Formulario de búsqueda

Ciberseguridad en redes sociales: también es una cuestión de branding

  • El secuestro de cuentas y la suplantación de identidad de perfiles oficiales son los ataques más habituales
  • Dimensiones reputacionales como la transparencia, la integridad o la credibilidad pueden verse afectadas

Estamos muy felices de contar que ya hemos recuperado el control de nuestro perfil oficial de Instagram. Han sido 6 días de nervios, trabajo duro, implicación y coordinación. Que un ciberdelincuente tome el control de tu cuenta no es algo que pase todos los días o a lo que (por suerte) estemos acostumbrados. Un día después de postear que habíamos sido víctimas de un ciberataque, hemos podido recuperar lo que nos había sido robado”.

INCIBE gestionó 133.155 incidentes de ciberseguridad durante el año 2020

Ese es un fragmento del mensaje que hace dos días publicaba la marca Closca en su blog oficial. Ha sido una de las decenas de compañías y cientos de usuarios particulares que cada año son víctimas de un ciberataque. Y es que en 2020 el Instituto Nacional de Ciberseguridad (INCIBE) gestionó 133.155 incidentes de ciberseguridad durante el año 2020, de los cuales 106.466 hacen referencia a ciudadanos y empresas. De dichos incidentes, el 35% corresponden a malware, es decir, software que lleve a cabo acciones como extracción de datos u otro tipo de alteración de un sistema, y el 32% a fraude, esto es, el uso no autorizado de recursos empleando tecnologías y/o servicios por usuarios no autorizados, como la suplantación de identidad, la violación de los derechos de propiedad intelectual u otros engaños económicos.

A consecuencia de la necesidad de apoyarse en el ecosistema digital durante el confinamiento para continuar con la actividad profesional y educativa, satisfacer los intereses de ocio y entretenimiento, o impulsar el consumo a través del crecimiento del comercio electrónico, los ciberataques han experimentado un notable incremento, no solo en términos de cantidad, sino también en su sofisticación y en el precio de los mismos. “No solo se ha registrado un incremento del número de incidentes durante los últimos años, sino que también se han producido en las cifras de los rescates que los ciberdelincuentes reclaman a las víctimas”, explicaba recientemente a Reason.Why Dani Creus, Analista Senior de Seguridad del Equipo de Investigación y Análisis de Kaspersky.

Secuestro y suplantación

Entre todas estas ciberamenazas y ciberataques, el robo o secuestro de cuentas y la suplantación de identidad son las más practicadas acciones más por los delincuentes online en redes sociales, servicios de mensajería o plataformas digitales. Se trata de actividades malintencionadas que, dirigidas a particulares o empresas, están enfocadas al robo de datos, los engaños para obtener información o un beneficio económico, la práctica del ciberacoso y extorsión o el grooming (el acoso a menores por parte de adultos con fines sexuales).

El phishing es una técnica habitual para lograr el robo o control de las cuentas

Tal y como explican desde la Oficina de Seguridad del Internauta (OSI), para el secuestro de cuentas los atacantes logran hacerse con las credenciales para secuestrar los perfiles y las cuentas mediante ataques a las contraseñas con malware o técnicas basadas en ingeniería social, como el phishing . Una vez esos datos se encuentran bajo su control, tendrán total libertad para lanzar fraudes en nombre de la marca, obtener información personal, cambiar la contraseña o los datos de recuperación de la cuenta. Se encontrarían, por tanto, en posición de solicitar un rescate a cambio de recuperar el control de la misma y sacar un beneficio económico del acto delictivo.

Este tipo de acción dió lugar a uno de los ciberataques más relevantes de 2020. En julio del año pasado los perfiles oficiales de Twitter de marcas como Apple y Uber, o la de personalidades relevantes como Barack Obama, Joe Biden, Kim Kardashian o Elon Musk se vieron afectadas por un secuestro masivo de cuentas. Durante unas horas, todas ellas comenzaron a lanzar mensajes en los que animaban a sus seguidores a visitar una web de criptomonedas asegurando que duplicarían la cantidad invertida. El atacante, que resultó ser un joven británico de 22 años, logró estafar más de 100.000 euros en bitcoins.

Por su parte, este mismo mes de julio, la cadena de televisión española LaSexta ha sido una de las marcas en sufrir un hackeo en su perfil de Twitter. Tanto la cuenta oficial como la de varios programas de la casa, entre ellos “El Intermedio”, “Al Rojo Vivo” o “Más vale tarde”, publicaron un video y publicaron frases en tono irónico e insultante. “En LaSexta hemos sufrido un ataque en nuestras cuentas de redes sociales, pero ya está solucionado. La investigación y la denuncia están en marcha”, comentaron desde la cadena.

