El phishing ha evolucionado. Ya no se trata solo de correos genéricos llenos de errores que buscan engañar al usuario promedio. Hoy, los ciberdelincuentes están diseñando ataques precisos, bien redactados y personalizados. A esta práctica se le conoce como phishing dirigido o spear phishing, y sus principales objetivos suelen ser directivos, gerentes, personal de finanzas o cualquier otra figura con acceso privilegiado a información o recursos sensibles.
En América Latina, cada vez son más los casos de empresas que sufren brechas de seguridad porque un alto ejecutivo cayó en un engaño perfectamente elaborado. Un correo aparentemente enviado por el CEO, una solicitud de transferencia urgente que simula venir del área legal, o un enlace disfrazado de documento financiero. Estos ataques no son masivos, son quirúrgicos. Y por eso son tan peligrosos.
El phishing dirigido se basa en la recopilación previa de información pública o filtrada. Los atacantes investigan a la víctima: su puesto, sus funciones, su red de contactos, incluso sus publicaciones en redes sociales. Con esta información construyen un mensaje que parece legítimo, urgente y familiar. Un clic basta para comprometer todo un sistema o iniciar una cadena de fraude.
Proteger a los directivos y al personal clave de estos ataques requiere un enfoque más allá del antivirus o los filtros tradicionales. En TBSEK hemos identificado cinco acciones clave que toda organización debe implementar:
1. Capacitación específica y personalizada. No basta con cursos genéricos de concientización. Los líderes necesitan entender los riesgos que enfrentan y practicar situaciones realistas de ataque. Simulaciones de spear phishing con escenarios adaptados a su realidad son altamente efectivas.
2. Autenticación multifactor en todo acceso privilegiado. Ningún directivo debería acceder a sistemas críticos solo con una contraseña. Implementar autenticación multifactor (MFA) es una barrera esencial ante credenciales comprometidas.
3. Minimización de exposición pública. Mientras más información esté disponible en línea sobre un directivo, más fácil es construir un ataque convincente. Revisar perfiles públicos, redes sociales y comunicaciones corporativas puede ayudar a reducir la superficie de ataque.
4. Protocolos claros de verificación. Las solicitudes urgentes de transferencias, cambios de contraseñas o acceso a documentos confidenciales deben pasar por procedimientos de validación adicionales. Una llamada de verificación puede prevenir fraudes millonarios.
5. Monitoreo constante y análisis de comportamiento. Herramientas de detección de anomalías pueden alertar sobre accesos inusuales o correos sospechosos dirigidos a personas clave. La tecnología, combinada con procesos, hace la diferencia.
En TBSEK, trabajamos con empresas de todos los tamaños para proteger a quienes más riesgos enfrentan en sus estructuras. Porque sabemos que cuando un directivo cae en un ataque dirigido, el impacto es desproporcionado: acceso a información crítica, exposición mediática, daño reputacional y pérdida de confianza.
La ciberseguridad empieza por proteger a quienes tienen más poder de decisión, acceso y visibilidad. Y eso solo se logra con una estrategia enfocada, actualizada y adaptada a la realidad del negocio.
