Utilizar el correo institucional para registrarse en redes sociales nos hace vulnerables. Imagen con IA.
La lectura de un post en X (abres Twitter) del profesor Henry Raúl González Brito, especialista en Ciberseguridad y profesor de la Universidad de Ciencias Informáticas de Cuba, nos hizo reflexionar en la necesidad de compartir una reflexión sobre un tema que es muy importante y que se ha convertido en una brecha por la que son atacadas muchas instituciones a nivel global.
La apertura de una cuenta en una red social puede ser un hecho emocionante, pero cuando solicitan un correo electrónico para el registro y, sin pensarlo dos veces, se facilita la dirección de correo institucional, este acto puede desencadenar serios problemas en el futuro.
Un acto que puede parecer inofensivo podría abrir una puerta trasera directa al sistema informático institucional, lo que propicia la exposición de información personal y de la organización. Por eso aquí, se desglosa, punto por punto, por qué usar un correo institucional en redes sociales es como dejar las llaves de la institución en la puerta de entrada.
Son frecuentes las noticias sobre el hackeo en redes sociales. Cuando esto ocurre las filtraciones de datos son un fenómeno más común de lo que la mayoría de las personas piensa. Estas grandes plataformas como Facebook, LinkedIn, Twitter (ahora X), entre otras han sufrido brechas de seguridad que dejan expuestos los datos de millones de usuarios.
Cuando estos incidentes ocurren, los atacantes obtienen acceso a bases de datos que contienen nombres, correos electrónicos, números de teléfono y un cuantioso volumen de información personal. El problema se agrava en forma exponencial cuando el correo expuesto pertenece a una organización, porque inmediatamente se establece un vínculo directo entre la filtración y la entidad.
Visto de forma más profunda, al utilizar el correo personal, si este es filtrado, el daño se limita principalmente al ámbito privado. Pero el sistema de correo utilizado es institucional, el atacante obtiene información del lugar de trabajo, el rol probable dentro de la organización, y de cómo, potencialmente, podría acceder a sistemas corporativos. En fin que, la identidad profesional queda vinculada directamente a esa filtración, aumentando la vulnerabilidad de manera significativa y convierte a la persona en un objetivo más atractivo para un ciberdelincuente.
La ciberdelincuencia en la actualidad no actúa al azar. Siempre desarrollan una estrategia minuciosa de recopilación de información de fuentes muy diversas, para así, construir perfiles de sus posibles víctimas. Cuando un correo institucional es filtrado, se tiene la pieza central de un rompecabezas que los atacantes empiezan a recopilar y correlacionar datos y adicionar información de otras fuentes mediante un vasto y sofisticado arsenal de técnicas de inteligencia avanzada. De esta manera el ciberdelincuente llega a conocer a su posible víctima mucho mejor de lo que puede parecer.
Ante la filtración de un correo institucional los atacantes logran combinar:
1. La información pública en redes sociales que contiene fotos, publicaciones, ubicaciones, amistades, intereses, opiniones políticas, estado sentimental, vacaciones planificadas y mucha información que se comparte de manera voluntaria y sin pensar en las consecuencias.
2. Los datos del dominio institucional, que pueden incluir la estructura organizacional, jerarquía corporativa, departamentos existentes, políticas internas visibles, y cualquier otra información que pueda obtenerse a través del sitio web corporativo o de filtraciones previas.
3. Las brechas obtenidas previamente, que incluyen las contraseñas filtradas en incidentes anteriores, preguntas de seguridad respondidas en otros sitios, hábitos digitales que se han revelado, y patrones de comportamiento que pueden ser explotados.
El resultado de la analítica realizada a este gran cúmulo de datos es un perfil muy completo que permite diseñar por ejemplo, un ataque de phishing personalizado que hace que estos mensajes parezcan completamente legítimos y aumentan dramáticamente la probabilidad de que las víctimas sean atrapados en la trampa que fue tendida de manera minuciosa con la cooperación de la propia persona.
Cuando el phishing escala estos niveles los resultados son desastrosos y eso lo ha convertidos en una de las técnicas de ataque más efectivas y devastadoras en el panorama actual de ciberseguridad y aunque no todos los ataques de phishing son iguales, esta modalidad está entre las más peligrosas porque el correo institucional es la llave maestra que permite la personalización.
En este Blog se han publicado varios trabajos sobre el phishing por lo que no se considera conveniente realizar nuevamente el análisis de las técnicas y formas de ataque. Pero si se debe recalcar que lo sofisticado de estas agresiones ha alcanzado niveles alarmantes porque se estudian los patrones de comunicación de la organización, replican estilos de escritura, e incluso pueden hacer referencia a eventos o proyectos internos reales que se han obtenido a través de la información pública. La personalización hace que estos mensajes parezcan completamente legítimos y burlen incluso al personal más capacitado y experimentado.
Este proceso mediante el que se usan cuentas de correo para “darse de alta” en las redes sociales trae consigo uno de los riesgos más subestimados, pero que es potencialmente devastador: la suplantación de identidad.
Con el acceso a un correo institucional filtrado, el atacante puede hacerse pasar por la persona para contactar dentro y fuera de la organización. Esta técnica, conocida como Business Email Compromise (BEC), es responsable de pérdidas millonarias en todo el mundo y representa una de las amenazas más serias para las organizaciones en la actualidad. El problema está en que el atacante logra engañar porque ha logrado acopiar un volumen tal de información con cuyos detalles puede convencer a sus víctimas de que el mensaje es genuino.