La firma de moda española Adolfo Domínguez también ha sido víctima de un secuestro. En septiembre de 2020, su perfil de Instagram fue hackeado y empleado para, a través de un vídeo en directo, retransmitiri imágenes del canal de televisión Al Jazeera. La compañía pudo recuperar el control de la comunicación y del perfil al cabo de unas horas.

fotoSecuestro del perfil de Instagram de Adolfo Domínguez

En lo que respecta a la suplantación de identidad, los ciberdelincuentes suelen tener por objetivo aquellas cuentas con muchos seguidores, tanto de usuarios particulares como empresas. El modo de actuación más habitual consiste en la creación de una cuenta falsa que reproduce elementos como el nombre, la fotografía de perfil o el handle para conseguir un parecido casi idéntico a la cuenta oficial. Así, los usuarios más despistados siguen creyendo que son las cuentas “buenas”, situación que el atacante aprovechará para lanzar y publicar sorteos o campañas de publicidad falsas, con enlaces maliciosos o formularios, desde los perfiles fraudulentos con la intención de recopilar información personal de posibles víctimas.

Más allá de las redes sociales, la suplantación de identidad es más habitual en el canal del correo electrónico, especialmente entre aquellas compañías relacionadas con herramientas digitales, servicios logísticos y compras online. Según el informe “Brand Phishing Report” de Check Point correspondiente al segundo trimestre de 2021, el 45% de todos los intentos de phishing de marca estaban relacionados a Microsoft, compañía que ha experimentado un incremento de 6 puntos porcentuales respecto al primer trimestre del año. DHL, Amazon, Bestbuy, Google, LinkedIn, Dropbox, Chase, Apple y PayPal, completan el ranking de las diez marcas más suplantadas.

El impacto en la reputación

Como es lógico, todo este tipo de ciberataques conllevan consecuencias e impactos directos en la reputación de las marcas. Tal y como apunta Julio Fernández-Sanguino, Director Digitalde Apple Tree, la reputación es algo que cuesta mucho construir y que es muy fácilmente desmontable. “Suelen ser muchos años de construcción de comunidad, de generación de contenido reconocible y relación entre cliente y marca. Las personas que se adueñan de una cuenta van a intentar hacer siempre el máximo daño posible buscando acelerar sus objetivos. El impacto es alto y puede llevar a la propia desaparición de la cuenta. Toda la inversión que hay detrás y la valoración de activos que implica tener una cuenta con un número elevado de seguidores, se pierde”.

Para, Carlota Castellanos, Director & Head of Strategy de FutureBrand, el constante desarrollo tecnológico permite darse cuenta de este tipo de amenazas y riesgos de manera cada vez más ágil, pero considera que el principal efecto del ataque reside en la imagen de vulnerabilidad que se transmite al ser víctima de ello. “El mayor problema a nivel de marca es dejar entrever a tus clientes la capacidad que tiene un tercero de accede a sus datos y dejar al descubierto la protección de datos. Ahí es donde la imagen se ve más dañada”, asegura en declaraciones a Reason Why.

Es por eso que, en su opinión, las compañías han tomado conciencia del problema y han avanzado en su preparación en lo que respecta a la gestión de este tipo de conflictos. “Hoy en día las marcas están más preparadas. Hace ocho o cinco años era algo que todavía estaba en proceso. La sociedad es cada vez más consciente de lo vinculado a sus datos personales y eso se refleja en la actuación y prevención de las marcas”, nos explica Castellanos, que cita como ejemplo de ello la contratación del popular hacker Chema Alonso por parte de Telefónica para liderar el departamento de ciberseguridad. Sin embargo, apunta que se trata de una cuestión que depende de la naturaleza de las propias compañías. “Para aquellas compañías con mayor movimiento de negocio e información, la ciberseguridad será la máxima prioridad y otras, con un rango de actividad más pequeño, es posible que no invertirán tantos recursos”.

Por el contrario, Luis Martin, Director de Deep Digital Business de LLYC, considera que las marcas no están preparadas para afrontar este tipo de problemas. "Hasta ahora pensaban que solo les afectaban desde el punto de vista tecnológico o jurídico, y no eran tan conscientes del daño reputacional de un ciberataque como el robo de una cuenta”. Según la consultora, estos ataques afectan en cinco dimensiones diferentes: la imagen de marca, la credibilidad, la transparencia respecto a la información, la integridad y las expectativas éticas, y también lo relacionado a la contribución a la sociedad.

Cómo proteger las cuentas en redes sociales

Contar con procedimientos y protocolos de seguridad y gestión de crisis es una de las principales vías para prevenir o actuar frente a este tipo de ataques, sistemas que suelen ser más habituales entres las grandes compañías que cuentan con departamentos específicos para esta materia. “Todo ello no evita que las incidencias sean algo complicado de gestionar en el momento en el que hay muchas personas y muchos interlocutores accediendo a las mismas cuentas. A eso hay que añadir también el uso de aplicaciones de terceros, que no se suele recomendar, pero que en la práctica sucede”, nos comenta Fernández-Sanguino. “Las marcas siempre están preparadas, pero los hackers van un paso por delante y tienen técnicas para cumplir sus objetivos”.

