Cómo la desinformación crea amenazas internas en las compañías
Los empleados que creen que la desinformación son más susceptibles a la ingeniería social y las campañas de 'phishing', y los atacantes lo saben.
Actualmente, la idea de desinformación todavía no está relacionada con las amenazas cibernéticas para las empresas, ni está en la lista de prioridades de los CISO. Sin embargo, es un problema real y los equipos de seguridad harían bien en adelantarse a la problemática. De hecho, algunas compañías ya han identificado el fenómeno como una barrera desde el punto de vista de que este tipo de noticias pueden apuntar a su propia entidad o que influya en la actividad de sus trabajadores.
Armaan Mahbod, director contra amenazas internas, seguridad e inteligencia empresarial, comparte esta perspectiva: “El intercambio de desinformación ocurre todo el tiempo, haya o no intenciones positivas o negativas y resultados detrás del hecho”, dice. “Es un desafío para los directivos refutar la información porque, a menudo, no tienen visibilidad de lo que se podría compartir y no saben que es necesario dar un respuesta”.
Además, continúa el experto, muchos líderes luchan por responder preguntas básicas sobre su negocio como quienes son los empleados y dónde están, cómo funciona la operativa y el nivel de actividad. Por su parte, Adam Flatley, director de inteligencia de amenazas en Redacted, ve este desafío por cómo las campañas de desinformación externas a las organizaciones “impulsan a sus víctimas a creer en ciertas narrativas falsas, abren brechas entre ellos y los que dan información objetiva contraria, y los vuelven adictos a información que alimenta su sesgo”. “Este fenómeno hace a los empleados más propensos al phishing, enlaces de mensajes de texto y otro tipo de señuelos que se adaptan al tema que anhelan, lo que puede conducir al robo de credenciales o la explotación directa”.
La desinformación alimenta las oportunidades de ingeniería social
Para la ingeniería social, el trabajador y el CISO deben estar preparados. Los ciberdelincuentes están observando las tormentas de fuego de fake news, ya sean sobre temas globales o exclusivos de una empresa determinada, y estos delincuentes luego “construyen personajes para fomentar las relaciones en línea con sus víctimas. Los dan información que no solo los manipula, sino que genera confianza, lo que los va a llevar a visitar de manera natural las páginas que les envían. Se establece una camaradería que aumenta la probabilidad de que las víctimas abran los archivos maliciosos”, advierte Flatley.