Con el uso de la suplantación de identidad el atacante puede obtener nuevas posibilidades que son virtualmente infinitas entre las que pueden citarse el acceso a información sensible para escalar en los ataques, la autorización de transacciones fraudulentas, la manipulación de procesos que pueden provocar dudas y confusiones que son aprovechadas en el delito. Todo esto aprovechando la confianza inherente a las comunicaciones internas de la organización sin que medie el algoritmo de detenerse – pensar – verificar que caracteriza al pensamiento crítico.
Como es común en los ataques, muy rara vez el delincuente se detiene después de obtener el acceso. Una filtración inicial produce un “efecto dominó” que convierte el hecho en punto de partida para una cadena de intrusiones y compromisos que se expanden como como olas en un mar bravío. Lo que comenzó con un correo expuesto en una red social puede terminar en un incidente de seguridad que afecte a toda la organización.
La afirmación anterior puede verse materializada en diversos aspectos de la vida de una organización a través de:
* Accesos no autorizados a plataformas institucionales mediante el uso de las credenciales filtradas que posibilitan el acceso a sistemas de correo, redes virtuales privadas institucionales (VPN), plataformas de colaboración, bases de datos internas, y sistemas de gestión críticos, donde cada acceso adicional proporciona más información que sirve de combustible para nuevos pasos en el ataque.
* Robo de información personal con lo que los atacantes pueden acceder a datos de personas con las que se tienen relaciones contractuales, información financiera, datos de investigaciones y propiedad intelectual, en fin, datos sensibles ubicados en los sistemas comprometidos. Toda esta información puede ser vendida, utilizada para extorsión, o empleada en futuros ataques.
* Riesgos para la organización se manifiestan en que los impactos pueden incidir en el ámbito financiero, pero llegar a la necesidad de costos de remediación, multas regulatorias por incumplimiento de protección de datos, interrupción de operaciones, y potencial litigio por parte de partes afectadas.
Daño en la imagen institucional y de la persona implicada porque un incidente de seguridad puede erosionar la confianza en el radio de acción y porque la recuperación de unaa reputación dañada lleva años de trabajo y puede tener efectos duraderos en la imagen institucional.
En los últimos años a nivel global, el costo promedio de una brecha de datos, se ha incrementado significativamente según estudios recientes. Pero más allá del impacto financiero, hay otras consecuencias, personas que pierden su trabajo, otros sufren fraudes, organizaciones que no se recuperan completamente del incidente, entre muchas otras. Una decisión aparentemente inocente como usar el correo del trabajo en una red social puede tener ramificaciones que se extienden mucho más allá de lo que se pudiera anticipar.
Por ello, después de analizar todos estos riesgos, la conclusión es clara e ineludible y funciona como una regla de oro: el correo institucional es una identidad formal vinculada a una organización y debe usarse exclusivamente para cumplir las misión para la que fue creada. No es una cuestión de preferencia personal ni de conveniencia, sino un principio fundamental de higiene digital que protege tanto al individuo como a la organización. Usar el correo institucional en redes sociales aumenta exponencialmente los riesgos de seguridad y puede comprometer irreversiblemente a toda la institución y aumenta el área de exposición a un impacto.
Cuando se recibe la identificación corporativa, no se utiliza para entrar a otras instituciones, es solo para uso profesional. Con el correo institucional se debe actuar de la misma manera. Para las redes sociales y en cualquier plataforma de carácter personal, lo más seguro es usar un correo personal dedicado exclusivamente a este fin.
Existe un conjunto de aspectos que se establecen como buenas prácticas y que deben ser atendidas para evitar estar involucrado en un incidente de estas características.
* Mantener separación estricta entre cuentas personales y profesionales. Se debe utilizar correos diferentes para cada ámbito y nunca mezclar los usos, incluso aunque parezca inconveniente en un momento dado.
* Revisar la configuración de privacidad en todas las redes sociales para limitar la cantidad de información pública disponible sobre la persona, esto incluye lugar de trabajo y otros detalles que podrían ser explotados por un atacante.
* Utilizar la autenticación de factores múltiples en todas las cuentas, con esta medida de seguridad adicional puede prevenir el acceso no autorizado incluso si la contraseña está comprometida.
* Reportar inmediatamente cualquier actividad sospechosa como es la recepción de correos inusuales o notas comportamiento extraño en las cuentas. Es importante notificar en un breve plazo a los directivos y el personal de seguridad informática.
* Participar activamente en programas de concienciación y formación continua sobre el manejo seguro de las TIC que son esenciales para enfrentar las amenazas emergentes y poseer las mejores prácticas de protección.
Como se ha mencionado veces la seguridad de la información en las organizaciones no es responsabilidad exclusiva de los especialistas en TIC o en ciberseguridad. Todo el personal desempeña un papel crucial en la protección de los activos de información y cualquier decisión por insignificante que parezca, como es el caso del uso del correo para registrarse en una red social, pueden tener consecuencias muy serias.
Cada vez que se requiera del aporte de datos en una plataforma, no solo cuando se solicita un correo electrónico, es necesario hacer un alto para reflexionar y cuestionar desde posiciones críticas si esa entrega es necesaria y que costos pudiera tener en el futuro para la seguridad y la imagen personal y de la institución. La ciberseguridad comienza con decisiones conscientes, y la decisión de separar tu correo institucional del personal es una de las más importantes que debe ser tomada en cuenta.
Es vital recordar que el correo institucional es una llave digital de la institución y debe ser protegida como cualquier otra llave valiosa. El sistema informático de la institución será más sólido con estas prácticas.