Typewritter
Volver al blog

Exposición de directivos a amenazas. El valor de la CiberInteligencia

Me llamo Juan y soy CSO de una compañía española de infraestructuras con fuerte presencia internacional. Jaime es mi amigo desde hace tiempo y responsable de nuestra unidad territorial de negocio que tiene la oficina de cabecera en Sao Paulo. Me llama francamente angustiado porque le acaban de contactar y él se imagina que serán, casi seguro, personas contratadas por la competencia. En la llamada le dicen que “quieren hablar de negocios” y cuando ya se estaban despidiendo de él le dan recuerdos también para una amiga brasileña con la que Jaime me cuenta que se lleva viendo un tiempo. De su amiga le dijeron además que “sale muy bonita en las fotos” y en lo referido a los negocios, cuando él les preguntó si podían concretar de qué se trataba, le adelantaron que “necesitamos hablar con usted y ver de qué forma colaboramos y nos comparte unos datos que necesitamos sobre las ofertas que se van a presentar para el concurso de autovía interurbana federal”. Jaime me pide ayuda y dice que de esta situación le va a ser difícil salir: cuando empezó a trabajar en la oficina de Sao Paulo su familia quedó en España porque estaba en un proceso de separación matrimonial y por eso me cuenta que “lo que me insinúan con lo de las fotos de mi amiga en Sao Paulo me llega en el peor momento”. Por lo que respecta a la petición que le hacen para “compartir datos”, me dice que “ya sabemos lo que eso significa Juan; un chantaje en toda regla. Parece que han ido a elegir el momento justo. Es como si supieran todo de mi vida, …”. Mi opinión como CSO es clara: uno de nuestros competidores en Brasil trata de chantajear a Jaime para que les de información sobre las ofertas que estamos preparando en ese mercado; estos competidores han llegado a conocer con bastante detalle suficientes datos de Jaime como para poder estar ahora presionándole.

El relato anterior es un ejemplo sobre cómo actores hostiles a una compañía pueden explotar y sacar beneficio de posibles vulnerabilidades o de informaciones de acceso abierto relativas a directivos o en general a miembros de la plantilla de dicha compañía.

Como principio básico debemos asumir que el nivel de seguridad del conjunto de una organización viene marcado por el nivel de seguridad que aporta a la misma su componente más expuesto o más vulnerable.

Por otro lado, las organizaciones, incluso aquellas de estructura más “plana” o matricial, cuentan con un esquema compartimentado y escalonado de acceso a la información en el que a medida que se ascienden puestos en el organigrama corporativo, dicho acceso a la información se hace más profundo, pero también más transversal y menos separado entre sus diferentes departamentos. La actividad corporativa diaria obliga a que desde un determinado nivel directivo sea preciso conocer bien y en su conjunto a la organización para alinear mejor la gestión departamental con la estrategia general de la compañía. A partir de un determinado nivel de gestión comienza también el punto en el que el personal directivo se encuadra en la estructura de “la toma de decisiones”. Este grupo de directivos de una compañía es el que se puede denominar como su “personal crítico”.

También es personal crítico el que por la especificidad de las funciones que lleva a cabo (administrativos de alta dirección, custodios de “know how” y patentes, etc.), o bien por la autonomía de la que goza en su puesto de trabajo (expatriados responsables de proyectos, jefes de oficina país/delegación, etc.) tienen un elevado conocimiento y un acceso reconocido a datos (financieros, comerciales, técnicos, …) muy sensibles de la organización.

Dependiendo de su organigrama, estructura, funcionamiento, códigos internos, cultura corporativa y otros factores, puede decirse que cada compañía cuenta con su propio mapa de personal crítico, …, o debería de contar con él. A este personal se le debe prestar una atención especial, apoyándole para que cuide su nivel de exposición digital porque esta es frecuentemente la vía por la que acaban materializándose muchas de las amenazas que impactan contra las organizaciones. Es muy aconsejable, por tanto, que todas las organizaciones cuenten con un esquema específico de protección de este personal, especialmente en lo que se refiere a prevenir y neutralizar acciones externas hostiles dirigidas a extraer información estratégica y de alto valor para el negocio.

Lo habitual es que este tipo de acciones sean patrocinadas por competidores directos o estructurales y en este caso la amenaza latente contra el personal crítico es de carácter permanente, por lo que una adecuada concienciación al respecto por parte de este personal crítico resulta ser esencial. Este aspecto es importante porque en la mayor parte de los casos el directivo perteneciente al grupo de personal crítico de la compañía que se convierte en objetivo para el agresor va a ser atacado sin que sea consciente de ello, ni de su importancia como depositario de una información que dicho atacante desea obtener. En el comportamiento del directivo atacado en estos casos no hay mala fe ni intencionalidad de proporcionar información a alguien externo de la organización y tampoco de facilitar un acceso a la misma. No se trata de un empleado desleal, cuyo caso habría que estudiar bajo la óptica del Insider Threat, sino que hay carencia de una adecuada concienciación (Awareness), para protegerse y para evitar el exceso de exposición digital de sus datos personales y profesionales, usados por el atacante para abordarle.

Las acciones hostiles contra personal crítico también se diseñan de forma puntual, o coyuntural, para obtener información y datos que son muy valiosos en momentos determinados como puede ser la participación en un mismo concurso, licitación o proyecto por parte de varias empresas rivales. Debe prestarse atención a todos esos rivales, incluso en el caso de que con alguno de ellos existan, hayan existido o puedan llegar a existir en el futuro, alianzas o relaciones de colaboración en otros escenarios o mercados. Estos “competisocios” son rivales coyunturales y la mayor o menor afinidad que pueda haber con ellos puede convertirse, paradójicamente, en la vía por la que vaya a ser abordado, aprovechando este factor de oportunidad, nuestro personal crítico. Además, hay tener en consideración aquellas ocasiones en las que el agente agresor cuenta incluso con apoyos y capacidades públicas del estado que abandera al patrocinador de la acción hostil.

