25 de mayo de 2023
Última actualización
5.25.2023
05 MIN.
En este artículo, repasaremos los riesgos de seguridad inherentes a las empresas en las redes sociales y las medidas para evitarlos.
Las redes sociales son un valioso activo de marketing, pero rara vez vemos que las empresas tomen medidas adicionales para salvaguardar las cuentas de los piratas informáticos. El 37 % de los usuarios de redes sociales confía en las opiniones de otros usuarios antes de comprar en línea, y es la misma confianza que se rompe cuando una empresa sufre una brecha de seguridad.
La confianza es la moneda de cambio en las interacciones digitales, y las marcas deben hacer más para mantener la experiencia del usuario segura y protegida. En este artículo, repasaremos los riesgos de seguridad inherentes a las empresas en las redes sociales y estableceremos medidas para evitarlos.
Las cuentas empresariales en las redes sociales están siempre bajo el radar de los hackers que intentan ingeniosas formas de colarse. Aquí tienes 5 de los riesgos de seguridad más populares a los que podrías enfrentarte hoy en día:
Hay una buena razón por la que el phishing como ciberdelito ha sobrevivido tanto tiempo. Los hackers sólo necesitan un pequeño error en la toma de decisiones para entrar en las cuentas de las víctimas y, si algo sabemos, es que la gente rara vez mantiene la compostura bajo estrés. Los correos electrónicos y SMS de phishing imitan fuentes auténticas para establecer confianza y forzar a las víctimas a reaccionar sonando urgentes. El año pasado, un empleado de Twilio reveló datos internos al hacer clic en un SMS de SSO falso.
Los ataques de malware están muy extendidos porque el intercambio de enlaces y documentos es una parte esencial de las interacciones digitales. A menudo se engaña a los empleados para que hagan clic en enlaces falsos que, además de robar datos de acceso, pueden instalar programas maliciosos en los dispositivos. El malware puede pasar desapercibido durante meses, consumir recursos, robar datos confidenciales y propagarse por los dispositivos de una misma red.
Los ataques de ingeniería social tardan meses en ejecutarse, pero tienen el mayor impacto en su negocio. Estos tipos de ataques recogen fragmentos de datos durante un lapso de tiempo para realizar ingeniería inversa de perfiles que pueden ayudar a los hackers.
Por ejemplo, los hackers pueden observar a sus empleados durante meses y seleccionar a uno que comparta demasiado en línea y no sea consciente de su privacidad. Después, pueden extraer de su perfil datos personales como cumpleaños, nombre de su mascota o colegio y utilizarlos como contraseñas. En algunos casos, los hackers tienen suerte y su empresa se convierte en víctima de un ataque de ingeniería social bien organizado.
Si su empresa depende en gran medida del marketing en las redes sociales, los teléfonos inteligentes tienen que ser una parte fundamental de ese flujo de trabajo. Los atacantes pueden intentar el shoulder surfing (husmear en público) o el intercambio de SIM para hacerse con los datos del teléfono de la víctima y todas las cuentas vinculadas al número de teléfono. Si la privacidad es laxa, los hackers probarán diferentes formas de comprometer los dispositivos.
Además, asegúrese de elegir un proveedor de sistemas telefónicos alojados fiable, con una capa adicional de protección contra la ingeniería social, el fraude y las estafas.
Si sus cuentas de redes sociales son pirateadas por ciberdelincuentes, las repercusiones serán múltiples. El primer impacto, obvio, es la pérdida de datos. Ya se trate de documentos internos, datos de usuario, detalles financieros o propiedades intelectuales, los hackers roban todo lo que les interesa.
Otro aspecto del impacto se refiere a los datos personales. Los piratas informáticos pueden robar datos confidenciales de empleados y clientes, imitar su información personal identificable (IPI) para cometer fraudes y robos de identidad, o vender los datos en la dark web.
Por último, hay que tener en cuenta la pérdida de reputación. Los ataques en las redes sociales ocurren en público: si se rompe la confianza, que es muy importante, es posible que los consumidores no vuelvan nunca a su marca. Empresas como DigiNotar, Code Spaces y The Heritage Company eran muy diferentes entre sí, pero hay un hilo que las conecta: todas ellas fueron atacadas por piratas informáticos en los últimos años y ninguna de estas empresas existe en la actualidad.
