Envío masivo de correo electrónico Rberny 2017

Envío masivo de correo electrónico

Me indicó investigará un correo que le llegó muy extraño, bien pues lo revisé, no era spam, ni un ataque, analicé sus propiedades y observé el camino entre servidores, todo estaba bien, sabía que ese correo era de la competencia, pero no comprendía, el por qué le llegó

No hace mucho que un el dueño de una empresa grande, me llamo para preguntarme sobre la seguridad que tenemos en el servicio de correo electrónico corporativo, la verdad me extraño muchísimo, ya que cada trimestre al consejo le entregó el reporte de evaluación de riesgos en la seguridad.

Después de aclararle los puntos del SLA, mismo que es acordado a inicios de año, me indicó investigará un correo que le llegó muy extraño, me di a la tarea de analizarlo, encontré que no era spam, tampoco era el producto de un ataque, analicé sus propiedades y observé el camino entre servidores, todo estaba bien, los servidores están arriba y contestando, por el dominio sabía que ese correo era de la competencia, no obstante, no comprendía el por qué llegó a nuestro dominio, dicho correo electrónico contenía el portafolio de nuevos servicios y productos, que aún no se promocionan, así como el listado de clientes y sus cuentas de correo electrónico.

Continúe con mi tarea de saber el origen, me di cita en el área de atención a clientes y ellos me confirmaron que, en el listado de clientes del correo de la competencia, existían muchos que nosotros también teníamos y me ayudo a validar sus correos.

Como debe de ser esto motivo que se encendiera una alerta y se generara un ticket, desafortunadamente me entere por el rebote de correos electrónicos que muchos clientes llamaron para quejarse de la falta de ética entre proveedores, al estarse pasando el listado de clientes y con toda la razón.

En ese sentido se levantó otro evento por riesgos en la seguridad de la información en la empresa, para las decisiones y las acciones a tomar.

Se les indicó a los clientes por medio de comunicado, que el origen de ese correo no era nuestra empresa y que el otro proveedor estaba publicando su información por correo electrónico y a nuestro entender era una acción muy irregular.

No fue posible llegar a fondo de primera instancia, al pasar los días y una vez pasado el evento y no haber perdido clientes, ni ventas, propuse realizar un ejercicio donde esta situación pasara con nosotros, lo cual fue autorizado por el consejo.

¿Por parte de sistemas que más haríamos?

Se realizó una simulación del evento, llegando a las siguientes consecuencias:

  • Le estamos informando a la competencia nuestros productos, clientes y promociones.
  • Consideramos la pérdida de un 10% de clientes inicialmente y sin poderlos recuperar pronto.
  • Pronosticamos una baja en las ventas de un 30%.
  • La imagen de la empresa se deteriorará hasta un 50%, por la desconfianza y ética en los negocios.
  • Las pérdidas propiciaron reducir el presupuesto, sin inversiones y que se recortará al personal no esencial.
  • Para impulsar nuevamente la empresa, se tomará del capital social de reserva para contingencias.
  • Algunos de nuestros ex empleados, no se podrán contratar pronto con nadie, por el mal antecedente de la empresa.
  • Esto ya se sitúa delicado, estamos hablando de; si no un cierre, si de pérdidas económicas fuertes.

El resultado que encontramos en la simulación de esta situación es muy apremiante, de inmediato lo incluimos como un posible riesgo y se cuantificó aproximadamente para generar una reserva.

Es evidente que teníamos que enterarnos de que fue lo que sucedió en esa empresa y utilizar ese conocimiento para prevenirnos.

Descripción general del evento

Sucedió algo que pudo ser previsto o evitado, uno de los directivos tenía un conocido de otra empresa, al cual contrataron como encargado de sistemas y se posicionó como su único aval para tecnologías de la información, la razón era porque habían trabajado juntos, así como muchos de sus empleados.

“En la actualidad ya no debería de ser complicado ignorar lo intrascendente y quedarse con lo relevante., eventos como este es común que todo llame nuestra atención y perdamos la concentración con facilidad”

Muy caro le salió a dicha empresa, no cuestionarse, si contaban con un especialista para esta área que podemos ubicarla como crítica, no lo hicieron y para evitarse algún tipo de gasto o tarea el jefe de sistemas se encargó de enviar un correo masivo de mercadotecnia, su poca instrucción con el servidor de correo, no le permitió ver que estaba mezclando grupos de distribución, hasta que envió el correo, nadie lo revisó o validó antes y después, entonces, se enteraron de la manera más abrupta cuando sus clientes estaban cancelando la cuenta.

