El dinero manejado a día de hoy por el cibercrimen supera a nivel mundial al manejado por el narcotráfico

Está visto que la información es el oro del Siglo XXI. Del mismo modo que ocurría con este mineral principalmente en California hacia 1850, a día de hoy el acceso, procesamiento, venta y/o consumo de datos supone una nueva “fiebre del oro” a la que muchos se quieren apuntar. Igual que entonces, el movimiento da pie a que los nuevos Jesse James, Billy the Kid o Joaquín Murrieta tomen una buena parte del pastel.

Lo que en su día eran unos jóvenes curiosos por identificar vulnerabilidades en los protocolos y desarrollar sus propias herramientas, se ha convertido en una industria en la que no es necesario ningún conocimiento técnico, en la que el riesgo de ser capturado es tendente a cero, y en la que podemos llevar a cabo ataques masivos sin prácticamente ningún esfuerzo. Tentador, ¿no?

Según cita McAfee en su informe “Net Losses: Estimating the Global Cost of Cybercrime”, el coste anual originado por el cibercrimen estaría entre los 400-500 mil millones de euros. Aun siendo un cálculo difícil, la menor de las estimaciones, superior al actual PIB de la mayoría de los países, muestra la magnitud del problema.

Ya sea comprando un “Wannacry” o “Petya” a medida, o simplemente una base de datos de cientos de miles de direcciones mail válidas, tenemos los elementos necesarios para llamar a la puerta de infinidad de compañías y particulares, y hacer de una reducida inversión, una operación rentable en cuanto un mínimo porcentaje de destinatarios nos dé la respuesta esperada (por ejemplo: una base de datos de un millón de mails puede rondar los $500).

Imaginemos un caso típico de cibercrimen: Un usuario de tu organización recibe un correo. Ha habido suerte porque le dicen que ha sido agraciado con un premio de 500€ en un sorteo del que no recuerda exactamente cuando fue, pero quizás participó. Pincha en el enlace y accede a una página que nos ofrece un mensaje de error. Vuelve a intentar, nada. Tras varios intentos desiste y se propone reintentarlo al cabo de unos días. Lo que no sabe es que en su equipo se acaba de descargar un pequeño software espía que va a comenzar a capturar todas las pulsaciones que haga sobre el teclado, que puede acceder a su cámara, y que cuando entre a su banco, capturará la pantalla en el momento preciso para saber cuáles eran las coordenadas solicitadas, todo ello enviándolo a algún equipo de alguna red anónima, para ir obteniendo más y más información de la compañía e ir progresando… ¿Te imaginas lo que podría conseguir?

Si lo analizamos detenidamente, nos daremos cuenta de que, para que la parte técnica más sofisticada tenga sentido, es fundamental una colaboración, normalmente involuntaria, del usuario. Y es que según Digital Guardian, más del 97% de los ataques son originados por la denominada “Ingeniería Social”, es decir, conseguir la confianza del usuario suplantando un origen de confianza, lo que técnicamente es trivial en Internet, y llevarle a hacer aquello que el atacante desea. En definitiva, el timo de la estampita, pero con bits de por medio.

En este sentido, es fundamental la formación y concienciación a todos los empleados de una empresa respecto a este tipo de amenazas, que son muchas y muy variadas, pero que son fácilmente identificables si se siguen las siguientes directrices:

  • Sé consciente de la información que manejas y su valor: lleva a cabo el ejercicio de definir una serie de círculos de protección, y dónde debe vivir la información correspondiente. Por ejemplo, mi PIN de la tarjeta o mi contraseña es sólo mía, si alguien me la pide, está saliendo de su zona de protección y deben saltar alarmas y añadir validaciones adicionales: añade canales de comunicación alternativos, o lanza un desafío respuesta, una pregunta o comentario que sólo el remitente legítimo sabría responder.
  • Sentido común: desconfía como harías en tu vida física de desconocidos o peticiones que vienen fuera de contexto, ya que son fácilmente falsificables. Van a tratar de atraernos (peticiones de amistad atractivas), asustarnos (bloqueos de tarjetas/cuentas), picar nuestra curiosidad (mira el nuevo romance de…) o que empaticemos con su causa (campañas solidarias conta el cáncer, desastres naturales,…). Si nos llega algo atractivo, vayamos al origen por nuestros propios medios, nunca utilizando las redirecciones incluidas en el propio correo.
  • Sentido de alerta: nuestra información y la de nuestra organización vale mucho, existe una auténtica industria desarrollando los medios necesarios para conseguirla y sacar beneficio de ella. Mantengamos siempre un sentido de alerta ante mensajes anómalos, que nos solicite información sensible o elementos financieros. Recuerda que el bien está a un solo click de distanci del mal.

Todo apunta a que la tendencia irá a más, serán ataques más sofisticados, más organizados y de mayor impacto. Ante este escenario, las organizaciones deberán contar con los medios suficientes que permitan gobernar la prevención, monitorización y respuesta a este tipo de incidentes, donde el denominado “Firewall humano” jugará un papel clave.

 

Andrés Sanz Mollejo

CISO Corporativo Digitex