarjetas y chocolates, cuando, en medio de la celebración, llega un personaje carismático disfrazado de Cupido. Este Cupido moderno no trae un arco y flechas tradicionales; en su lugar, porta ‘encantos digitales’ y promesas de amor a través de mensajes y correos electrónicos. A primera vista, parece inofensivo, incluso divertido, y rápidamente se gana la simpatía y confianza de las personas.

Pero aquí está el giro: este Cupido es en realidad un estafador romántico, y sus flechas están envenenadas con malas intenciones. En lugar de unir almas gemelas, busca abrir brechas en la seguridad de tu «fiesta» (tu empresa), apuntando a los corazones solitarios o incluso a los más escépticos, con el objetivo final de acceder a información confidencial o financiera.

A medida que este falso Cupido se mueve por la fiesta, va dejando un rastro de vulnerabilidades a su paso. Tal vez convence a alguien para que «abra la puerta trasera» (piensa en esto como compartir credenciales de acceso) para tener un encuentro más íntimo. O quizás, bajo la promesa de un amor eterno, logra que una persona revele secretos de tu organización que deberían haber permanecido bajo llave.

La reflexión aquí es simple pero decisiva: en nuestras empresas, donde la línea entre lo personal y lo profesional a menudo se difumina, un estafador romántico puede ser tan peligroso como cualquier cibercriminal con malas intenciones. La moraleja de esta historia de San Valentín no es dejar de creer en el amor, sino recordar que en la fiesta de tu empresa, es vital mantener los ojos abiertos y preguntarse si quien está detrás del disfraz de Cupido realmente viene con buenas intenciones o si busca aprovecharse de la alegría y la buena voluntad para infiltrarse y causar estragos.

¿Cómo prevenir?

Para combatir las estafas románticas con impacto en tu empresa, es fundamental adoptar un enfoque proactivo y consciente. Primero, la educación y concienciación sobre ciberseguridad entre los empleados son elementales; deben conocer las señales de alerta de estas estafas. Segundo, implementar políticas de seguridad estrictas que incluyan la verificación de solicitudes inusuales de información o transferencias de fondos. Tercero, promover una cultura de transparencia donde los empleados se sientan seguros al reportar incidentes sospechosos, sin temor a represalias. 

Estas prácticas ayudarán a crear un entorno empresarial más seguro y resiliente.

Recuerda, en el baile de la ciberseguridad, estar alerta y educados es nuestro mejor paso de baile contra los falsos Cupidos. Te invitamos a mantener la guardia alta y a educar a tus equipos en esta danza de precaución y prevención. Así promoverás que tu fiesta siga siendo segura, divertida y libre de impostores.

Provehito in Altum
Por Juan Pablo Carsi

¿Estás seguro de que tu empresa va más allá del mero cumplimiento y realmente protege sus activos más valiosos contra las sofisticadas ciberamenazas actuales? 

La seguridad debe trascender la conformidad regulatoria para salvaguardar el futuro de tu organización en el dinámico entorno financiero mexicano.

Recientemente tuvimos la oportunidad de apoyar a una pequeña fintech, la cual sufrió un incidente y, por requerimiento de la autoridad, debía presentar ciertas evidencias que demostraran su actuación de acuerdo con las normativas.

Después de analizar los elementos facilitados, detectamos un sinfín de áreas de oportunidad. Sin embargo, más allá de bitácoras y controles, nos inquietó especialmente la tendencia a minimizar el caso y la escasa cultura de seguridad en la alta dirección, que incluso cuestionaba la existencia de ciberataques dirigidos a organizaciones nacionales, algo que consideraban casi ficticio. Lamentablemente, esta situación es algo que nos encontramos repetidamente.

Hace unos días, el equipo de ciber inteligencia de BlackBerry identificó una campaña de spear-phishing dirigida a instituciones financieras mexicanas que implementa una versión modificada del troyano de acceso remoto de código abierto AllaKore RAT. Este malware es obra de un actor de amenazas latinoamericano que busca cometer fraude financiero. Emplea tácticas de engaño con enlaces a documentos legítimos durante la instalación. El malware puede registrar teclas, controlar remotamente los equipos infectados y está adaptado específicamente para robar credenciales bancarias y realizar fraudes en bancos mexicanos y plataformas de comercio de criptodivisas. Este artefacto es solo un ejemplo del vasto arsenal latinoamericano que podemos encontrar para atacar organizaciones locales.

Piensa en un RAT (Troyano de Acceso Remoto) como un dron avanzado, operado en secreto por un competidor, que ha encontrado una ventana abierta para infiltrarse en tus oficinas centrales. Este dron no solo puede volar sigilosamente por todos los rincones recopilando información confidencial, sino que también tiene la capacidad de dejar pequeños dispositivos espía o incluso abrir puertas para que entren otros intrusos. Evidentemente, enfrentarse a este dron requiere de tecnología antiespía de última generación y una vigilancia constante para detectar y cerrar las ventanas abiertas, asegurando que la integridad de tu espacio aéreo corporativo esté protegida.

¿Qué puedes hacer para proteger a tu organización de este tipo de espías? 

En nuestro ‘cielo corporativo’, los drones de amenazas se vuelven cada vez más sofisticados, buscando brechas en nuestras defensas. Así como sería impensable dejar ventanas abiertas ante drones espía, en el ‘cielo digital’, el reto es aún mayor.

¡Capacita, capacita y capacita! Tus colaboradores deben estar al día sobre las ciberamenazas, incluyendo cómo reconocer intentos de phishing, ya que estos son a menudo el primer paso para la instalación de RATs. Además, debes fortalecer la seguridad de tu red, habilitar soluciones de detección y respuesta ante intrusiones, asegurar todas las conexiones remotas y cifrar los datos en tránsito.

Y no menos importante, tu equipo debe gestionar de manera rigurosa los accesos y contraseñas.

Estas medidas básicas son un buen comienzo y no solo ayudan a prevenir la intrusión de RATs sino que también refuerzan la resiliencia general de tu infraestructura TI frente a diversas amenazas. Pero ahora, quisiera hablarte de lo más importante: el cumplimiento regulatorio es, sin duda, un pilar para las instituciones financieras, no solo como medida preventiva ante sanciones, sino como una expresión de compromiso con la integridad y la transparencia. Sin embargo, la protección de activos va más allá del cumplimiento: es una cuestión de supervivencia empresarial. No se trata solo de evitar penas, sino de proteger el núcleo mismo de tu operación y la confianza de tus clientes. Como líder, tu visión debe trascender la conformidad regulatoria para abrazar una cultura de seguridad proactiva y resiliente que anticipe y contrarreste las amenazas, asegurando así la continuidad y el crecimiento sostenible de tu negocio. Si así lo enfocas, el cumplimiento llegará por sí solo.

Provehito in Altum
Por Juan Pablo Carsi