Saltar al contenido

Redes sociales: Riesgos asociados a las organizaciones y cómo pueden gestionarse

    Redes sociales: Riesgos asociados a las organizaciones y cómo pueden gestionarse

    1. Detalles de infraestructura y tecnologías de la organización en redes

    Uno de los principales desafíos es la publicación de información sensible por parte de los colaboradores. Cada vez es más habitual que, con el objetivo de compartir información y buenas prácticas entre colegas, los profesionales de sistemas, tecnología o ciberseguridad compartan detalles de la infraestructura, herramientas o configuraciones que utilizan en sus redes sociales. Esta información puede ser utilizada por atacantes para diseñar ataques dirigidos. La exposición de vulnerabilidades internas facilita el reconocimiento y la planificación de estos ataques.

    Para mitigar este riesgo, es esencial implementar políticas claras sobre la información que no se puede compartir en redes sociales y capacitar regularmente al personal sobre los riesgos de divulgar información sensible. Además, podría ser recomendable monitorear las publicaciones en redes sociales abiertas que hagan alusión a la empresa.

    2. Suplantación de nuestras marcas e identidades

    Otro desafío crítico es la suplantación de identidad y la creación de redes sociales falsas. Los criminales crean perfiles falsos impostando a la organización (ejemplos claros son las redes apócrifas de entidades financieras y organismos gubernamentales) para cometer fraudes contra sus usuarios, clientes, socios o proveedores. También hay una tendencia creciente en la creación de perfiles falsos o suplantados de ejecutivos (utilizados para ataques dirigidos) y de personal de recursos humanos (utilizados para estafar a quienes buscan trabajo en la empresa).

    En los últimos años ha quedado de manifiesto el daño significativo a la reputación de las organizaciones que esto genera, así como las consecuencias legales asociadas y la pérdida de confianza de usuarios, clientes y socios.

    Para enfrentar este problema, sugerimos una estrategia que conjuga a las áreas técnica, legal y de comunicaciones de la empresa. Para simplificarlo, el primer paso es implementar una solución de monitoreo constante de perfiles falsos en redes sociales. Ante cada cuenta detectada, se debe resguardar la evidencia y reportarlo para generar su baja antes de que pueda usarse para atacar a terceras partes. En paralelo, promover la acción penal por uso abusivo de marca y/o suplantación de identidad (según se esté impostando a la organización o a uno de sus funcionarios) permitirá no sólo buscar atribuir autoría al hecho, sino además demostrar debida diligencia ante potenciales acciones de terceros. Esta estrategia se completa con delinear una campaña recurrente de comunicación a clientes y socios sobre cuáles son los canales oficiales de comunicación.

    3. Ingeniería social contra la organización.

    Profundizando sobre uno de los escenarios planteados en el punto anterior, es importante entender que los atacantes se hacen pasar por contactos de confianza para engañar a nuestros colaboradores con el fin de obtener credenciales válidas, información sensible o distribuir malware. No es necesario detenernos en las consecuencias, basta con mencionar al ransomware (o secuestro extorsivo de sistemas) como una de las que se repiten con más frecuencia.

    Para mitigar estos riesgos, las organizaciones deben implementar campañas de concientización y entrenamiento de usuarios, lo que incluye simulaciones de ataques de ingeniería social mediante redes sociales. También se sugiere implementar controles de gestión de accesos, identidades y privilegios para evitar que, aún con credenciales válidas de un usuario, un atacante pueda moverse libremente dentro de nuestros sistemas y acceder de manera irrestricta a nuestros activos.

    4. Gestión reputacional de incidentes a través de redes

    La gestión de crisis y la comunicación en redes sociales representan otro desafío significativo, ya que suelen ser uno de los medios utilizados para la comunicación durante una crisis de ciberseguridad. Una gestión inadecuada puede exacerbar el impacto del incidente, llevando a la difusión incontrolada de información, daño adicional a la reputación de la empresa y desinformación entre los stakeholders.

    Desarrollar y practicar un manual de comunicación para crisis que incluya directrices específicas para el uso de redes sociales es crucial. Designar portavoces autorizados y entrenados para manejar la comunicación en situaciones de crisis y utilizar herramientas de gestión de redes sociales para controlar y monitorizar la información difundida son pasos esenciales para mitigar este riesgo.