Cada vez más, los fanáticos, los estados, los terroristas e incluso los individuos descontentos atacan a los líderes empresariales, los líderes gubernamentales y otras figuras públicas, así como a sus familias, a través de sus actividades en línea y sus dispositivos digitales personales, con el fin de obtener acceso a sus organizaciones. En 2023, la empresa de investigación estadounidense Ponemon realizó un estudio sobre el tema, titulado “Comprender los graves riesgos para la ciberseguridad personal y la vida digital de los líderes”Entre los 553 profesionales de TI encuestados, el 42 % afirmó haber visto ya ataques cibercriminales dirigidos contra directivos empresariales o sus familiares. Estos ataques habrían provocado la pérdida de propiedad intelectual (78 % de los afectados), clientes y socios comerciales (66 %), así como datos de clientes o empleados (27 %).

“El concepto de protección digital para personas de alto perfil no es nuevo, pero la demanda está creciendo”, dice Brad LaPorte, consultor de la consultora de TI Lionfish Tech Advisors, que inició el tema de investigación en Gartner en 2019 cuando era analista allí. En 2010, brindaba protección digital a personal militar, agentes especiales estadounidenses y diplomáticos de alto rango que viajaban a embajadas y puntos de acceso de todo el mundo. Pero cada vez recibía más solicitudes de ejecutivos del sector privado y sus empresas que buscaban protecciones digitales de nivel VIP que fueran más allá de los servicios tradicionales de monitoreo de robo de identidad como los que brindaban empresas como LifeLock en ese momento.

Protección de la identidad con esteroides

“La protección digital de los ejecutivos es una protección de la identidad con esteroides, con un enfoque de investigación privada en el mundo de la inteligencia de amenazas para identificar y proteger objetivos de alto valor”, afirma LaPorte. “Esto incluye la identificación de exposiciones a riesgos en sus redes privadas, dispositivos personales y cuentas en línea para detectar señales de amenazas”.

“Imaginemos la reacción si alguien como Elon Musk tuiteara que se postularía a la presidencia, o si el presidente de ExxonMobil anunciara que la empresa se retira del negocio petrolero”, continúa. “Piensen en el impacto que tendría sobre los líderes de empresas como Monsanto, que tienen una enorme influencia en nuestro consumo de alimentos y a menudo tienen una reputación negativa en ciertas industrias”.

Soluciones de monitoreo 24/7

Los servicios de protección digital para ejecutivos suelen ser responsabilidad del CISO, aunque los ejecutivos también los utilizan directamente, según Chris Pierson, CEO de Blackcloak, que fundó en 2018 con el único propósito de desarrollar dichos servicios. Recuerda una tarea particularmente desafiante cuando era jefe de privacidad en el Royal Bank of Scotland. En ese momento, el controvertido CEO del banco, Fred Goodwin, había renunciado después de ser criticado por su mala gobernanza. “Eso me llevó a decir: 'Tenemos que hacer algo con esta superficie de ataque'”, recuerda. “Y cuando asumí nuevos roles de CISO, seguí recibiendo llamadas de ejecutivos, miembros de la junta directiva e incluso capitalistas de riesgo que me pedían ayuda con su ciberseguridad personal”.

¿El problema? No había una solución que permitiera monitorear las redes privadas, los dispositivos personales y las huellas digitales de los ejecutivos las 24 horas del día, los 7 días de la semana, mientras se escaneaba la red oscura en busca de amenazas externas. Una solución que ofreciera una respuesta tangible a esas amenazas y al mismo tiempo protegiera la privacidad de los ejecutivos. Por eso, Pearson se preguntó: “¿Quién va a mitigar esos riesgos para que no se vuelvan contra la empresa, dañen su reputación, filtren propiedad intelectual o proporcionen acceso a documentos confidenciales que podrían enviarse hacia o desde el correo electrónico personal del ejecutivo?”.

