Para este reportaje de la revista Reseller me entrevistaron sobre la importancia de la cultura de seguridad, el manejo de procedimientos, las políticas de seguridad y el uso de las tecnologías de la información para proteger a las empresas de amenazas. Pueden leer la nota en en sitio web de la revista Reseller.
Pese al desarrollo de nuevas y más avanzadas tecnologías enfocadas a la seguridad, el sentido común y la concientización continúan siendo la principal arma contra la ingeniería social. De ahí, la necesidad de que el canal se especialice en temas de seguridad informática que le permitan ofrecer servicios de consultoría a las organizaciones, lo cual además de incrementar sus márgenes de ganancia lo posicionarán como un aliado confiable y un verdadero socio de negocio ante el cliente permitiéndole desarrollar relaciones de largo plazo.
Por: Reseller/ Cyntia Martínez
¿Ha escuchado sobre correos electrónicos que informan sobre un supuesto premio, cuando el usuario nunca participó por ello? O qué dice de los pop-ups que aparecen en algunas páginas de internet notificándole sobre una amenaza en su equipo de cómputo y al que debe dar click para salvarlo. Seguramente, también ha sabido de supuestas llamadas telefónicas provenientes de instituciones financieras para recabar datos y contraseñas del tarjetahabiente e incluso, casos de extorsión mediante llamadas telefónicas alertando sobre el secuestro de un familiar, cuando la marcación la hacen al azar y la información que consiguen en el momento es proporcionada por el nerviosismo de la persona que responde la llamada.
Estas y más historias —que no en todos los casos quedan como simples anécdotas— han sido el anzuelo para estafar a millones de personas en todo el mundo y son producto de lo que se conoce como Ingeniería Social.
“Se trata del uso de técnicas y herramientas para aprovechar alguna vulnerabilidad detectada en el comportamiento o carácter del ser humano”, explicó el analista de Seguridad del Equipo Global de Investigación y Análisis de América Latina en Kaspersky Lab, Roberto Martínez quien dijo que la obtención de algún beneficio o ventaja es el principal objetivo de los delincuentes, además de ser una habilidad desarrollada que se puede aprender.
Cambios en la forma pero no en el fondo
Práctica que tiene muchos años utilizándose y que en las últimas décadas ha salido a la luz por el incremento de engaños mediante el uso de tecnología y las variantes que de ésta se derivan.
Muestra de ello es la “estafa nigeriana”, que consiste en notificar sobre la existencia de un supuesto premio o herencia a cambio de que la persona haga una transferencia bancaria por algún concepto. Anteriormente, el aviso llegaba al usuario a través de una carta en el correo convencional; hoy los estafadores ya no requieren hacer grandes inversiones de tiempo ni dinero pues pueden crear un envío masivo y notificar a miles de usuarios a través de un e-mail, desde la comodidad de su escritorio.
“Aunque pase el tiempo, muchas de las estrategias para confundir al usuario siguen siendo las mismas sin importar que estén utilizando dispositivos o tecnologías nuevas”, apuntó el estratega de seguridad en Symantec, Sebastian Brenner. Compartió que en el más reciente Reporte de Amenazas en Internet de Symantec analizaron diferentes tipos de estafas que buscaban engañar al usuario y recolectar información, mostrando que el creciente uso de los dispositivos móviles ha provocado que las redes sociales sean uno de los blancos preferidos para este tipo de ataques.
“La ingeniería social consiste en jugar con las emociones humanas, por lo que existe una gran cantidad de formas en las que un atacante intenta extraer datos sin importar donde se encuentran ubicados sus objetivos. Por ejemplo, analizamos una estafa que prometía conseguir gratuitamente muchos seguidores de Instagram, mientras trataba de engañar a la gente para que entregaran la palabra clave de su cuenta”.
No obstante, detalló que el phishing sigue siendo el método más viejo y también el truco más exitoso: “Muchas veces se personifican como una autoridad y urgen al receptor a tomar una acción en poco tiempo; de lo contrario, por ejemplo, amenazan con la suspensión de la cuenta. Esto puede llevar a un usuario a una decisión equivocada y hacer click en un link o ejecutar un programa no debido”.
En este escenario, la técnica a utilizar dependerá del objetivo al que se busque llegar haciendo uso de la temporalidad y las circunstancias como por ejemplo, un evento deportivo importante (Las Olimpiadas), un suceso político (el debate entre Trump y Clinton) o bien, un acontecimiento de la farándula (la muerte de Juan Gabriel) que despierten el interés de las personas y genere una motivación entre los internautas para aprovecharse del uso de páginas web, correos electrónicos o redes sociales.
Otro ejemplo es la fiebre por “Pokemon Go”, que al estar enfocado en otro tipo de usuarios, utilizó como vector de ataque la descarga de una aplicación falsa “en todos los casos está presente la temporalidad y las circunstancias especiales en un momento específico, lo cual define el vector de ataque, pues incluso, esto puede depender de la región en donde se ubique el objetivo”, agregó Roberto Martínez.
En este sentido, la ingeniería social se encuentra en todas partes, desde redes sociales, correo electrónico y sitios web comprometidos, hasta interacciones que ocurren en la vida real. “Es sumamente eficaz debido a un elemento que no es posible arreglar, al que no se le puede instalar un parche o un programa de seguridad: el ser humano, por lo que la mejor defensa contra la ingeniería social es la educación”, refirió Brenner.
Empresas y usuarios, vulnerables por igual
Los especialistas en ingeniería social estudian detenidamente a su objetivo. Es decir, le dedican el tiempo necesario para poder entenderlo y descubrir alguna vulnerabilidad o debilidad.