Lo bueno es que los hackers no son amenazas todopoderosas sin rostro como te he podido hacer creer hasta ahora. Sí, es importante ser consciente de los riesgos de ciberseguridad cuando se utilizan las cuentas de la empresa, pero también es importante saber que se pueden prevenir la mayoría de estos ataques con algunas medidas sencillas. He clasificado las medidas preventivas en técnicas, basadas en los empleados, centradas en la privacidad de las redes sociales y basadas en la supervisión y la respuesta.
Las correcciones técnicas no son excesivamente técnicas, pero requieren algún tipo de conocimiento técnico para tapar las lagunas.
Esto puede parecer obvio, pero las contraseñas seguras en 2023 son muy diferentes a las de hace unos años. Una contraseña realmente segura tendrá al menos 12 caracteres alfanuméricos, cadenas de caracteres especiales y únicos, y ninguna información personal fácil de adivinar.
Haga de las contraseñas seguras una obligación en toda su empresa y anime a todo el mundo a cambiarlas periódicamente, además de utilizar un gestor de contraseñas.
La autenticación de dos factores (2FA) o autenticación multifactor (MFA) añade una capa extra de seguridad. Puede resultar agotador utilizar este tipo de autenticación a diario, pero los riesgos superan con creces los inconvenientes. Los piratas informáticos suelen utilizar ataques de fatiga MFA para atacar a los usuarios con un aluvión de notificaciones 2FA y algunos usuarios se cansan y aprueban la solicitud. Asegúrese de que sus empleados son conscientes de estas tácticas y se abstengan de reaccionar inmediatamente. Es importante educar en las normas de seguridad de Internet para proteger la información personal y prevenir los ciberataques.
Aunque la mayoría de los sitios web y aplicaciones de redes sociales tienen 2FA integradas, es una buena idea utilizar aplicaciones de confianza como Google Authenticator, Duo, Microsoft Authenticator y Authy.
La seguridad de la red implica muchas cosas, así que asegúrate de marcar todas las casillas. Utilice un cortafuegos, una VPN, un servicio de protección frente al robo de identidad, hardware anti-DDoS y un servicio de cifrado, además de proteger con contraseña los routers y utilizar la virtualización para sesiones de navegación seguras. Amplíe la gestión de dispositivos móviles (MDM) para proteger los dispositivos remotos y aplicar VPN en wifi públicas. No confíe en las medidas de seguridad estándar y utilice siempre configuraciones personalizadas para proteger la red.
Las correcciones técnicas son sólo el principio. Su empresa y sus cuentas en las redes sociales son tan seguras como las personas que las utilizan y acceden a ellas. A continuación te explicamos cómo convertir a los empleados de un lastre de seguridad en un activo:
Los empleados deben contar con los conocimientos, la experiencia y las herramientas necesarias para identificar y mitigar los ciberataques. Una forma de ayudar a los empleados a mantenerse al día en el panorama de la ciberseguridad es organizar seminarios frecuentes y exhaustivos. Los módulos de formación deben cubrir los riesgos fundamentales de las interacciones digitales, los puntos finales vulnerables (smartphones, gestión de accesos, etc.) y las estrategias de respuesta. Una plantilla concienciada con la seguridad es un activo que le compensará a lo largo de los años.
Los enlaces y archivos adjuntos comprometidos son parte integrante de las estafas de phishing, por lo que es importante volver a comprobarlos antes de hacer clic en ellos. En el escritorio, puedes pasar el ratón por encima de los enlaces y botones de los correos electrónicos para ver una vista previa del enlace en la parte inferior de la pantalla. Si no estás seguro de un enlace o ya has descargado un archivo, pásalo por VirusTotal para asegurarte.
Los empleados también deben extremar la precaución al hacer clic en enlaces enviados a las bandejas de entrada de las redes sociales y ser proactivos a la hora de eliminar enlaces de spam de los comentarios.
No todos los ciberataques son provocados por los empleados y es importante centrarse en la mitigación más que en la retribución. Por eso los empleados deben estar facultados para informar inmediatamente de actividades sospechosas. Hace un par de meses, Reddit fue pirateada, pero el empleado víctima informó inmediatamente a las autoridades y ayudó al equipo a contener los daños.
