El chantaje, la extorsión, son prácticas habituales entre los cibercriminales. Aunque normalmente la mayoría de las amenazas son falsas, a muchos empleados les faltan conocimientos sobre el tema y caen fácilmente en la trampa. Por lo tanto, es esencial concienciar y explicar con frecuencia las estafas en línea, que incluyen la sextorsión.
«Hola, amigo. No me conoces, pero yo sí te conozco muy bien. Mejor de lo que te puedas imaginar. Esta es tu contraseña, ¿verdad?». Mensajes de correo electrónico como este llegan a menudo a los buzones de los empleados. El misterioso chantajista normalmente asegura que ha estado observando al destinatario del mensaje a través de su cámara web mientras miraba contenido pornográfico, y obliga al destinatario a pagar para librarse del problema porque, si no, el hacker se lo explicará a su familia y a sus compañeros de trabajo. Esas amenazas son tan terribles, que los destinatarios del correo prefieren no asumir ningún riesgo y pagarán el importe que les han pedido. ¿Cómo puedes impedir que tus empleados caigan en estafas de sextorsión?
1. Explica cómo funciona la ingeniería social
La mayoría de las estafas de sextorsión son timos. Los extorsionadores pretenden dar un aspecto de realidad, credibilidad y autenticidad a su mensaje, para así hacer sentir vulnerable al empleado y asustarle. Por lo tanto, asegúrate de que todos los empleados conocen los conceptos básicos de las tácticas de ingeniería social y que son conscientes de que probablemente un correo electrónico con una redacción muy similar se ha enviado a muchas otras direcciones.
2. Comenta la edad de oro de las estafas de sextorsión
Todo el mundo en la empresa debe saber que las estafas de extorsión van en aumento, ya que las tecnologías modernas facilitan que los cibercriminales las extiendan. Un ejemplo clarísimo de cómo los cibercriminales hacen un mal uso de la tecnología y de una crisis para expandir sus estafas es la pandemia de la COVID-19. Como muchas empresas se han pasado al teletrabajo y las oficinas en casa, donde los empleados no están protegidos por la red corporativa, el número de amenazas web se ha incrementado. En el «Informe de ESET sobre amenazas 1T 2020» del 1T de 2020 se indicaba que el número de sitios web maliciosos y fraudulentos bloqueados durante este periodo de tiempo se incrementó en un 21 % en comparación con el 4T de 2019, lo que incluye estafas de sextorsión.
Y en el « informe del 1Q de 2021» de ESET detectó un volumen casi idéntico de correos electrónicos maliciosos que en los últimos cuatro meses de 2020. Sin embargo, hubo algunas desviaciones notables en la tendencia el 18 de febrero más de un tercio de esas detecciones fueron causada por atacantes que arrojaban una gran cantidad de estafas de sextorsión.
Los cibercriminales, por ejemplo, amenazaban con infectar a la víctima y a su familia con coronavirus si no cumplían lo que pedían.
Comparte esos ejemplos con tu equipo y describe las características principales de esas estafas.
3. Deja claro qué quieren los atacantes
Asimismo, tus empleados deben saber que el objetivo principal de los mensajes de correo electrónico de sextorsión es hacer que la víctima pague, preferiblemente en bitcoins, lo que permite a los hackers obtener dinero de manera anónima. Las estafas son un gran negocio: Según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, en 2018 la extorsión por correo electrónico causó pérdidas por valor de unos 69 millones de euros, y la mayor parte se relacionaban con campañas de sextorsión.
4. Explica cómo roban las contraseñas
Puede ser verdad que el atacante tiene la contraseña del empleado, pero probablemente eso es todo lo que tienen. Educa a tus empleados sobre cómo funciona el mercado de contraseñas, explica que el ciberdelincuente probablemente compró la contraseña en la web profunda por un precio bastante bajo... Esas contraseñas pueden haberse obtenido en una fuga de datos. La mención de una contraseña auténtica solo es otra técnica para hacer que el destinatario del mensaje se ponga nervioso.
Utiliza esta oportunidad para recordar a los empleados las mejores prácticas que deben aplicar cuando se crean una contraseña segura o una frase de contraseña. Explica también que el negocio de venta de contraseñas es precisamente el motivo de por qué todo el mundo debe cambiar su contraseña de vez en cuando o tiene que utilizar factores de protección adicionales (2FA/MFA).
5. Informa a los empleados sobre cómo deben reaccionar ante estafas de sextorsión
Si la contraseña es auténtica, aconseja a tus empleados que no entren en pánico y que la cambien de inmediato. Diles explícitamente que no tienen que enviar dinero, ni responder o hacer clic en los enlaces o en los archivos adjuntos. Instruye a tus empleados para que, si llegan a ser víctimas de estafas de sextorsión, informen siempre a los departamentos de TI o de seguridad interna de la empresa. Puedes denunciarlo al Grupo de Delitos Telemáticos de la Guardia Civil.
6. Habla de las amenazas reales
Si se gestionan correctamente, las estafas de sextorsión no causan daños. Aun así, tus empleados deben saber que hay maneras de que los cibercriminales pueden interceptar sus cámaras web. Pero estos no van a ser tan amables como para explicártelo en un mensaje de correo electrónico. Puedes compartir esta infografía con tus empleados para explicar cómo los ciberdelincuentes invaden tus ordenadores.
7. Conciencia sobre el comportamiento ciberseguro
Al conocer las amenazas que están ahí esperando en el entorno en línea, algunos empleados pueden pensar que tapar su cámara web con cinta ya les salvará. ¿Por qué no? Incluso Mark Zuckerberg admite que lo hace, ¡y que también cubre su micrófono con cinta! De todos modos, es la solución más superficial. Protege a tus empleados de que les observen o incluso que los escuchen, pero su dispositivo seguirá estando hackeado.
Presenta métodos más profesionales para que los empleados protejan los dispositivos de la empresa. Un software antivirus fiable con protección avanzada contra programas maliciosos, como softwares espía y virus, puede actuar como una protección sólida en la lucha contra las amenazas virtuales. Además, debes contar con un cortafuegos que pueda supervisar el tráfico en tu red y bloquear los ataques dañinos. Enseña también a tus empleados a utilizar contraseñas seguras y doble factor de autenticación.
Por último, lo más importante para luchar contra las amenazas virtuales es no caer en ellas, no solo en estafas de sextorsión, sino en cualquier otro tipo de trampas en línea. ¿La estrategia más eficaz? Distinguir las amenazas reales de las falsas.
8. Los desafíos de seguridad del trabajo remoto
Los lugares de trabajo y las oficinas flexibles son excelentes, pero solo si están bien protegidos y los empleados saben cómo manejarlos. ¿Alguna vez les dijiste a tus empleados que si tenían que usar una conexión Wi-Fi pública, deberían elegir una protegida por contraseñas?. Las redes Wi-Fi son altamente propensas a ataques, por lo que si deseas asegurarte de que la conexión y los datos de la empresa están seguros, los empleados deben utilizar preferiblemente una red privada virtual (VPN), que les permita crear una conexión segura a la red de la empresa. .
Por último, pero no menos importante, la mejor forma de hacer frente a las amenazas virtuales es no dejarse engañar, no solo por estafas de sextorsión, sino por cualquier trampa en línea. ¿La estrategia más eficaz? Distinguir las amenazas reales de las falsas.