Proteja la ciberseguridad de sus ejecutivos en medio de la ciberguerra global

Han pasado aproximadamente dos meses desde que Rusia lanzó por primera vez su invasión no provocada de Ucrania. Desde entonces, el mundo ha sido testigo de una tragedia indescriptible. Mientras que la propiedad dañada y destruida puede y será reconstruida; la muerte y la desesperación sufrida por los ucranianos dejará una huella duradera en toda Europa para las generaciones venideras.

A pesar de lo terrible que ha sido la guerra física, la guerra cibernética tan esperada no se ha materializado tan rápido como algunos expertos en ciberseguridad y seguridad nacional pensaron que lo haría. A principios de marzo, el exconsejero general de la Agencia de Seguridad Nacional y el Servicio de Seguridad Central, Glenn S. Gerstell, dijo a The Guardian: “Todavía no hemos visto los ataques completamente destructivos a la infraestructura de Ucrania que algunos anticiparon”.

Pero hay nuevos indicios de que Rusia pronto podría intentar intensificar su guerra cibernética. Hace dos semanas, la infraestructura de TI de Ucrania fue atacada significativamente por piratas informáticos rusos. Este fue el primer gran ataque de consecuencias reales desde que los rusos atacaron bancos ucranianos a mediados de febrero.

Y según Foreign Affairs, “toda la evidencia disponible indica que Rusia ha empleado una campaña cibernética coordinada destinada a proporcionar a sus fuerzas una ventaja temprana durante su guerra en Ucrania”.

El panorama de amenazas cambia de lo profesional a lo personal

Si bien se desconoce el alcance de las ambiciones de guerra digital de Rusia, gran parte del mundo se está preparando para la primera guerra cibernética global.

En Estados Unidos, el presidente Joe Biden y la Agencia de Seguridad de Infraestructura Crítica (CISA) del DHS continúan emitiendo advertencias detalladas de ciberseguridad a las agencias y empresas estadounidenses por igual. Recientemente, CISA alertó a los administradores de patrimonio sobre la probabilidad de ataques cibernéticos rusos dirigidos a sus organizaciones y sus clientes. Los hospitales, el sector energético y Fortune 1000 en todas las industrias también han sido advertidos sobre amenazas directas y el potencial de daños colaterales.

Un vector de ataque que falta notablemente en las alertas gubernamentales y de la industria es la vida digital personal de los ejecutivos. – El C-Suite, los miembros de la junta y los líderes senior de la empresa, con acceso directo a información financiera, de propiedad exclusiva y confidencial.

Recientemente, ciberdelincuentes calificados y estados nacionales han comenzado estratégicamente a eludir los controles de seguridad gubernamentales y organizacionales al atacar lo que los CISO y los equipos de seguridad no pueden controlar: la privacidad en línea, los dispositivos personales y las redes domésticas de los ejecutivos y sus familias.

Las vulnerabilidades son enormes en la vida digital personal

Debido a que la seguridad empresarial no puede extenderse a la vida personal, las vulnerabilidades de dispositivos personales y redes domésticas son abundantes y, a menudo, fáciles de explotar.

Según Capa Negra, datos internos, el 87 % de los dispositivos personales de los ejecutivos carecen de controles de ciberseguridad y al menos el 27 % de los dispositivos contienen malware no descubierto anteriormente.

Además, el 75 % de los dispositivos personales filtran datos debido a configuraciones de privacidad de dispositivos faltantes o configuradas incorrectamente, y el 69 % de los ejecutivos tienen contraseñas personales y de trabajo disponibles en la dark web.

Estas vulnerabilidades, entre otras, representan un espacio verde para que los ciberdelincuentes y los estados-nación vulneren las organizaciones pirateando a los ejecutivos en su vida personal para luego moverse lateralmente hacia las organizaciones que son su objetivo final.

El mes pasado, Threat Intelligence Group de Google identificó a los actores de amenazas chinos que intentaban piratear las cuentas personales de Gmail de los trabajadores del gobierno de EE. UU., según un artículo en Bleeping Computer.

Proteja la vida digital personal de los ejecutivos, proteja la organización

Queda por ver si Rusia intensificará su guerra cibernética, y si una escalada afectará directamente o indirectamente a las empresas y agencias gubernamentales de EE. UU. Independientemente, los equipos de seguridad ahora deben prepararse para los ataques laterales que se manifiestan en la vida digital personal de sus ejecutivos.

Afortunadamente, existen varias medidas de seguridad que, aunque son onerosas, los equipos de seguridad pueden ayudar a los líderes de la empresa a implementar en sus vidas personales. Éstos incluyen:

• Asegúrese de que la autenticación multifactor está activo en todos los dispositivos, aplicaciones y sistemas personales (incluidos los familiares) que lo permiten. Los CISO deben bloquear el acceso a todos los sistemas corporativos desde cualquier dispositivo en el que MFA no esté implementado.
• Envíe solicitudes de exclusión voluntaria a tantos corredores de datos en línea posible, lo que limita la capacidad de los adversarios para obtener la información personal necesaria para lanzar ataques de ingeniería social y de phishing selectivo.
• Establecer automático actualizaciones de firmware y sistema operativo en todos los dispositivos personales; e implementar la seguridad de la red doméstica a través de cortafuegos de enrutador y encriptación de red WiFi para garantizar la integridad de las comunicaciones.
• Asegúrese de que todos los dispositivos personales, incluidos los de cónyuges e hijos, tengan instalado y actualizado el antimalware.
• Instalar seguridad WiFi para proteger sus redes domésticas y permitir que los visitantes del hogar se conecten a la red de invitados.

Desafortunadamente, tales medidas de seguridad, entre otras, pueden requerir tiempo y recursos sagrados para implementarse, sin ninguna garantía de que mantendrán a las personas o la empresa seguras y protegidas. Pero con los tambores de la guerra cibernética sonando cada vez más fuerte, la protección de una organización puede comenzar y terminar con qué tan bien puede proteger a los ejecutivos en sus vidas digitales personales.