Empresa

¿Qué son los VAP? El ‘email’ de los cargos intermedios, diana de los delincuentes

En los últimos años se han dado muchos casos de la llamada “estafa del CEO”, consistente en que un empleado recibe un correo urgente de su jefe pidiéndole que haga una transferencia a una cuenta bancaria en el extranjero, cuando en realidad ese correo lo ha enviado un impostor que quiere sacar tajada.

Sin embargo, ahora los cibercriminales no solo se las ingenian para suplantar a los cargos VIP de las empresas, a los CEO, directores generales o presidentes del consejo de administración, cuando plantean sus ataques, sino que empiezan a mirar más abajo en el escalafón. Los malos están poniendo en el punto de mira a los VAP o very attacked person.  

Spear phishing, el toque más personal a los ataques de phishing

Se trata de profesionales que están uno o varios peldaños por debajo en la jerarquía, pero que, por su puesto y responsabilidad, cuentan con ciertos accesos y privilegios. “Estos VAP no son necesariamente personas conocidas o monitorizadas de forma activa por los equipos de seguridad, por lo que los cibercriminales pueden tener mayor éxito en sus propósitos sin llamar la atención”, asegura Fernando Anaya, responsable en España de Proofpoint, proveedor especializado en protección del e-mail corporativo.

No hay un perfil definitivo de VAP y varía según la empresa y el sector. El requisito es, como decíamos, que tenga privilegios o buenos accesos dentro de la compañía. Hablamos, por ejemplo, del asistente del CEO, de un programador que maneja los códigos de acceso en remoto en un fabricante de automóviles o de alguien del equipo financiero que se encarga de hacer los pagos a proveedores.

“En general, los equipos de comunicación, de recursos humanos o de legal suelen disponer de información confidencial y sensible de la compañía, como resultados trimestrales u otros registros pertinentes sobre la plantilla, lo cual resulta de gran valor para los ciberdelincuentes. Asimismo, estos empleados se comunican de forma frecuente con personas externas a la empresa, lo que les convierte en objetivos fáciles de atacar”, explica Fernando Anaya.

Los peligros de la suplantación de identidad

Como también pasaba en “la estafa del CEO”, el ataque más habitual a un VAP tiene como destino el correo electrónico y suele traducirse en una suplantación de identidad. Una vez el delincuente es capaz de hacerse pasar por el empleado con privilegios, podrá hacer casi lo que le dé la gana: desde solicitar transferencias fraudulentas y obtener credenciales a robar datos confidenciales de la empresa. Con frecuencia, estos estafadores envían a otros empleados emails falsos categorizados como urgentes para acelerar el robo.  

Según datos del FBI, empresas de todo el mundo han registrado pérdidas por valor de más de 12.500 millones de dólares debido a que sus empleados han sido víctimas de mensajes de correo electrónico fraudulentos y han perdido sus credenciales e información de acceso personales, o bien han transferido dinero a los impostores.

Pero más allá de las implicaciones económicas, los ciberataques pueden acabar en daños de reputación y en despidos, como ocurrió recientemente en una cadena de cines en Francia, que echó a la calle a varios de sus directivos tras sufrir un ciberataque que costó a la compañía un total de 21 millones de dólares.

El número de amenazas dirigido a empresas por correo electrónico va en aumento. Según datos de Proofpoint entre el tercer y el último trimestre de 2018, estos ataques se multiplicaron por tres y el último año se han multiplicado casi por seis.  

Además, las cosas han cambiado mucho. Tradicionalmente, los equipos de seguridad de las empresas han hecho grandes inversiones para proteger sus servidores y sus redes, pero se han despreocupado del correo electrónico. Los delincuentes lo saben. Hoy con un par de clics de un empleado los delincuentes pueden saltarse miles y cientos de miles de euros de inversión en seguridad.

Atacar un servidor o sacar partido a una vulnerabilidad requiere mucho más esfuerzo e inversión que suplantar una identidad con una técnica de ingeniería social como el phishing, por ejemplo, donde literalmente se engaña al empleado.

El correo sigue estando desprotegido

Los malos explotan una paradoja. Y es que mientras que más de un 90% de los ataques dirigidos a las empresas comienzan en un email, las compañías apenas dedican ocho de cada 100 euros que gastan en seguridad para proteger su correo.

El descuido de la identidad en el correo es generalizado, Proofpoint mostraba recientemente un informe en el que aseguraba que el 70% de las compañías del Ibex35 están expuestas al fraude por correo y, en particular, a la suplantación de identidad. Para cerrar esta puerta, solo tres compañías del Ibex están bloqueando proactivamente los correos fraudulentos que falsifican su dominio. Por su exposición continua a ataques y por lo que se juega en términos de reputación, la banca es uno de los sectores que más protege el email de sus empleados.

En el sector público las cosas están aún peor. Según Proofpoint, ni uno solo de los 17 ministerios del Gobierno central está protegido para combatir la suplantación de identidad en el correo, y de las 17 comunidades autónomas, solo tres (Cataluña, Castilla-La Mancha y Canarias) han tomado cartas en el asunto, aunque de una forma básica.  

DMARC y otras recomendaciones

Como se ve, los VAP, esos profesionales de rango medio, pero con golosos accesos y privilegios dentro de las corporaciones, están muy expuestos en España. Los expertos recomiendan adoptar sistemas de verificación de emails como DMARC, un sistema creado en 2012 por Google, Yahoo y Microsoft, entre otros.

DMARC funciona como una especie de “control de pasaportes” en el ámbito de la seguridad del correo electrónico y garantiza una autenticación correcta de los remitentes, verificando que son quienes dicen ser gracias a estándares como DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework).

Además, conviene que las compañías conciencien a sus plantillas, que conforman el llamado eslabón débil de la seguridad, para que tomen medidas y sean cautelosas en sus comunicaciones y en el uso que dan a los equipos informáticos y a las aplicaciones. En todo caso, las empresas deben asumir que siempre habrá alguien dentro de su organización que haga clic en un enlace malicioso, por lo que deben elaborar una estrategia de ciberseguridad que responda con rapidez a la suplantación de identidad de sus VAP.

Imágenes | iStock.com/Juststock / Frankpeters / Shutter_m

Subir