"Siempre va a haber cuentas que se hagan pasar por empresas con fines maliciosos"

Desde Apple Tree aseguran que recibir mensajes de phising es habitual y, por tanto, es muy importante estar al tanto de las técnicas, los casos y cómo prevenirlo. Fernández-Sanguino cita, entre algunas recomendaciones, no abrir mensajes que no estén verificados ni comunicaciones que procedan de cuentas que no sean las oficiales de las propias plataformas o redes sociales. Asimismo, aconseja cambiar contraseñas con periodicidad y activar la doble autenticación de la que disponen ya muchos de los servicios que se usan habitualmente. “En cuanto a los perfiles falsos de marca, prevenirlo es más complicado porque se escapa de la propia actividad de las compañías. A veces los usuarios no perciben si el nombre está mal escrito o si la cuenta no está verificada. Siempre va a haber cuentas que se intenten hacer pasar por empresas con fines maliciosos para captar información o para obtener ventas”.

La alternativa que existe para luchar con este tipo de ciberataque es reclamar los perfiles falsos cuanto antes. Prácticamente todas las redes sociales y plataformas digitales cuentan con procedimientos para esto y actualizan sus protocolos con periodicidad, incluyendo nuevos procedimientos. Por ejemplo, Instagram presentó este mismo mes de julio su nueva Comprobación de Seguridad, una funcionalidad que permite asegurar la cuenta y protegerla ante posibles atacantes que estén intentando robarla o hackearla.

Sin embargo, Luis Martin (LLYC) destaca que la inversión publicitaria en las redes sociales es una cuestión de peso en la resolución de conflictos. “Hay que diferenciar entre las grandes marcas, que tienen o han tenido campañas de publicidad en activo y para las cuales es mucho más sencillo solucionar este tipo de problemas al contar con una relación directa con las redes, y las pequeñas y medianas empresas", señala en declaraciones a Reason Why. "Estas no tienen ese acceso preferente y para las que recuperar una cuenta robada puede convertirse en una odisea ya que solo pueden recurrir a un formulario, donde la mayor parte de las veces no hay una persona real para resolver el problema”.

Estas cuestiones quedan recogidas también en la guía de “Buenas prácticas en redes sociales” elaborada desde INCIBE, que detalla los puntos clave de una política de seguridad en este tipo de plataformas. De cara a proteger sus cuentas y perfiles, las marcas deben contar con:

  • Una contraseña de acceso robusta que no sea fácilmente descifrable, y habilitar siempre que sea posible el doble factor de autenticación
  • Configuración de privacidad, encontrando un punto un punto intermedio que permita utilizar las distintas redes sociales de manera efectiva, sin descuidar la seguridad y privacidad del perfil empresarial
  • Un responsable de publicación. Tal y como explica el organismo, “si se permite que todos los empleados tengan acceso y publiquen de forma indiscriminada, la imagen de la empresa puede verse dañada, además de aumentar el riesgo de sufrir un incidente de seguridad”.
  • Unas normas de publicación definidas, con un tono y un lenguaje establecido
  • Restricciones de accesos a ciertos datos o permisos que puedan vulnerar la privacidad de la cuenta

Además, aconsejan estar al día de las amenazas, intentar evitar errores humanos, y ser precavidos a la hora de seguir determinados enlaces o descargar archivos adjuntos. Y por otro lado, también incluyen entre sus directrices, la investigación del suceso, el reporte a las autoridades competentes y la denuncia de la situación a la Policía.

Seguridad y branding, de la mano

En el caso de que la marca sea víctima de una suplantación de identidad o un secuestro de cuenta, desde FutureBrand aseguran que la comunicación a los usuarios y clientes debe formar parte de la gestión de crisis, apostando además por un enfoque corporativo e institucional. “Se trata de un asunto serio porque una vulneración de este tipo puede afectar y comprometer los datos y a la información de la comunidad”, comenta Castellanos en declaraciones a Reason Why.  “Siendo el tono un elemento muy importante y diferencial para la identidad y construcción de marca, debe ser lo suficientemente flexible para adaptarse a las distintas situaciones y a la gestión de una crisis”.

En un ecosistema cada vez más digitalizado, la ciberseguridad cobra relevancia estratégica

Cada vez con más frecuencia, y de manera directa e indirecta, la construcción de la imagen de marca y la generación de la reputación online son cuestiones que encuentran implicaciones más allá del marketing y del branding. En un ecosistema en creciente digitalización, cuestiones como la ciberseguridad deben estar presentes en los planteamientos estratégicos de las compañías, que han de apostar con actuaciones coordinadas entre todas sus áreas de negocio para gestionar crisis y evitar riesgos que pongan en peligro la supervivencia del negocio.

Esta es una victoria colectiva, la suma de todos y cada uno de los factores que habíamos puesto en marcha han tenido como resultado que recuperemos nuestra cuenta oficial de Instagram (y mayor canal de comunicación) en menos de una semana”, comentaba Closca en su mensaje”. “Sabemos que el nuestro no es un caso aislado. Para nosotros, las repercusiones han sido graves pero no irreparables, por lo que nos sentimos muy afortunados, pero no hay que bajar la guardia. Los ciberataques son una realidad a la que debemos hacer frente”.