El presente artículo tiene como fin ayudar a identificar la identidad del negocio, como una empresa con liderazgo y reflexionar:

¿En verdad sabemos lo que queremos tecnológicamente y sabemos cómo lo lograremos?

La capacidad de la gente de sistemas que trabaja con nosotros no podemos evaluarla directamente, lejos de ser una persona recomendada, un excompañero, un terrible amigo de parranda o es amigo del  dueño o directivo y le sumamos un gran etc., por supuesto deja en mala posición a la gente de recursos humanos, ya que no sabe, si estamos en la posición adecuada para tomar acciones o dejar que “hay la vaya sorteando” al sentirse apoyado, recordemos que hoy en día la tecnología soporta la operación de todos los negocios, puede ayudarte a ser más competitivo y estar mejor comunicado, sin embargo, cómo pueden darse cuenta, el resultado de contratar de esta forma en posiciones clave de la empresa, reflexionemos, en lo que puede ocasionar o simplemente es la apatía de interesarnos más, cualquier mala práctica de esta área repercute en el negocio, de forma económica.

¿Cómo puedo prevenir la fuga de información dentro de mi empresa?

Es evidente que, en la actualidad, son muchas las noticias que podemos leer en algunos medios de comunicación relacionados con incidentes de seguridad en las que se producen robos o sustracciones de información confidencial, considero que esto tiene consecuencias muy graves, no únicamente en lo económico o legal, con multas o sanciones por incumplimiento de legislación en materia de protección de datos; sino en cuanto a imagen y pérdida de reputación, pérdida de clientes, etc.

Recordemos que la construcción de una imagen y reputación requiere de mucho esfuerzo y trabajo, sin embargo, perder todo este trabajo ante este tipo de incidentes es muy fácil y, lo que es peor, muy difícil de volver a construir.

Fuga de datos

La fuga de datos es la transmisión no autorizada de datos desde dentro de una organización a un destino o destinatario externo, intencional o por accidente, en realidad el término puede usarse para describir datos que se transfieren electrónica o físicamente, y las amenazas de fuga de datos generalmente ocurren a través de la web y el correo electrónico, pero también pueden ocurrir a través de dispositivos de almacenamiento de datos móviles como medios ópticos, llaves USB y computadoras portátiles.

La brecha accidental

Siguiendo el contexto, la fuga de datos, como mencione no significa necesariamente intencionada o maliciosa, no obstante, la buena noticia es que la mayoría de los incidentes de fuga de datos son accidentales y desafortunadamente, dicha filtración de datos involuntaria aún puede resultar en las mismas sanciones y daño a la reputación, ya que no mitigan las responsabilidades legales.

Comunicaciones electrónicas con intención maliciosa

Es una práctica muy común que muchas organizaciones brindan a los empleados acceso a Internet, correo electrónico y mensajería instantánea como parte de sus funciones, considero que el problema es que todos estos medios son capaces de transferir archivos o acceder a fuentes externas a través de Internet.

Sin embargo, también es muy común que el malware puede apuntar a estos medios y con una alta tasa de éxito, algo básico, un ciber delincuente podría falsificar fácilmente una cuenta de correo electrónico comercial legítima y solicitar que se le envíe información confidencial y el usuario enviaría involuntariamente la información, que podría contener datos financieros o información confidencial sobre precios, sin darse cuenta de que está sucediendo.

Por otra parte, los ataques de phishing son otro método de ataque cibernético con una alta tasa de éxito en la fuga de datos, este es más dinámico, ya que, simplemente haciendo clic en un enlace y visitando una página web que contiene código malicioso podría permitir que un atacante acceda a una computadora o red para obtener la información que necesita.

La amenaza es real y las amenazas reales necesitan una seria prevención contra la filtración de datos, por ello una de las mejores prácticas es:

La prevención de pérdida de datos (DLP) es una estrategia que garantiza que los usuarios finales no envíen información confidencial o sensible fuera de la red empresarial, dichas estrategias pueden involucrar una combinación de políticas de seguridad y de usuario, así como herramientas de seguridad.

Punto a observar:

Los profesionales de TI a menudo trabajamos bajo la protección de una terminología técnica que no siempre es accesible para quienes no pertenecen al medio, este problema, entre otros, puede causar fricciones entre los equipos ejecutivos y los responsables de administrar la seguridad.

“La resistencia que podemos encontrar los profesionales de TI cuando comunicamos problemas de ciberseguridad a la gerencia”

Saludos,

Firma 2021 Rberny - Ing. Rubén Bernardo Guzmán Mercado

Visitas: 22

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.