Cinco ciberataques contra los departamentos de marketing

Por qué los ciberdelincuentes quieren atacar al personal de marketing y cómo puedes proteger a tu empresa de daños financieros y de reputación.

Cuando hablamos de ataques a empresas, solemos centrar la atención en cuatro aspectos: finanzas, propiedad intelectual, datos personales e infraestructura de TI. Sin embargo, no debemos olvidar que los ciberdelincuentes también pueden tener como objetivo activos de la empresa gestionados por los equipos de marketing y relaciones públicas, lo que incluye los envíos de emailing, las plataformas de publicidad, los canales de redes sociales y los sitios promocionales. A primera vista, estos objetivos pueden parecer poco atractivos para los delincuentes (“¿dónde están los ingresos?”), pero en la práctica todos ellos pueden servir a los ciberdelincuentes para sus propias “actividades de marketing”.

Publicidad maliciosa

Para gran sorpresa de muchos (incluso de los expertos en seguridad de la información), los ciberdelincuentes llevan varios años ya haciendo un uso activo de la publicidad de pago legítima. De una forma u otra, pagan por los banners publicitarios y las posiciones en las búsquedas, y emplean herramientas de promoción corporativa. Hay muchos ejemplos de este fenómeno, que se conoce con el nombre de publicidad maliciosa. Por lo general, los ciberdelincuentes anuncian páginas falsas de aplicaciones populares, campañas de promoción falsas de marcas famosas y otros métodos fraudulentos dirigidos a una amplia audiencia.

A veces, los autores de las amenazas crean una cuenta publicitaria propia y pagan por la publicidad, pero este método deja demasiado rastro (como los datos de pago). Por eso, les resulta más atractivo otro método: robar las credenciales de acceso y piratear la cuenta publicitaria de una empresa honrada, para luego promocionar sus sitios a través de ella.

Esto tiene una doble recompensa para los ciberdelincuentes: consiguen gastar el dinero de otros sin dejar excesivos rastros. Pero la empresa víctima, además de una cuenta publicitaria destripada, se encuentra con un problema tras otro, incluido el posible bloqueo por parte de la plataforma publicitaria por distribuir contenido malicioso.

Votos negativos y pérdida de seguidores

Una variación del método anterior es tomar el control de las cuentas de publicidad de las empresas en las redes sociales. Las características específicas de las plataformas de redes sociales crean problemas adicionales a la empresa objetivo.

En primer lugar, el acceso a las cuentas de empresa en las redes sociales suele está vinculado a las cuentas personales de los empleados. A menudo, los atacantes solo tienen que lograr acceder al ordenador personal de un anunciante o robar su contraseña de la red social para obtener acceso no solo a los me gusta y las fotos de gatos, sino también al ámbito de acción que le ha autorizado la empresa para la que trabaja. Eso incluye publicar en la página de la red social de la empresa, enviar correos electrónicos a los clientes a través del sistema de comunicación integrado en la página y publicar anuncios de pago. Revocar estas funciones de un empleado que haya sufrido un ataque de este tipo es sencillo, siempre que no sea el administrador principal de la página de la empresa, en cuyo caso, restaurar el acceso requerirá un gran esfuerzo.

En segundo lugar, el formato de la mayoría de los anuncios en las redes sociales es como “publicaciones promocionadas” creadas en nombre de una empresa en concreto. Si un atacante publica y promociona una oferta fraudulenta, la audiencia verá de inmediato quién la ha publicado y podrá manifestar su desaprobación directamente en los comentarios de la publicación. En este caso, la empresa no solo sufrirá un daño económico, sino también un perjuicio visible a su reputación.

En tercer lugar, en las redes sociales muchas empresas guardan “audiencias personalizadas”, es decir, un conjunto preparado de clientes interesados en distintos productos y servicios, o de usuarios que han visitado previamente el sitio web de la empresa. Aunque generalmente estas audiencias no se pueden extraer (es decir, robar) de una red social, lamentablemente es posible crear publicidad maliciosa dirigida a una audiencia específica y que, por lo tanto, sea más eficaz.

Boletines no programados

Otra forma eficaz que emplean los ciberdelincuentes para obtener publicidad gratuita es secuestrando una cuenta en un proveedor de servicios de correo electrónico. Si la empresa atacada es lo suficientemente grande, puede llegar a tener millones de suscriptores en su lista de correo.

Este acceso se puede explotar de varias formas: enviando una oferta falsa irresistible a las direcciones de correo electrónico de la base de datos de suscriptores; sustituyendo de forma encubierta los enlaces de los correos publicitarios planificados; o simplemente descargando la base de datos de suscriptores para enviarles correos de phishing de otras formas en el futuro.

De nuevo, el daño sufrido es económico, de reputación y técnico. Por “técnico” nos referimos al bloqueo de los futuros mensajes entrantes por parte de los servidores de correo. En otras palabras, después de que se hayan enviado los correo maliciosos, la empresa víctima tendrá que resolver el problema no solo con la plataforma de correo, sino también con proveedores de correo electrónico específicos que la hayan bloqueado por ser una fuente de mensajes fraudulenta.

Un efecto secundario muy desagradable de un ataque de este tipo es la filtración de datos personales de los clientes. Se trata de un incidente en sí mismo, capaz de infligir no solo daño a tu reputación, sino que también puede conllevar una multa por parte de los reguladores de protección de datos.