Lo expuesto hasta ahora aplica especialmente para aquellas organizaciones que ya han dado el paso de internacionalizar sus actividades. La competencia en los mercados internacionales es más intensa y muchas veces los métodos a los que se recurre en estos mercados para ganar competitividad son más agresivos.

Aunque, como ha quedado señalado hasta ahora, en muchas ocasiones el ataque va a estar patrocinado directa o indirectamente por competidores de la organización atacada, tampoco debe descartarse la motivación económica como causa de la agresión porque la información estratégica y sensible de una compañía tiene siempre un valor elevado y su venta es relativamente sencilla.

La digitalización ha “acercado” a agresores y agredidos al hacer muy accesibles estas acciones patrocinadas, de un coste reducido y en las que se puede utilizar una amplia variedad de vectores virtuales (digitales) de ataque para obtener unos resultados materiales y reales como es el robo o la extracción de información.

Si bien la visión tradicional de la ciberseguridad se ha centrado en los activos digitales (sistemas informáticos, redes, dispositivos) y en sortear o detener fenómenos como el software malicioso de tipo “ransomware” o las fugas de información como contraseñas, correos electrónicos, claves de administrador y otros, la elevada exposición digital en redes sociales, aplicaciones de mensajería o medios de comunicación del personal de una organización, y muy especialmente de su personal crítico, deben ser también puntos a los que prestar la adecuada atención.

Para securizar la Transformación Digital se ha de incluir el factor humano, ya que este, en especial el personal crítico que toma las decisiones y tiene acceso a información estratégica y sensible, es uno de los activos más valiosos con los que cuenta la organización. Vinculado con todo este escenario, y con una mayor o menor participación en el mismo de medios de comunicación y de Redes Sociales, hay que tener en cuenta la derivada reputacional y el consiguiente impacto negativo de la misma para el negocio.

Utilizando tácticas, técnicas y procedimientos de ciberinteligencia, que en muchas ocasiones van a replicar de una manera especializada la preparación del ataque que lleva a cabo un potencial agresor, pueden anticiparse defensas avanzadas ante acciones hostiles de este contra el personal crítico de una compañía. Para abordar un directivo crítico de la organización, los atacantes podrán emplear tanto herramientas digitales, más o menos sofisticadas, como otras más sencillas del tipo fuentes abiertas o bases de datos restringidas. El vector de ataque también podrá ser digital o directo, con apoyo de actores, reales o ficticios, que propicien el acercamiento deseado al objetivo seleccionado.

Los especialistas en ciberinteligencia “se ponen en la mente” del que va a atacar para entender así los escenarios probables del ataque que el agresor contempla, conocer qué quiere conseguir con su acción y para quién actúa o quién le patrocina, además de saber qué datos e informaciones ha manejado para poder llegar hasta la selección de un determinado directivo objeto de su ataque.

Las organizaciones por tanto pueden articular mecanismos eficaces de defensa de su personal, en especial de aquel más importante para su negocio, en base a tres líneas de acción que se refuerzan entre sí: 1ª elaboración de un listado o “Mapa de personal crítico” de la organización al que dotar con especial protección, 2ª llevar a cabo programas y actividades de Concienciación para dicho personal y 3ª utilizar herramientas y especialistas de ciberinteligencia como medida proactiva eficaz en la detección anticipada y en el conocimiento de los riesgos y amenazas que pueden materializarse.

Hola, soy Antonio y trabajo como Director de Continuidad de Negocio en una compañía española de ingeniería y consultoría que ya cuenta con un volumen medio de negocio, cierta visibilidad internacional y proyectos de importancia y oportunidades en LATAM y MENA, además de España. Recientemente uno de estos proyectos en área MENA estuvo a punto de darnos un disgusto serio. El jefe de proyecto en zona, Fernando, nos informó de una generosa oferta de trabajo que había recibido desde una agencia internacional de “headhunters”. Aunque parezca paradójico, Fernando dio este paso porque hubo algo que no le acabó de encajar en la manera cómo se iba concretando la oferta cuando avanzaba la negociación. En su tercera entrevista con los “headhunters” (ese fue, de hecho, el momento en el que se decidió a llamarnos) y al pasar a hablar sobre su experiencia y trayectoria profesional, casi todas las preguntas de los entrevistadores se dirigieron al proyecto concreto del que Fernando es responsable y entraban en un nivel de detalle técnico con sus preguntas que no tenía relación alguna con lo que se supone tiene que ser un proceso de selección de directivos. Los “headhunters” le insistían en que las respuestas dadas a esas preguntas resultaban ser claves para asegurarle una futura contratación. Nuestra empresa inició una investigación y la profundizó externalizando parte de la misma: los “headhunters” no eran tales y estaban suplantando identidades. Aunque no de manera 100% concluyente como para poder hacer una atribución segura de los hechos, el estudio de trazabilidades que se llevó a cabo señaló también la existencia de muchas conexiones entre esos “headhunters” y una empresa de ingeniería con sede en un país asiático que es nuestra competidora directa en mercado MENA. A Fernando casi le engañan y nuestra empresa estuvo muy cerca de perder información y know how críticos que, muy posiblemente, habrían llegado a manos de nuestra competencia directa.

*PS: Los personajes y empresas que aparecen en los ejemplos de principio y fin de este artículo son, obviamente, ficticios. Las situaciones en las que se han visto inmersos y que aquí se han descrito en estos ejemplos son absolutamente reales.

Deja un comentario