Más del 15 % de usuarios se han enfrentado a estafadores de Internet y han perdido datos debido a esquemas de ingeniería social. La próxima Infosecurity Mexico 2018 mostrará como contrarrestar esta nociva práctica.
La seguridad cibernética pareciera que solo es un asunto de tecnología y que corresponde atenderlo a los encargados de sistemas de las organizaciones. Pero lo cierto es que los usuarios tienen un alto grado de responsabilidad en el resguardo de la información, tanto personal, como corporativa, según conclusiones de expertos como Jorge Osorio Bretón, cofundador y director de Servicios de Consultoría de CSI Consultores en Seguridad de la Información.
“Por eso estamos seguros de que no se puede dejar a los usuarios a un lado de la tecnología, o en un segundo nivel de importancia. Y es que hemos visto que frecuentemente hay vendedores de TI, de sistemas de seguridad, hardware o software, que creen que su producto va a cubrir todos las necesidades para el resguardo y control de la información, o que basta con un antivirus o anti spam de nueva generación, pero muchas veces se olvida que el usuario también forma parte integral de toda la estrategia de ciberseguridad en una organización”, explicó Osorio.
De acuerdo con análisis realizados por CSI, uno de los casos más ilustrativos sobre este tema fue lo que aconteció en la última parte del 2017, en la Secretaría de Cultura del Gobierno de la Ciudad de México y en donde se involucró al Banco Santander, cuando la institución oficial detectó el robo de la nómina por un monto de más de cinco millones de pesos, y que en un principio se pensó que se trató de un problema de la banca en línea.
Como dato extra, cabe destacar que en el entorno financiero se ha calculado un daño económico, por ciberataques a ese sector, que asciende a poco más de 150 millones de pesos entre los últimos dos a cuatro años, según la CNBV (Comisión Nacional Bancaria y de Valores).
“Sin embargo, el mismo banco Santander explicó la situación y demostró que sus sistemas no fueron vulnerados o ‘hackeados’ en el caso de referencia. Más bien las evidencias apuntan a que la persona encargada del control administrativo de la nómina de la Secretaría de Cultura fue víctima de un fraude, debido a que fue engañada por esquemas de ingeniería social que cada vez son más recurrentes, razón por la que las organizaciones deben capacitar a sus usuarios acerca de los riesgos que implica acceder a sitios que no son completamente seguros y de origen dudoso”, abundó Jorge Osorio. Tal es el riesgo, que en el 2014 se robaron datos de doce millones de cuentas utilizando phishing, según estudios de Google.
Por cierto, la ingeniería social, de acuerdo con la Universidad Nacional Autónoma de México[1] es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Estas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo). Además, se sustenta en un sencillo principio: “el usuario es el eslabón más débil”.
Cualquier institución puede ser afectada
“Nosotros en CSI habíamos detectado el año anterior, que se estaban enviando correos masivos, supuesta y precisamente desde Banco Santander, indicando que la cuenta del usuario estaba bloqueada y que era necesario dar clic en un enlace para acceder a una página para realizar el desbloqueo. Esta práctica es muy común, pero el problema era que cuando dábamos clic en el enlace, se desplegaba una página del banco, incluso con certificado de seguridad (https y candado en verde), por lo que era muy difícil que el usuario común se diera cuenta de que era falsa, porque también tenía los logos del banco, siendo un clon de la página real. De esta forma el usuario caía en el engaño y proporcionaba los datos que se le solicitaban para desbloquear la cuenta, y así hubo quienes fueron víctimas de ese esquema de ingeniería social”, explicó Osorio.
Los cibercriminales que diseñan ese tipo de esquemas, crean páginas falsas, de cualquier institución bancaria, para que el usuario acceda y proporcione información. Cuando ellos empiezan a recibir los datos, se comunican con el usuario vía telefónica simulando ser del banco para que el cuenta habiente se confíe y continúe proporcionando más datos.
En ese sentido, el 70% de quienes son blanco de vishing o pesca ilegal de datos financieros a través de llamadas telefónicas caen y son víctimas de fraudes, donde los delincuentes se quedan con toda su quincena o roban su identidad para contratar créditos a través de cajeros automáticos, según la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).
“En CSI pensamos que, a falta de una información oficial, el delito cometido en la Secretaría de Cultura pudo haber sucedido de una manera similar, en donde la usuaria encargada quizá accedió a la página falsa una vez que fue alertada de un bloqueo de la cuenta. Ya en la página proporcionó sus passwords y su número telefónico, para posteriormente ser contactada telefónicamente por los delincuentes: Seguramente ellos le solicitaron los dígitos generados por un ´token´ para desbloquear la cuenta, que en realidad no tenía ninguna afectación. Al tener todos los datos y los dígitos del token, ellos se dieron de alta como si fueran el usuario real y así accedieron a la cuenta e hicieron la transferencia que al final derivó en un desfalco a las finanzas públicas”, puntualizó el director de CSI.
Actualización y capacitación, las claves
Se trató de un ataque realizado en forma precisa, dirigido a la persona correcta, en el momento adecuado, “tan es así que la agresión se realizó uno o dos días previo al pago de nómina. El problema es que a falta de una investigación a fondo, se piensa que la persona encargada lo hizo con dolo, pero creemos que es muy difícil que alguien que está en control de esos recursos cometiera ese delito deliberadamente, sabiendo que sería señalada inmediatamente. Más bien pensamos que fue un fraude diseñado bajo un esquema de ingeniería social. Incluso, no creemos que haya sido un hackeo porque no se vulneraron los sistemas del banco. Los delincuentes al parecer accedieron a la cuenta porque contaron con las claves requeridas para hacerlo”.
Debido a estas situaciones, CSI promueve la idea de que es necesario que el usuario conozca los riesgos de contar con el control o el acceso a información y a los recursos valiosos de una organización, y por lo mismo, debe conocer todas las variables de delitos que surgen cada día, “porque son muy frecuentes y en distintas modalidades.
Pero la concientización debe de partir desde la dirección de las organizaciones, quienes deben capacitar a su personal y actualizarlo regularmente, porque no basta con tener las herramientas tecnológicas más avanzadas, sino que hay que involucrar al usuario y apoyarlo para que no nos volvamos a enterar de este tipo de estafas millonarias”, puntualizó Jorge Osorio, quien añadió que CSI estará en la próxima edición de Infosecurity 2018 en donde tendrá oportunidad de presentar servicios especializados de ciberseguridad, y participar en el programa de conferencias.
[1] https://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-corrompiendo-la-mente-humana
1 comentario