Aparte de los empleados vigilantes, también debe modificar la configuración predeterminada en línea para que las redes sociales sean más seguras para su marca y sus seguidores.
Los ajustes de privacidad ayudan a mitigar los riesgos de ataques de ingeniería social, por lo que es importante revisarlos y cambiarlos con frecuencia. Los empleados encargados de manejar las redes sociales deben mantener seguras sus propias cuentas limitando lo que comparten en línea y restringiendo el acceso al perfil a los contactos de confianza. Facebook, LinkedIn, Twitter, Instagram e incluso Discord permiten a las cuentas personalizar los comportamientos del perfil y los usuarios deben aprovechar al máximo estas funciones.
Los comentarios de spam y los mensajes de cuentas falsas y dañinas deben denunciarse a la plataforma para ver cambios significativos. Sus empleados deben sentirse cómodos denunciando contenidos censurables que puedan dañar la marca y la experiencia de los usuarios. Aparte de las denuncias, también debe utilizar el bloqueo geográfico para restringir el acceso a publicaciones e información específicas.
Una parte importante de una experiencia segura en las redes sociales es la supervisión proactiva. Dado que es difícil contener un ciberataque en las redes sociales de cara al público, los empleados y administradores deben tratar de evitar que se produzca un incidente en primer lugar.
La gestión de la reputación en las redes sociales implica vigilar cómo percibe su marca la gente en línea y revisar las directrices de publicación para crear una identidad coherente y de confianza. Como la imagen lo es todo en las redes sociales, no puedes arriesgarla.
Utilice herramientas de escucha social, rastree las menciones y responda a ellas, y controle cómo llega su marca a la gente. A partir de los datos puedes cambiar tu estrategia, reforzar la seguridad y abordar las objeciones de los usuarios.
Con la supervisión constante del rendimiento de las redes sociales, también se detectan cuentas falsas e intentos de suplantación y apropiación de cuentas. La suplantación de identidad de ejecutivos y los fraudes a directores ejecutivos están aumentando y los perfiles de las redes sociales funcionan como puertas de entrada para los piratas informáticos. Utilice herramientas de escucha social para identificar actividades inusuales y tomar medidas.
Una vez que detecta un incidente de seguridad o encuentra una amenaza potencial, debe reaccionar con rapidez, eficacia y exhaustividad.
Lo primero que tienes que hacer es ponerte en contacto con la plataforma de redes sociales y trabajar con ellos para establecer tu identidad. Los piratas informáticos se apoderan de las cuentas para promover contenidos que pueden arruinar la reputación de tu empresa, por lo que es importante recuperar el control lo antes posible. Si uno de tus empleados es el objetivo y las cuentas de la empresa están a salvo, primero aísla esa cuenta eliminando el acceso y luego pasa al siguiente paso.
Las implicaciones de un negocio pirateado pueden ser graves, por lo que debe ponerse en contacto con las fuerzas de seguridad locales. Esto puede empujar a los hackers a dar un paso atrás y ayudarle a controlar la narrativa. La investigación legitima el ataque, lo que le permite llegar al centro del problema y puede incluso suscitar la simpatía de los usuarios.
Una buena estrategia de respuesta a incidentes depende de la solidez del plan de comunicación. Tenga cada paso documentado, el personal identificado y los equipos notificados para hacer frente a los ciberataques. Repasa la estrategia durante la formación y mantén un bucle de retroalimentación transparente para mejorar la gestión de crisis.
Los ciberataques en las redes sociales levantan ampollas, por lo que es importante que las empresas recuperen primero el acceso y se comuniquen con las partes interesadas. Aplicando las correcciones técnicas, formando a los empleados y trabajando con un plan adecuado de respuesta a incidentes se pueden identificar los ataques con antelación y mitigar los daños en caso de ataque.
Analítica avanzada para Instagram, Twitter, Facebook, Linkedin y TikTok. Programación tranquila, informes que ahorran tiempo y estadísticas visuales para todas sus redes sociales.
Cada semana, Emily entrevista a las mejores marcas, a influencers de renombre y a agencias ocultas con un objetivo: entender lo que ocurre detrás de vestidores de sus estrategias de redes sociales.
Escucha esm2Descúbrelo en un minuto con nuestra auditoría gratuita.