¿Te has preguntado si deberías pensar en Ciberseguridad a pesar de que no manejas mucha tecnología? En esta noticia podrás entender por qué la Seguridad de la Información debe ser una vertical transversal de tu negocio.
El despacho de abogados estadounidense Holland & Knight se enfrenta a una demanda millonaria por haber sido engañado durante una operación de compraventa de acciones.
La firma está acusada de no haber hecho lo suficiente para prevenir e identificar un fraude en una transacción que asciende a más de 3 millones de euros. Los ciberdelincuentes interceptaron los correos electrónicos del bufete y suplantaron la identidad de sus clientes, que actuaban como vendedores. Esta estrategia les permitió tener acceso a información y documentación de la operación, y a modificar la cuenta corriente en la que debía ingresarse el dinero del pago, para sustituirla por una cuenta de un banco en Hong Kong a nombre de Wemakos Furniture Co. Limited.
Los demandantes, la familia Sorenson, acusan a la firma de abogados y al agente depositario de las acciones de actuación negligente, incumplimiento de contrato e inobservancia del deber fiduciario que les corresponde.
La principal cuestión en la que basan la demanda es que, aún a pesar de que existían procedimientos a seguir de cara a obtener la confirmación de los intervinientes para el cambio de cuenta corriente, las comunicaciones enviadas desde el despacho fueron interceptadas por los ciberdelincuentes.
Francisco Pérez Bes, exsecretario general del Instituto Nacional de Ciberseguridad de España (Incibe) y actual socio de Dereho Digital en Ecix, explica que esta tipología de ciberdelito es habitual en el comercio internacional, y que varias empresas españolas han sido víctima de este tipo de ataques.
Puedes saber más de la estrategias de Ingeniería Social que utilizan los ciberdelincuentes para suplantar identidad y aprovecharse de las brechas de seguridad no tecnológicas con nuestro producto Human Shield. Visita HumanShield
"Lo que las caracteriza a este tipo de ataques dirigidos es su complejidad y su alto componente de ingeniería social", destaca Pérez Bes.
"La demanda se basa en una supuesta obligación de diligencia del despacho para detectar que las direcciones de correo electrónico no eran legítimas, y que la documentación que se incluía en aquellas no era verdadera", añade.
"El despacho no adoptó medidas complementarias de comprobación, como podría haber sido la de llamar por teléfono", destaca Pérez Bes, y añade que "aún a pesar de disponer de un protocolo interno que regulaba cómo cambiar la cuenta bancaria a la que hacer el pago del precio, aquel falló, y el despacho no adoptó medidas complementarias de comprobación de la veracidad de la orden recibida, como podría haber sido la de llamar por teléfono a los vendedores y obtener su confirmación".
La firma sostiene que que sus sistemas informáticos no se han visto vulnerados, y que actuaron de conformidad con las instrucciones recibidas desde el servidor de correo electrónico del demandante. Este mismo despacho de abogados ya fue víctima, en el año 2015, de una campaña de phishing que utilizaba su imagen para difundir malware a través de enlaces maliciosos insertados en noticias falsas en Internet.
Este tipo de ataques pueden ser evitados fortaleciendo el eslabón más débil que son las personas. La importancia de implementar planes de formación y de concienciación para empleados y directivos, que les permitan sospechar de situaciones que se salgan de lo que es habitual, y activar procedimientos con los que confirmar la veracidad de la información se pueden lograr con nuestra herramienta Human Shield.
En Ecuador ya se han identificado casos de Ingeniería Social a nivel público, como lo explicamos en nuestro Blog sobre el ataque a EPMAPS en Quito allí podrás encontrar más información y los métodos que utilizan los ciberdelincuentes para aprovecharse del desconocimiento y falta de concientización de los peligros digitales.
Si quieres conocer más de nuestras soluciones y como pueden ayudar a tu empresa a cubrir todas las verticales de Seguridad de la Información, puedes contactarnos directamente en whatsapp o por nuestra página web.
Noticia original de: https://www.eleconomista.es/ léela aquí.
Commenti