Una crisis de reputación puede tener un efecto devastador en una empresa, ya que supone no sólo una amenaza para el valor de los accionistas, sino para la propia organización.
Los líderes empresariales reconocen este riesgo y el daño a la reputación y a la marca se encuentra sistemáticamente entre sus principales preocupaciones en la Encuesta Global de Gestión de Riesgos de Aon.
Visión general
Imagínese a un responsable de finanzas que recibe una frenética llamada nocturna de un CEO. El ejecutivo solicita la transferencia de 5 millones de dólares a una cuenta específica, y el responsable de finanzas la realiza. ¿El problema? La llamada procedía de un ciberdelincuente que utilizaba la tecnología deepfake para hacerse pasar por el CEO.
La inmensidad de Internet y la naturaleza maliciosa de la dark web han hecho que las herramientas para el ciberfraude estén más disponibles y sean más convincentes que nunca. La tecnología deepfake y las personas con información privilegiada que venden el acceso a la información de la empresa están poniendo a las organizaciones en un mayor riesgo de pérdidas financieras y de algo mucho peor.
Los deepfakes utilizan vídeos o audios modificados para crear una semejanza inquietantemente precisa de una persona diferente. Aunque los deepfakes de vídeo son relativamente conocidos, los deepfakes de audio son una amenaza creciente para las organizaciones. «La tecnología deepfake de audio es cada vez más sofisticada y accesible», declara Dennis Lawrence, senior consultant del Intelligence Group de Cyber Solutions de Aon. «Hay más actores maliciosos convencionales que pueden realizar esta actividad ahora que hace uno o dos años.»
Los ciberdelincuentes también atacan a las empresas y a los CEOs intentando acceder a los registros de la compañía a través de personas con información privilegiada, un fenómeno que probablemente se ha agravado durante el cambio global hacia el teletrabajo durante la pandemia, ya que los empleados que trabajan desde casa tienen menos supervisión. Aunque muchas de las amenazas para las empresas son totalmente externas, Catarina Kim, managing director del Intelligence Group de Cyber Solutions de Aon, afirma que los ciberdelincuentes a veces recurren a la ayuda de los empleados actuales. «Las amenazas internas se han convertido en una preocupación mayor en el entorno laboral actual con la aceleración de las contrataciones y las salidas de empleados, porque una vez que estás en la empresa con acceso a los datos de la misma, existe la sensación de que eres un compañero de confianza», explica Kim.
En profundidad
El fraude tecnológico es un gran negocio para los ciberdelincuentes. Los datos robados pueden poner información importante de la empresa en las manos equivocadas, y el audio manipulado tiene el potencial de estafar a los CEOs, las empresas y sus confiados representantes grandes sumas de dinero.
«Algunas empresas pueden sentirse avergonzadas por haber sido víctimas de este tipo de actividades», indica Lawrence. Pero los líderes empresariales deben reconocer que incluso los directivos más perspicaces pueden verse engañados por una suplantación cibernética.
El deepfake, un riesgo real
En el pasado, los ciberdelincuentes que querían estafar a una empresa podían centrarse en los empleados que no conocían la voz de su CEO. Ahora, gracias a las redes sociales y los vídeos de empresa, es mucho más probable que los empleados reconozcan a sus directivos. Pero, debido a que los vídeos están disponibles en YouTube y otros sitios web de acceso común, un creador de deepfakes puede encontrar una grabación de voz de un líder empresarial, pasar la grabación por un programa de aprendizaje automático y utilizar la grabación modificada para mantener una conversación telefónica interactiva destinada a manipular a un empleado para que realice un pago a una cuenta bancaria de un tercero. La tecnología deepfake de audio puede imitar acentos, patrones de habla y otros elementos vocales significativos para crear una imitación sorprendentemente convincente de un directivo.
Aunque Kim señala que los deepfakes tienen un historial de uso en operaciones gubernamentales y militares, esta tecnología está ahora fácilmente disponible en línea y preparada para una gran cantidad de fines delictivos. La creciente disponibilidad de grabaciones, junto con los avances en la tecnología de audio, conlleva que los suplantadores sean cada vez más capaces de estafar a las organizaciones grandes sumas de dinero. «Lo que hemos visto en el espacio comercial está impulsado en gran medida por el dinero», explica Kim.
Cómo convencen los suplantadores cibernéticos
Cualquier empleado puede ser engañado por un deepfake, incluso los directivos experimentados. Kim afirma que la comprensión del comportamiento humano es clave para el engaño cibernético, y que los delincuentes utilizan este enfoque para engañar a directivos atareados, así como a empleados con un conocimiento organizativo limitado. «O bien buscan una manera de que conectes rápidamente con ellos, algo con lo que te sientas identificado, o son convincentes porque aprovechan la jerga empresarial e investigan la jerarquía de la empresa.»
Según Lawrence, los estafadores también se apoyan en el poder de la intimidación cuando se hacen pasar por un directivo. «Cuando un CEO llama al controller o a quien se encargue de supervisar las transferencias bancarias para este tipo de transacciones, dicho individuo está más inclinado a cumplir con lo que se le pide.»
El acceso está en venta
Los ciberdelincuentes buscan caminos para acceder a los datos de la empresa y a todos los beneficios económicos que pueden aportar. A veces, contar con la ayuda de otras personas es más eficaz que los trucos tecnológicos por sí solos. Kim y Lawrence destacan que los grupos de ciberdelincuentes se centran en los empleados para que estos les ayuden a acceder a redes seguras. «Normalmente, buscan a un usuario administrador, alguien que no sólo tiene ciertos derechos, sino muchas credenciales diferentes para acceder a los sistemas. En algunos casos, los actores de las amenazas y los defraudadores buscan empleados descontentos o personas a las que se puede incentivar económicamente para que vendan el acceso», declara Kim.
Qué pueden hacer las organizaciones
Aunque una ciberseguridad sólida y una mayor información sobre las amenazas pueden ayudar a las empresas, Lawrence indica que las estrategias más sencillas también pueden tener un impacto. «Uno de los métodos más rentables y sencillos que puede utilizar una empresa se llama ‘la palabra del día’. Los empleados tienen acceso a una intranet, y si reciben una llamada telefónica de alguien desconocido que dice ser un empleado, preguntan: ‘¿Cuál es la palabra del día?’ Dado que ambas partes deberían tener acceso a la palabra, es una petición muy sencilla y razonable. Por muy avanzada que sea la tecnología de la que hablamos, esta es una solución que no requiere alta tecnología».
Para identificar posibles amenazas internas en el proceso de contratación, las empresas deben determinar cómo van a investigar a fondo a los candidatos y qué métodos van a utilizar. Los gobiernos utilizan rigurosos modelos de autorización para investigar a los posibles empleados, con el objetivo de evitar que los solicitantes de empleo vulneren la seguridad de las instituciones nacionales. Las empresas también pueden investigar a los candidatos a un puesto de trabajo en busca de posibles señales de alarma, aunque Kim explica que deben adaptar su proceso de entrevistas según las necesidades de sus ámbitos. «En el sector privado, la gente no quiere pasar por un largo proceso de 18 pasos sólo para ser autorizado a hacer un trabajo como en algunas partes del sector público», expone Kim, y añade que algunas empresas están comprando programas de amenazas internas para detectar riesgos de seguridad.
El riesgo de Ciberataques / violación de datos está considerado en el Nº1 dentro de los riesgos que más preocupan a las empresas. Accede a nuestra Encuesta Global de Gestión de Riesgos 2021 > Encuesta Global de Gestión de Riesgos 2021 de Aon