La diferencia entre los ataques que reciben las empresas y los usuarios es el nivel de complejidad en el armado de la ingeniería social. Muchas veces, las personas dentro de las compañías son estudiadas hasta aprender sus costumbres y hobbies para así, realizar un ataque más fácil y efectivo al entrar al sistema de la organización.
En el caso de empresas, al tratarse de ataques dirigidos, los cibercriminales se toman el tiempo para investigar si el tipo de información que buscan la pueden obtener accediendo a un área o departamento particular o a través de una sola persona.
Las técnicas o herramientas a utilizar se definirán con base en ello para entender a qué es susceptible el o las personas y diseñar técnicas de ingeniería social más o menos sofisticadas, según sea el caso.
“Se debe dar más educación al usuario sobre el uso de la tecnología, tanto profesionales como no profesionales y así elevar los niveles de protección. No hay protección contra la inexperiencia, por lo que se debe implementar un “firewall humano” llamado conciencia”: Kaspersky Lab
El Gerente de Cuentas en Intel Security, Edgar Vásquez Cruz, ahondo en que la cultura para el manejo de procedimientos, las políticas de seguridad y el uso de las tecnologías de la información es lo que diferencia a una organización de los consumidores.
“Aún no existe una concientización que permita a los usuarios tomar decisiones al momento de compartir información, pues muchos hasta revelan datos sobre la seguridad endpoint, los aplicativos que utilizan y en general, las tecnologías que se usan en el interior de la empresa o institución”.
“En el interior de las empresas, no hay que limitarse en proporcionar manuales para educar a los empleados. Un entrenamiento eficaz deberá incluir activamente probar a los empleados a través de ejemplos o actividades de seguridad que ocurran en la vida real”, destacó Brenner.
Ante esto, el especialista de Kaspersky Lab sostuvo que cada vez más empresas implementan planes de capacitación sobre ingeniería social, así como mecanismos que les permitan saber cuando alguien ha sido engañado y compartido información o datos sensibles de la compañía.
“Ya hay quienes entienden que no tiene mucho caso invertir fuertes cantidades de dinero en tecnologías como hardware y software si al final solo basta con que una persona dentro de la red no sea lo suficientemente consciente como para que caiga en un engaño”.
En contraparte, el ejecutivo de Intel Security aseguró que la mayor parte de los proyectos de seguridad son requeridos por grandes empresas, pues la PyME continúa resguardando su información de manera local sin desarrollar políticas que puedan asegurarla.
De acuerdo con datos proporcionados por Kaspersky Lab, actualmente el 78% de las empresas pequeñas no cuentan con la ayuda de un especialista de IT y cada ataque de malware que reciben conduce a pérdidas financieras con un promedio de $6,400 dólares.
Panorama que obliga a ser más consciente de la vida digital, pues la defensa más grande de los seres humanos es el sentido común, ya que todos estamos expuestos de alguna forma.
Por su parte el especialista en seguridad informática en ESET América Latina, Lucas Paus, comentó que la capacitación y concientización es la barrera de protección más grande para empresas y usuarios. “Ninguna solución ni capacitación puede asegurar al 100% la seguridad pero a partir de un plan para la educación del usuario, existirá una protección más avanzada”.
Problemática que ha existido y seguirá existiendo durante mucho tiempo. Por lo que hoy las empresas necesitan más ayuda que nunca y el canal puede transformar dichos retos informáticos en oportunidades de negocio que van más allá de la venta de tecnologías al poder complementarse con servicios de consultoría que ayuden a reducir los riesgos de seguridad en las empresas.
“Al entrevistarme con algunas compañías me han externado su necesidad de recibir ayuda, desde la creación de un programa de seguridad de la información y entrenamiento a los empleados, hasta la implementación de tecnologías y servicios que ayuden a prevenir, detectar y responder contra todo tipo de ciberataques”, aseveró el estratega de Symantec.
En lo que respecta a canal, Vásquez Cruz afirmó que hoy ya existen resellers especializados en temas de consultoría en seguridad. Reveló que a la fecha, aproximadamente el 40% de los proyectos de seguridad están enfocados en producto y 60% en servicios.
“Si dentro de la oferta del canal está ofrecer consultorías en seguridad, el poder concientizar a los usuarios sobre las mejores prácticas, desarrollar políticas y procedimientos que ayuden a la organización a tener mejor manejo de la información se convierte en un valor agregado”.
Negocio que puede complementarse con soluciones de seguridad física como cámaras de videovigilancia, tecnologías biométricas y en general, los controles necesarios para acceder a la empresa.
“El usuario busca que el canal tenga conocimiento en temas de seguridad y no sólo certificaciones en producto, sino de consultoría, que posean certificaciones que avalen que los resellers tienen conocimiento en el tema. Esto da como resultado buenos márgenes en servicios consultivos, pues aun existe un mercado con gran potencial que lo está buscando. A la fecha no existen tantas empresas especializadas en seguridad, ya que el común denominador continúa siendo el movimiento de caja”, concluyó el experto de Intel.
De manera que la oportunidad para el canal que se prepare y especialice es grande, permitiéndole no solo incrementar sus márgenes sino también posicionarse como un socio confiable a quien el cliente acudirá posteriormente cuando se enfrente a un problema tecnológico.
“La seguridad informática hace diez años era un mercado pequeño. Hoy ha ido creciendo de manera exponencial y alcanzando madurez, por lo que actualmente es capaz de proveer soluciones tecnológicas, políticas y capacitaciones”: ESET.
Publicado primero en revista Reseller