Ciberataques a la reputación de marcas

Hace unas semanas inicié una investigación sobre los ciberataques que pueden recibir marcas, organizaciones, personajes… A lo largo de los años he visto varios ataques que han sufrido las empresas y los clientes para los que he trabajado. Durante años las marcas construyen su reputación con planes estratégicos de comunicación y con su quehacer diario, construyen un discurso con el que comunican sus valores, los beneficios de sus productos… establecen relaciones con sus diferentes públicos y participan en la carrera diaria de la a veces muy dura competencia, pero todo este esfuerzo se puede ver amenazado por ataques de terceros.

Hace años teníamos que tener en cuenta la calidad de nuestros productos, servicios, nuestro entorno, nuestra competencia e incluso nuestra relación con los medios de comunicación. Con los años hemos ampliado nuestros medios de promoción, entre ellos Internet e igual que nos ayuda a crecer también debemos estar alerta de qué ocurre en la red que no generamos nosotros.

Hay herramientas ya conocidas por todos que nos ayudan a medir el ruido en Internet y que nos ayudan a configurar los mensajes clave que queremos comunicar mediante nuestro plan de comunicación online; y es justo en Internet donde desde hace un tiempo hemos tenido que empezar a estar aún más pendientes de qué se dice de nosotros y qué ocurre en nuestros espacios.

Las herramientas de monitorización nos ayudan a conocer qué dicen de nosotros, quién lo dice, de qué temas se habla, con qué nos relacionan… pero y ¿qué ocurre cuando de repente nuestros canales dejan de estar controlados por nosotros? Cuando sufrimos un ataque a nuestros servidores, cuando por ejemplo somos un personaje público y recibimos mensajes de acoso online.

Ahora la reputación puede verse dañada por diferentes ataques online, el otro día estuve reunida con Chema Alonso, experto en seguridad y diferenciaba entre hackers, hackers éticos y ciberdelincuentes. En la reunión hicimos un listado de algunos de los ataques más comunes que reciben marcas conocidas, celebrities o webs que ofrecen servicios…

Hablando con más expertos en seguridad me comentaban que lo inteligente es conocer qué riesgos podemos tener como empresa, tratar de preverlos, tener sistemas de seguridad y contar con un plan de comunicación de crisis online para dar respuesta a estos ataques.

No siempre nos podemos adelantar a las situaciones que nos pueden venir, pero si al menos conocemos casos que hayan ocurrido anteriormente podremos reconocer fácilmente qué ocurre y ser preventivos para responder en consecuencia. Como muy bien lista Francesc Grau en su blog, un ejemplo de ataques que reciben marcas a diario son los conocidos como ciberbulling, acoso online, que puede estar constituido por volcar información flasa en Internet, rumores, información verdadera pero personal o que a fin de cuentas desprestigia a una marca, persona, producto…

En este caso, Paco Pérez Bes nos ofrece varias soluciones a un nivel legal que en ocasiones es necesario tener en cuenta, pero desde nuestra responsabilidad como gestores de reputación online, responsables de comunicación o community managers la respuesta debería ser preventiva. Localizar la información y su editor, así como controlar en qué canales se está difundiendo y, si nos interesa, dar respuesta o no a dicho ataque. Esta respuesta o no debe ser estudiada de forma diferente en cada caso y bajo el paraguas del plan de comunicación y manual de participación online acordado previamente.

Hace unos años, cuando trabajaba en Berlín para meinvz.net vivimos un grave ataque phishing (apropiación de datos privados de los usuarios registrados en nuestra comunidad). En este caso no solo se apropió de los datos sino que además filmó el robo y lo publicó en Internet, desprestigiando la marca y pidiendo un “rescate” de miles de euros. El desenlace fue dramático, el ciberdelincuente fue arrestado y días más tarde se suicidó en la cárcel.

En este caso la empresa sufrió un doble ataque a su reputación, primero por no contar con suficientes medidas de seguridad y segundo por el escándalo con el que se le relacionaba. En el tiempo que trabajé para esta red social vivimos varios ataques, phishing, ciberbulling y denegación de servicio, estuvimos más de 15 días offline, y aprendí que cada situación era nueva. Por tanto, organizamos un gabinete de crisis online (formado por la agencia de comunicación, programadores y los community managers) para que en cada caso pudiéramos ser rápidos a la hora de detectar el problema, diagnosticarlo y darle respuesta.

Hoy en día vemos otro tipo de ataques no tan técnicos sino relacionados con la ingeniería social, la propiedad intelectual y la identidad de la marca, los conocidos brand-jacking, este tipo de ataques se cometen a menudo como robo de identidades, pueden ser a marcas comerciales o personales.

En mi experiencia recomiendo tener un listado de sitios en los que sí queremos tener presencia y por tanto debemos registrarnos con el usuario deseado, otro listado con los sitios en los que no queremos estar de forma activa pero nos interesa ser propietarios de la identidad y, por último pero no menos importante, un listado de los sitios en los que queremos estar y ya han utilizado nuestra marca como usuarios registrados.

En este último caso hay que ver por un lado la forma más inteligente de tener la propiedad del registro si de forma “amistosa” o bien por la vía legal. A veces no ocurre nada cuando alguien ha abierto un canal con el nombre de tu marca, pero en otras ocasiones suplantan la identidad y empiezan a comunicar en tu nombre informaciones que pueden despistar a sus lectores y con el objetivo de hacer daño.

Otro ataque parecido es el de stealth url, en este caso se trata del registro de dominios parecidos a una marca, servicio, producto con el objetivo de aprovecharse de la confusión de puede generar para beneficiarse. A veces, como bien explica Francesc Grau, puede que “contenga la misma marca dentro del nombre o una variante de la denominación. También es conocido por domain squatting. Uno de los casos más sonados fue la adquisición del dominio whitehouse.com por una empresa de distribución de materiales para adultos, y no para ser el portal de entrada de la Casa Blanca”.

Para evitar este tipo de “robos de identidad” sería bueno poder prever los espacios de actuación comercial que vamos a tener, geográfico, por familia de productos, variantes semánticas y gráficas de la marca y reservar los dominios que nos parezcan necesarios.

Otro ataque que a la marca que se apoya en la tecnología online es la creación de phantom sites, se trata de espacios “aparentemente corporativos” pero no pertenecen a la marca y están creados para o bien aprovecharse comercialmente de ella o para desprestigiarla, este tipo de acciones van de la mano con las stealth url.

Ante esta nueva situación y tras la experiencia de estos últimos años para este tipo de ataques, lo mejor es ganar tiempo conociendo los posibles riesgos de seguridad, los temas susceptibles de ser interesantes para un posible ataque a la reputación… Es de gran ayuda sistematizar una herramienta de escucha activa que monitorice toda la información volcada sobre nuestra marca, un repaso continuo de los usuarios registrados con nuestra identidad y la puesta en marcha de un plan de contingencia y de crisis que acorte los plazos de nuestra respuesta y apoye las acciones que deberemos emprender.

Foto de Saxon en Flickr