Indudablemente, en el contexto de ciberseguridad y nuevas tecnologías, los cambios son constantes y profundos, y uno de los que más llama la atención es el hecho de que nosotros como personas, nos hemos convertido en objetivo de los cibercriminales.
Los motivos son variados, pero quizá el que más peso tiene, es que para el atacante, resulta mucho más fácil comprometer la seguridad de un entorno corporativo a través de un ataque dirigido a una persona (con el típico correo de phishing o malware por ejemplo), a tratar de saltarse las medidas de seguridad perimetrales o de sistemas implantados a nivel corporativo en la organización.
Es decir, hablando en plata, resulta mucho más cómodo, sencillo y sobre todo barato, tratar de comprometer la cuenta o equipo de una persona, y a través de la misma escalar el ataque dentro de la organización, que luchar contra cortafuegos, sistemas de intrusión y demás historias que pueda tener desplegados la empresa en cuestión.
Y en toda esta tesitura anterior, resultan interesantes los conceptos de VIP y VAP, que además, no tienen por qué corresponderse.
Empezaremos hablando del perfil VIP (Very Important Person), fundamentalmente consideramos como usuarios VIP en la empresa, a las personas integradas en Dirección o en puestos clave de Desarrollo y Comercial, y por lógica era hasta ahora a las que se consideraba más críticas y dónde más hincapié se hacía en proteger.
Y tiene su lógica, primero porque precisamente estos perfiles por su naturaleza, suelen tener un acceso casi absoluto a los sistemas, aunque sea innecesario. Por ejemplo, es habitual que el director o directora de turno tengan acceso total al repositorio central de carpetas y documentos, independientemente de que en su día a día utilicen sólo una mínima parte (y es que no nos vamos a engañar, que obtengan el típico “No tiene permisos suficientes” durante un acceso esporádico o accidental a un repositorio, puede tomarse como un desplante personal).
Y segundo, porque indudablemente, interviene también el estatus del perfil, no es lo mismo para el CEO que un trabajador cualquiera haya tenido un incidente de seguridad, a que éste incidente esté relacionado directamente a su persona, aún con las mismas consecuencias, no lo tomará de la misma manera.
Todo lo anterior creo que hasta ahora estaba más que interiorizado, sin embargo, aparece el concepto de VAP (Very Attacked Person), que cambia bastante la perspectiva. Con VAP, nos referimos a las personas más atacadas en la empresa, las que reciben más spam, phishing, enlaces comprometidos o ataques de otra índole, y ojo, porque muchas veces no hay coincidencias, o todas las coincidencias que cabría esperar entre VIPs y VAPs.
De hecho, normalmente los VAP raramente son altos ejecutivos, sino que suelen ser trabajadores con acceso a información confidencial, o con permiso o capacidad de realizar transferencias bancarias.
Y es que si nos paramos un momento a pensar, tiene todo el sentido del mundo, para qué atacar a un CEO, cuando puedes atacar a una persona del Departamento de Contabilidad con los mismos resultados, por ejemplo utilizando técnicas como el “Fraude del CEO”, del que hablamos en: https://ciberseguridadtotal.com/fraude-del-ceo-cuando-la-estafa-viene-de-tu-jefe/, o incluso por qué no atacar a alguien de Sistemas, en este sentido es más complicado ejecutar el engaño, pero de conseguirlo se allanará el acceso a multitud de sistemas clave.
Por tanto, y resumiendo el hilo de la presente entrada, es una ventaja frente a los malos identificar a los VAPs de la organización, sobre todo para dedicar esfuerzos a su formación y prepararlos frente amenazas, y es que como hemos comentado en multitud de ocasiones, la concienciación y formación son fundamentales, y en último término el último escudo que queda frente a un ataque bien perpetrado. En este sentido, normalmente, esta identificación de VAPs es posible hacerla a través de sistemas avanzados antispam, capaces de identificar a las personas que reciben más phishing o correo malicioso, y es que el correo electrónico es actualmente la puerta de entrada estándar para este tipo de estafas dirigidas a usuarios, aunque tampoco podemos olvidar mensajería instantánea y SMS.
