Toda cadena se rompe por su eslabón más débil. Por lo tanto, la fortaleza de una cadena la determina el eslabón menos robusto. En una empresa, cada empleado representa un eslabón de la cadena de ciberseguridad de dicha compañía. Una negligencia de un empleado o simplemente la ausencia de protocolos permanentemente actualizados de prevención de riesgos cibernéticos puede suponer un grave perjuicio económico para la compañía.
Ninguna empresa está exenta de sufrir ciberataques. Independientemente del tamaño de la compañía, existen dos tipos de empresas: las que ya han recibido ciberataques y las que los recibirán en el futuro. Debido al empleo de la inteligencia artificial por parte de los ciberdelincuentes, los ataques son cada vez más sofisticados y, en ocasiones, difíciles de detectar.
Siguen siendo frecuentes los ataques tipo phishing, enviando el mismo email a muchas personas con vínculos maliciosos que permiten introducir virus o malware que pueden inutilizar los sistemas o incluso “secuestrar” todo el sistema informático de la entidad a cambio de un rescate. La credibilidad de los emails “trampa” recibidos cada vez es mayor y el riesgo de acceder a vínculos maliciosos se incrementa.
Frente a esto, además de contar con el software más avanzado y medidas de ciberseguridad, la formación sobre la seguridad informática a todos los empleados de cualquier empresa para no caer en este tipo de trampas se convierte en una necesidad. Dicha formación debe ser frecuente y permanentemente actualizada a las nuevas amenazas.
Cada vez más se realizan ataques personalizados, dirigidos a una empresa concreta a través de una víctima concreta. Los perfiles de las redes sociales, como LinkedIn o Facebook, la propia web de la compañía, las noticias de prensa y los registros públicos pueden aportar información relevante sobre la relación de dicha empresa con clientes y proveedores, así como la estructura interna de personal de la compañía. Los ciberdelincuentes pueden obtener mucha información a través de estos mecanismos de forma mucho más rápida y eficiente utilizando la inteligencia artificial.
Como resultado, los ciberdelincuentes envían emails desde direcciones teóricamente conocidas, suplantando la identidad de un cliente, un proveedor o incluso un alto directivo de la compañía, con referencia a un proyecto real, solicitando un determinado pago o simplemente cambiando la cuenta corriente de pago de una determinada factura que realmente existe. No es necesario que en dicho email aparezca ningún enlace sospechoso para acabar causando un perjuicio económico.
La sofisticación de los ciberdelincuentes lleva a que con la inteligencia artificial incluso se pueden clonar la voz y la imagen de la persona a la que, en teoría, se está llamando o manteniendo una videoconferencia para confirmar la orden. Así, deja de ser totalmente confiable no solo el email, sino también hasta los mensajes de mensajería instantánea como WhatsApp o incluso las videoconferencias.
Adicionalmente, los propios clientes de la entidad que tengan vulnerabilidades en sus correos electrónicos pueden recibir un email suplantando a una empresa, totalmente creíble en imagen, temática e incluso redacción, simplemente informándoles de que la cuenta corriente en la que deben pagar las facturas ha cambiado, proporcionándoles una cuenta propiedad de los ciberdelincuentes. Así, el cliente acaba pagando a los ciberdelincuentes en lugar de hacerlo a la empresa que ofrece el servicio. Posteriormente, al reclamar el pago de la factura al cliente, este dirá que ya la ha abonado, surgiendo un potencial conflicto con el propio cliente.
Ante este escenario tan aterrador, ya no es suficiente con contar con el software más avanzado de ciberseguridad para la protección de la infraestructura informática y tecnológica de la empresa, sino que habrá que establecer y seguir a rajatabla determinados protocolos de actuación y formar de manera permanente a todos los empleados sobre los riesgos cibernéticos y cómo minimizarlos.
La verificación de cualquier operación de pago o de cambio de la dirección de email o del número de teléfono debe realizarse por varios canales, teniendo en cuenta que siempre debe ser a través de números de teléfono previamente registrados. Aun así, cabe recordar que incluso hoy es factible clonar la voz o incluso la imagen que se visualiza a través de una videoconferencia.
Teniendo en cuenta que los propios clientes también pueden ser receptores de emails enviados por ciberdelincuentes suplantando a la empresa, de forma difícilmente identificable, es fundamental que desde el primer momento quede determinado en el contrato de la prestación de servicios, si lo hay, que la cuenta de pago de los servicios será necesariamente una concreta sin que exista posibilidad de cambio.
Los riesgos sobre la ciberseguridad con la utilización de la IA por parte de los ciberdelincuentes no solo afectan a los Estados, a las grandes infraestructuras y a las grandes empresas, sino que también afectan a medianas y pequeñas empresas e, incluso, a cualquier ciudadano.
Cuando yo era un niño, mis padres me decían que no hablara con desconocidos ni hiciera caso a nadie que me dijera que venía de parte de mis padres. Ahora, los avisos preventivos sobre la ciberseguridad no van dirigidos a los niños, sino a todas las empresas e incluso a todos los ciudadanos.
Inevitablemente, el crecimiento del sector de la ciberseguridad será exponencial.
Artículo escrito por Jesús Sánchez-Quiñones, Consejero-Director General de Renta 4 Banco, en El Economista.
Jesús Sánchez-Quiñones González
Tel: 91 398 48 05 Email: clientes@renta4.es