No basta con tener plataformas robustas y los mejores antivirus en las empresas, pues los delincuentes informáticos siempre se renuevan.
Si su ‘sexto sentido’ le dice que debe dudar de un mensaje, hágale caso. Revise antes de seguir.
La falta de implementación de programas de concientización en seguridad de la información a directivos y empleados de las compañías se ha convertido en una de las causales de ciberdelincuencia más relevantes en 2017, aumentando los riesgos informáticos y causando grandes pérdidas económicas en el ámbito corporativo.
Este es el caso del empleado de un prestigioso banco del país, que un día accedió a prestarle por unos minutos su computador institucional a una de sus clientas frecuentes para que descargara unos archivos que eran requeridos por la entidad.
Días después, la compañía confirmó haber sido víctima de robo de información, pues la señora instaló un programa malicioso que, según el reporte del departamento IT (de tecnologías de la información), sustrajo información de más de 47.000 empleados y exempleados, además de 150.000 datos de clientes.
Este ejemplo de la vida real es reflejo de los miles de casos en los que los colombianos, sin tener intención, son víctimas de ataques de ingeniería social, los cuales se realizan a través de técnicas de manipulación o persuasión por un tercero que hace que los encargados compartan datos confidenciales y/o privilegiados.
Esta práctica lleva más de 15 años, convirtiéndose en el procedimiento de ofensiva digital número uno aplicado por los delincuentes informáticos.
“Los resultados de diversos estudios evidencian la importancia de tener en las compañías programas de security awareness, como una estrategia que apoya en la tarea de concientizar a su equipo de trabajo sobre el cuidado, la navegación y la protección de la información que manejan a diario”, explica Patricia Gaviria, directora de Educación en Etek International, una firma que se especializa en el tema.
Gaviria también reseña el Informe de Seguridad 2016 de Check Point, según el cual uno de cada cinco trabajadores es responsable de alguna brecha que afecta los datos corporativos y descarga malwares (programas o códigos maliciosos) en el servidor de su empresa cada cuatro segundos.
AUMENTO DE CASOS
En este contexto, el factor humano es el eslabón más débil en términos de riesgos de seguridad de la información, ya que en algunas ocasiones el usuario no es consciente de la importancia de los datos que maneja a diario en su trabajo, lo que un delincuente puede hacer con esta, la utilidad que le puede dar un tercero y las consecuencias que esto genera. No es exagerado entonces afirmar que la concientización del personal es una de las claves de seguridad para las compañías.
El panorama en Colombia en cuanto al riesgo de incidentes de seguridad frente a otros países demuestra que las empresas aún no están lo suficientemente preparadas para enfrentar las amenazas informáticas actuales. Los casos de ingeniería social a través de phishing aumentaron del 2015 al 2016 en un 22,6%, registrando más de 200 denuncias mensuales. Por su parte RSA señala que este tipo de ataques crecie entre 30% y 40% cada año; por ende, equivale a un nuevo caso cada 30 segundos.
A costa de las experiencias negativas que cuestan dinero, tras los ataques de alcance internacional que han ocurrido en los últimos meses, las empresas han empezado a tomar medidas para reforzar este eslabón débil, con el fin de reducir, no solo la vulnerabilidad frente a ataques a través de la red, sino de de la llamada ‘ingeniería social’.
Laura Vera, gerente de Proyectos Awareness de Etek International en Colombia, explica que a esas formas de ciberdelincuencia centradas en el contacto directo con las personas encargadas de manejar la información se les llama ‘ingeniería social’, justamente porque lo que hacen es aprovecharse de la tendencia que todos tenemos a confiar en el otro. “Es el arte del engaño”, anota, trayendo a colación el caso del empleado del banco que se mencionó al principio.
Añade que si bien tener una plataforma robusta y mantener los antivirus potentes y actualizados resulta indispensable, es igualmente fundamental adoptar las mejores prácticas en seguridad y ser constantes con la capacitación de la gente a cargo dentro de las compañías. Muchas veces las empresas manejan políticas de información, pero la gente dentro de ellas no las conoce. Esto debe llegar a todo el mundo, no quedarse solo en el área de IT”, agrega la experta.
Pero la labor va más allá de dictar un curso tradicional, debido a que las personas suelen darle prioridad a otras cosas si no sienten la amenaza como algo cercano. Por eso, las firmas expertas, como Etek, están ensayando una combinación de estrategias diferentes.
“Hacemos actividades lúdicas con actores reconocidos en el medio, en las cuales ellos hablan de las medidas de seguridad y desarrollamos juegos y actividades lúdicas con expertos en seguridad informática. También, hacemos hackeo en vivo, buscando información íntima, porque tocando la fibra personal es más fácil que entiendan la vulnerabilidad en que se encuentran con la información que se maneja en las compañías”, agrega Vera.
En algunos casos también hacen charlas con los hijos de los trabajadores, en prevención de aquella modalidad en la cual les piden fotos a los niños y los amenazan luego.
La idea es que tengan herramientas a mano para mitigar el riesgo.
LAS FORMAS DE ENGAÑO MÁS FRECUENTES
Hay varias modalidades de ingeniería social con las que los criminales están buscando apoderarse de la información de la gente.
Tal vez la principal es el phishing, consistente en suplantar un sitio web con una página idéntica, sin que el usuario lo perciba. “El objetivo es sacar información. Envían por correo un link donde tienen un login de acceso y así roban las credenciales que la gente pone en el formulario o la solicitud”, explica Laura Vera, gerente de Proyectos Awareness de Etek International. Esos mensajes ‘gemeleados’ suelen ser del banco y el propósito es sacar información de las tarjetas de crédito, aunque las entidades financieras nunca envía e-mails solicitando actualización de datos y otros tipos de productos.
En el pretexting, otro tipo de atentado, una persona se hace pasar por funcionario de otra compañía para acceder a las instalaciones de la empresa y sacar información sobre sus procesos.
Uno más es el tail gating: acá aprovecha el ingreso de alguien para entrar sin carné. “Por lo general es una niña bonita que, por ejemplo, finge haberse pintado las uñas o que va cargada con carpetas y le dice a alguien que le ayude con el ingreso”, añade Vera.
El dumpster diving es la búsqueda en cestos de basura o al lado de fotocopiadoras, pues mucha gente bota o deja documentos allí, y los delincuentes los recuperan y los saben aprovechar.
En el shulder sursing hay alguien que mira por encima del hombro de otros para ver lo que están haciendo. A veces sucede en las filas de banco o en las mismas oficinas.
Adicionalmente, está el bating: dejan una USB tirada para que las potenciales víctimas la encuentren y la pongan automáticamente. La sorpresa es que esta hace que se dispare un malware y el computador queda infectado. Esto no ocurre solo en cafés internet, sino en empresas. En una variante de la misma, por ejemplo, un comercial dice que te va a presentar algo, pero que no trajo su equipo de cómputo, sino una memoria. El resto de la historia es como en el otro caso relatado.
Suele suceder también que alguien que no esta contenta en su empleo y quiera hacer daño; antes de renunciar roba bases de datos y otras informaciones o bloquea sistemas, a sabiendas de que no sospecharán de él. Según Vera, la técnica más reciente, detectada hace una semana, es el crack key, que vulnera las redes de wifi para sacar información de quienes se conectan por esa vía.