Ciudad de México, a 30 de enero de 2018.
El usuario se puede convertir en el eslabón más débil de la cadena de seguridad.
La próxima Infosecurity Mexico 2018 mostrará como contrarrestar esta nociva práctica.
La seguridad cibernética pareciera que solo es un asunto de tecnología y que corresponde atenderlo a los encargados de sistemas de las organizaciones, pero lo cierto es que los usuarios tienen un alto grado de responsabilidad en el resguardo de la información, tanto personal, como corporativa, según conclusiones de expertos como Jorge Osorio Bretón, cofundador y director de Servicios de Consultoría de CSI Consultores en Seguridad de la Información.
“Por eso estamos seguros de que no se puede dejar a los usuarios a un lado de la tecnología, o en un segundo nivel de importancia. Y es que hemos visto que frecuentemente hay vendedores de TI, de sistemas de seguridad, hardware o software, que creen que su producto va a cubrir todas las necesidades para el resguardo y control de la información, o que basta con un antivirus o anti spam de nueva generación, pero muchas veces se olvida que el usuario también forma parte integral de toda la estrategia de ciberseguridad en una organización”, explicó Osorio.
De acuerdo con análisis realizados por CSI, uno de los casos más ilustrativos sobre este tema fue lo que aconteció en la última parte del 2017, en la Secretaría de Cultura del Gobierno de la Ciudad de México y en donde se involucró al Banco Santander, cuando la institución oficial detectó el robo de la nómina por un monto de más de cinco millones de pesos, y que en un principio se pensó que se trató de un problema de la banca en línea.
“Sin embargo, el mismo banco explicó la situación y demostró que sus sistemas no fueron vulnerados o ‘hackeados’. Más bien las evidencias apuntan a que la persona encargada del control administrativo de la nómina de la Secretaría fue víctima de un fraude, debido a que fue engañada por esquemas de ingeniería social que cada vez son más recurrentes, razón por la que las organizaciones deben capacitar a sus usuarios acerca de los riesgos que implica el acceder a sitios que no son completamente seguros y de origen dudoso”, abundó Jorge Osorio.
La ingeniería social, de acuerdo con la Universidad Nacional Autónoma de México[1] es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Estas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo). Además, se sustenta en un sencillo principio: “el usuario es el eslabón más débil”.
Cualquier institución puede ser afectada
“Nosotros en CSI habíamos detectado el año anterior, que se estaban recibiendo correos masivos, supuesta y precisamente de Banco Santander, diciendo que la cuenta del usuario estaba bloqueada y que era necesario dar clic en un enlace para acceder a una página para realizar el desbloqueo. Esta práctica es muy común, pero el problema era que cuando dábamos clic en el enlace, se desplegaba una página del banco, incluso con certificado de seguridad (https y candado en verde), por lo que con ese elemento era muy difícil que el usuario común se diera cuenta de que era falsa, porque también tenía los logos del banco, siendo un clon de la página real. De esta forma el usuario caía en el engaño y proporcionaba los datos que se le solicitaban para desbloquear la cuenta, y así hubo quienes fueron víctimas de ese esquema de ingeniería social”, explicó Osorio.
Los cibercriminales que diseñan ese tipo de esquemas crean páginas falsas, de cualquier institución bancaria, para que el usuario acceda y proporcione información. Cuando ellos empiezan a recibir los datos, se comunican con el usuario vía telefónica simulando ser del banco para que la cuenta habiente se confíe y continúe proporcionando más datos.
“En CSI pensamos que, a falta de una información oficial, el delito cometido en la Secretaría de Cultura pudo haber sucedido de una manera similar, en donde la usuaria encargada quizá accedió a la página falsa una vez que fue alertada de un bloqueo de la cuenta. Ya en la página proporcionó sus passwords y su número telefónico, para posteriormente ser contactada por los delincuentes: Seguramente ellos le solicitaron los dígitos generados por un ´token´ para desbloquear la cuenta, que en realidad no tenía ninguna afectación. Al tener todos los datos y los dígitos del token, ellos se dieron de alta como usuario real y así pudieron acceder a la cuenta e hicieron la transferencia que finalmente derivó en un desfalco a las finanzas públicas”, puntualizó el director de CSI.
Actualización y capacitación, las claves
Se trató de un ataque realizado en forma precisa, dirigido a la persona correcta, en el momento adecuado, “tan es así que la agresión se realizó uno o dos días previo al pago de nómina. El problema es que, a falta de una investigación a fondo, se piensa que la persona encargada lo hizo con dolo, pero creemos que es muy difícil que alguien que está en control de esos recursos cometiera ese delito deliberadamente, sabiendo que sería señalada inmediatamente. Más bien pensamos que fue un fraude diseñado bajo un esquema de ingeniería social. Incluso, no creemos que haya sido un hackeo porque no se vulneraron los sistemas del banco. Los delincuentes al parecer accedieron a la cuenta porque contaron con las claves requeridas para hacerlo”.
Debido a estas situaciones, CSI promueve la idea de que es necesario que el usuario conozca los riesgos de contar con el control o el acceso a información y a los recursos valiosos de una organización, y por lo mismo, debe conocer todas las variables de delitos que surgen cada día, “porque son muy frecuentes y en distintas modalidades. Pero la concientización debe de partir desde la dirección de las organizaciones, quienes deben capacitar a su personal y actualizarlo regularmente, porque no basta con tener las herramientas tecnológicas más avanzadas, sino que hay que involucrar al usuario y apoyarlo para que no nos volvamos a enterar de este tipo de estafas millonarias”, puntualizó Jorge Osorio, quien añadió que CSI estará en la próxima edición de Infosecurity 2018 en donde tendrá oportunidad de presentar servicios especializados de ciberseguridad, y participar en el programa de conferencias.
Para más información visita www.infosecuritymexico.com
Infosecurity México es el evento de seguridad de la información más relevante para México y América Latina donde los CISO, CIO, CTO y jefes de TI se reúnen para debatir sobre temas actuales y futuros, encontrar soluciones innovadoras para proteger a sus empresas y comunidades contra los ciberdelincuentes y compartir información con desarrollar una cultura global de seguridad de la información.
El evento ofrece conferencias, paneles, talleres y certificaciones presentadas por líderes de la opinión y de la industria de todos los sectores que se centran en comprender cómo enfrentar, detectar, responder, proteger y recuperarse de las amenazas de ciberseguridad.
Contacto con medios: Jorge Morales García Communika, Tel. (55) 6650 7690 / 91
Cel. 044-55-1795 2790, jmorales@communika.com.mx
[1] https://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-corrompiendo-la-mente-humana
Más historias
ESET descubre un malware para Android que retransmite tráfico NFC para robar dinero de las víctimas en cajeros automáticos
Genetec expande Security Center SaaS con el lanzamiento de Operations Center, la primera solución de gestión de trabajo de la industria para operaciones de seguridad electrónica
Inicia Honda una investigación conjunta sobre tecnologías de Inteligencia Artificial