Cincuenta sombras de un sitio web

El pirateo de un sitio web puede pasar desapercibido durante mucho tiempo, especialmente si ocurre con una empresa pequeña que hace negocio principalmente a través de las redes sociales o fuera de Internet. Desde el punto de vista de los ciberdelincuentes, los objetivos al piratear un sitio web varían según el tipo de sitio y la naturaleza del negocio de la empresa. Si dejamos de lado los casos en los que la vulneración del sitio web forma parte de un ciberataque más sofisticado, generalmente podemos distinguir las siguientes variedades.

En primer lugar, los actores de amenazas pueden instalar un skimmer web en un sitio de comercio electrónico. Consiste en un pequeño fragmento de JavaScript oculto, que se incrusta directamente en el código del sitio web para robar los datos de las tarjetas cuando los clientes pagan una compra. El cliente no tiene que descargar ni ejecutar nada, simplemente paga por lo que quiera adquirir en el sitio y los atacantes dispondrán de los datos para robar a esa víctima.

En segundo lugar, los atacantes pueden crear subsecciones ocultas en el sitio y llenarlas de contenido malicioso. Estas páginas se pueden utilizar para una gran variedad de actividades delictivas, como por ejemplo, regalos falsos, ventas falsas o distribuir software convertidos en troyanos. Usar un sitio web legítimo para estos fines es ideal, siempre que los propietarios no se den cuenta de que tienen “invitados”. De hecho, existe todo un sector especializado en esta práctica. Son especialmente populares los sitios desatendidos que se crearon para alguna campaña de marketing o evento único y que, posteriormente, se olvidaron.

El daño a una empresa por el pirateo de un sitio web es amplio e incluye varias consecuencias: mayores costes relacionados con el sitio debido al tráfico malicioso; la disminución en el número de visitantes reales debido a una caída en el ranking SEO del sitio; posibles disputas con los clientes o con las fuerzas del orden sobre los cargos inesperados en las tarjetas de los clientes.

Explotación de formularios web

Los actores de amenazas pueden aprovecharse del sitio web de una empresa para sus propios fines incluso sin tener que piratearlo. Lo único que necesitan es que el sitio tenga una función que genere un correo electrónico de confirmación: un formulario de comentarios, un formulario de reservas, etc. Los ciberdelincuentes utilizan sistemas automatizados para explotar dichos formularios con fines de spam o phishing.

La mecánica es muy sencilla: introducen la dirección del objetivo en el formulario en el campo “Correo electrónico de contacto”, mientras que el texto del correo electrónico fraudulento se incluye en el campo “Nombre” o “Asunto”. Por ejemplo, pueden escribir lo siguiente: “Tu transferencia está lista para emitirse (enlace)”. Como resultado, la víctima recibirá un correo electrónico malicioso que contendrá un texto de este estilo: “Hola, XXX: tu transferencia está lista para emitirse (enlace). Gracias por ponerte en contacto con nosotros. En breve recibirás noticias nuestras”. Lógicamente, llegará un momento en que las plataformas antispam dejarán de permitir el envío de esos correos y el formulario de la empresa víctima perderá parte de su funcionalidad. Además, todos los destinatarios que reciban un mensaje de este tipo tendrán una mala opinión de la empresa, a la que considerarán spammer.

Cómo proteger los activos de marketing frente a los ciberataques

Dado que los ataques descritos son bastante diversos, es necesaria una protección en profundidad. Estos son los pasos que debes seguir:

  • Lleva a cabo formación en concienciación sobre ciberseguridad en todo el departamento de marketing. Repítelo periódicamente.
  • Asegúrate de que todos los empleados cumplan las prácticas recomendadas en materia de contraseñas: contraseñas largas y únicas para cada plataforma, y el uso obligatorio de la autenticación de dos factores, especialmente en redes sociales, herramientas de correo y plataformas de gestión de publicidad.
  • Elimina la práctica de usar una contraseña para todos los empleados que necesitan acceder a una red social de la empresa u otra herramienta en línea.
  • Pide a los empleados que accedan a las herramientas de correo/publicidad y al panel de gestión del sitio web únicamente desde dispositivos del trabajo equipados con una protección total, de acuerdo con los estándares de la empresa (EDR o seguridad de Internet, EMM/UEM, VPN).
  • Insta a los empleados a que instalen una protección completa en sus ordenadores y teléfonos personales.
  • Incorpora la práctica de que haya que cerrar la sesión obligatoriamente en las plataformas de correo/publicidad y otras cuentas similares cuando no se estén usando.
  • No te olvides de revocar el acceso a las redes sociales, plataformas de correo/publicidad y el panel de gestión del sitio web inmediatamente después de que un empleado deje la empresa.
  • Revisa regularmente las listas de correo electrónico enviadas y los anuncios que se están ejecutando actualmente, junto con análisis detallados del tráfico del sitio web para detectar posibles anomalías a tiempo.
  • Asegúrate de que todo el software utilizado en tus sitios web (sistema de gestión de contenido y sus extensiones) y en los ordenadores del trabajo (p. ej., el sistema operativo, el navegador y Office) se actualice de manera periódica y sistemática a las versiones más recientes.
  • Trabaja con la empresa encargada del soporte de tu sitio web para implementar la validación y el saneamiento de los formularios; en particular, para garantizar que no se puedan insertar enlaces en campos que no estén destinados a tal fin. También debes establecer un “límite de frecuencia” para evitar que el mismo actor envíe cientos de solicitudes al día e incluir un captcha inteligente para protegerte de los bots.
Consejos