Protección digital estrecha de dirigentes: ¿de qué estamos hablando?

Aunque no puede nombrar a sus clientes, el director ejecutivo de Blackcloak señala a un ejecutivo al que se le ordenó dejar su teléfono personal para que lo inspeccionaran en una sala privada de un aeropuerto de Oriente Medio. Lo separaron de su dispositivo durante 15 minutos y, para protegerse a sí mismo y a su empresa, simplemente le reemplazaron el teléfono por uno nuevo. En otro caso, un profesional de TI que había configurado la red privada de un ejecutivo minorista y los dispositivos de su familia comenzó a extraer datos después de un desacuerdo con la organización. Quería usar la información para cambiar al director ejecutivo y, al mismo tiempo, tomar el control de los dispositivos móviles de su familia.

En cuanto a las amenazas físicas contra un ejecutivo, el ejecutivo de Blackcloak explica cómo su equipo detectó un sistema de seguridad mal instalado en el domicilio del director general de un banco. Un fallo que llevó a la exposición en un sitio público de las transmisiones de vídeo y la ubicación de las alarmas de la casa. Chris Pearson cuenta muchas otras historias de doxing (revelación de información personal), swatting (falsas llamadas de emergencia) o riesgos geopolíticos que han tenido consecuencias en la seguridad de los ejecutivos. En todos los casos, su servicio de conserjería pretende resolver este tipo de problemas trabajando con los equipos de gestión de riesgos y el CISO. Sin embargo, con una salvedad: algunos ejecutivos finalmente prefieren no optar por este tipo de servicio por miedo a violar su privacidad. La plataforma Blackcloak garantiza por tanto que ni su conserje ni la empresa del ejecutivo tengan acceso a sus datos personales ni a su actividad en línea.

Reducir la superficie de ataque de los líderes

Como señala G. Mark Hardy, presidente de la consultora de ciberseguridad National Security Corp., con sede en Washington, no todo el mundo puede permitirse una protección completa de nivel VIP. “Probablemente, en realidad, todo el mundo podría beneficiarse de esta protección, pero los objetivos más valiosos para los actores maliciosos son los que más la necesitan. Por lo general, esos líderes y sus organizaciones están en una mejor posición para permitirse estas protecciones”.

Según las necesidades del cliente, las empresas especializadas ofrecen privacidad digital, protección de dispositivos personales, seguridad de redes personales, respuesta a incidentes, un SOC personal y un servicio de atención al cliente “a prueba de balas”. Un servicio de conserjería tan completo, como el de Blackcloak, por ejemplo, cuesta poco menos de 10.000 dólares al año por ejecutivo, incluida la familia.

Proteger a los ejecutivos significa proteger a la empresa

“Uno de los servicios que me parece muy atractivo es la eliminación de mis datos personales de la web”, afirma Troy Wilkinson, director de seguridad de la información global de la empresa de marketing Interpublic. “No quiero que mi dirección y número de teléfono estén en la web, pero ellos sí. Hay servicios que comprueban los 100 principales sitios de agregación de datos conocidos y eliminan lo que pueden”.

Su equipo revisó recientemente las capacidades de la plataforma de detección de riesgos de Dataminr, que protege a los ejecutivos que viajan monitoreando, por ejemplo, los riesgos de seguridad física (como protestas y levantamientos) en las regiones a las que viajan, así como los “riesgos cibernéticos” (como las amenazas realizadas en las redes sociales). “Los ejecutivos están comprendiendo que el riesgo ya no es solo físico y que su huella digital también es un objetivo”, agrega Wilkinson. ¿La ironía? Incluso los CISO más destacados pueden necesitar estas protecciones digitales adicionales. La clave, dicen los expertos de la industria, es identificar objetivos de alto valor y las amenazas potenciales para ellos y, a su vez, para el negocio. Luego, investigar e implementar medidas de seguridad en torno a esos objetivos en función de su valor y el daño potencial en caso de violación.