La vulnerabilidad humana en el punto de mira de los piratas informáticos

Seguridad El spear phishing amenaza la seguridad de SAP

Los datos SAP son uno de los objetos más codiciados por los ciberdelincuentes. El robo de datos de ventas y datos personales de clientes, propiedad intelectual y datos financieros, que sirven de palanca para el uso de información privilegiada, la colusión y el fraude, parece ser especialmente gratificante. No es de extrañar, por tanto, que los atacantes estén ideando métodos cada vez más sofisticados para acceder a los sistemas SAP críticos para las empresas. Además de las lagunas técnicas de seguridad, cada vez se ataca más la vulnerabilidad humana. Para aprovecharse de ello, los estafadores envían a los usuarios de SAP correos electrónicos de spear phishing con apariencia engañosa, aparentemente en nombre de superiores, empleados o colegas. Previamente han investigado meticulosamente la información necesaria sobre la empresa y los empleados en las redes sociales y otras fuentes de Internet.

En estos correos de phishing, los atacantes envían solicitudes de apariencia plausible para incitar a sus víctimas potenciales a divulgar datos muy confidenciales. Para conseguir que los destinatarios abran los correos entrantes sin pensar y sigan las instrucciones, los estafadores recurren a trucos psicológicos de probada eficacia. Los factores emocionales de influencia más comunes incluyen La creencia en la autoridad (los hackers se hacen pasar por un miembro de la dirección y exigen al empleado que les entregue datos financieros para tener una visión general de la evolución del negocio), la presión del tiempo, el miedo y la curiosidad.

Sensibilización en materia de seguridad

Muchas empresas han reconocido ya la amenaza que suponen los ataques de spear phishing para su seguridad SAP. Además, los clientes de SAP exigen cada vez más cursos de concienciación sobre seguridad para armar a los empleados contra los ataques de phishing. Pero las ofertas clásicas no bastan para ello. Dado que las formaciones se centran en la transmisión de conocimientos teóricos en el marco de la formación presencial, el e-learning y los seminarios web, sólo se mejora la capacidad de decisión racional de los participantes.

En cambio, los ataques de spear phishing se dirigen a las decisiones rápidas e intuitivas de los destinatarios de correo electrónico. Por lo tanto, la formación de concienciación debe complementarse con simulaciones de spear phishing que utilicen información real de la empresa y de los empleados para recrear ataques auténticos. Pero en lugar de ser enganchados por los estafadores, los empleados aterrizan directamente en una página explicativa interactiva. En ella, se les muestra paso a paso cómo podrían haber reconocido los correos electrónicos falsos: por ejemplo, por las letras mal escritas en la línea de dirección, las URL desviadas o los subdominios. 

Los simulacros de phishing son especialmente eficaces porque aprovechan el "momento más instructivo" del empleado y le muestran directamente su mala conducta durante el ataque. Este "efecto de choque" garantiza que en el futuro tendrá más cuidado con los correos electrónicos entrantes. Para garantizar que el efecto de aprendizaje continúe, las simulaciones de spear phishing deben repetirse y actualizarse con regularidad. Para alejar la sensación de ser controlado o incluso engañado, las empresas deben comunicar con tiempo los simulacros de phishing previstos. 

También es importante adaptar la formación a las necesidades individuales de aprendizaje de los empleados y documentar el progreso del aprendizaje. El Índice de Seguridad de los Empleados (ESI) es un método realista y reproducible para medir la concienciación. El ESI proporciona cifras clave tangibles y fiables sobre el comportamiento de seguridad de los empleados en simulaciones de phishing de distintos niveles de dificultad. Esto permite a una empresa comunicar el progreso de aprendizaje de su personal y definir un objetivo común para el que los responsables de seguridad informática, la dirección y los empleados colaboran.