08-08-2017 El phishing y el spam son problemáticas muy serias que comprometen la seguridad del usuario y de las compañías. En los últimos tres años, u$s2.000 millones fue el costo para los negocios por cuenta del “spearphishing”, según cifras del FBI
a revolución digital transformó la forma en que los consumidores, en especial la generación de los “millennials”, realizan sus actividades diarias, incluyendo comunicaciones, transacciones, compras y consumo de contenidos.
Pero esta revolución no está exenta de riesgos: el fraude informático es la actividad más floreciente de la ciberdelincuencia.
Por ejemplo, existen más de 80 millones de perfiles falsos en Facebook, Twitter e Instagram. Un gran porcentaje de ellos son utilizados para lanzar ataques.
Cuatro de cada cinco usuarios de Google usan los enlaces patrocinados de AdWords en vez de los resultados normales. Más de un tercio de estos usuarios no saben que son anuncios publicitarios. Esto permitió un incremento sustancial en los ataques mediante anuncios en motores de búsqueda.
¿Cómo evitar ser víctima de estos ciberataques? ¿Cómo funciona el fraude informático? iProfesional entrevistó sobre estos temas a David Castañeda, vicepresidente de Desarrollo e Investigación de Easy Solutions, una compañía dedicada a la protección y detección de fraudes informáticos que detectó el robo de identidad de 110 millones de clientes de Target, el gigante del retail estadounidense.
-¿Cuáles son los mitos y realidades del fraude informático?
-Hace unos meses atrás, reunimos a investigadores y expertos en fraude electrónico de Easy Solutions y exploramos los más recientes y sofisticados ataques que afectan a empresas, instituciones financieras y consumidores alrededor del mundo.
Con los resultados de ese reporte creamos “El pulso del cibercrimen”, y con él entregamos nuestra visión sobre cómo evolucionará el fraude en la era digital.
Se descubrió que aquellas organizaciones que cuentan con tecnologías de análisis de riesgo en dispositivos móviles detectan de cuatro a nueve veces más aplicaciones falsas.
De acuerdo a los investigadores de Easy Solutions, las organizaciones que no emplean autenticación multifactorial experimentan tres veces más ataques de phishing en sus portales web.
Los ataques a través de la red SWIFT, utilizada por los bancos para comunicarse entre sí, han resultado en millones de dólares en pérdidas, sin verse una pronta solución al alcance.
Los ataques tipo ransomware están incrementando su frecuencia en diversos mercados, produciendo enormes pérdidas de datos y ganancias.
El fraude con tarjeta evolucionó como respuesta a las nuevas medidas de seguridad, tales como las tarjetas EMV de chip y PIN. Así, el fraude sin tarjeta presente por ejemplo se ha disparado a nuevos niveles.
El valor de la información personal de identificación (PII) se ha incrementado dramáticamente en el mundo criminal debido a la facilidad que existe para monetizar su uso.
El reporte explica que las amenazas electrónicas van a aumentar donde exista crecimiento de transacciones financieras y un mayor número de consumidores.
En ese sentido, la revolución digital trae grandes oportunidades a las empresas e instituciones financieras para aumentar su mercado, ofrecer nuevos productos y tener formas de comunicación cercana con sus clientes.
Sin embargo, es crítico que las estrategias “online” y móviles cuenten con medidas de protección eficientes y de baja fricción para que los consumidores se sientan seguros y tengan una buena experiencia de uso.
-¿Cómo utilizan los ciberdelincuentes los correos electrónicos falsos para robar?
-El correo electrónico todavía se mantiene como el canal de comunicaciones corporativas por excelencia. No obstante, hoy es bastante fácil y económico falsificar correos a partir de cualquier dirección en Internet.
Nuestra solución de autenticación de correo electrónico, Dmarc Compass, detectó en los últimos dos años una oleada de correos electrónicos fraudulentos que utilizan a entidades gubernamentales para atraer a los usuarios con temas llamativos como “Atención, cheque devuelto”, “Información para el ganador del concurso” y “suspensión de identidad tributaria”, etc. Mediante este esquema los criminales incitan a los usuarios a acceder a un link para solucionar el problema o para ampliar la información y este enlace los redirige a sitios ilegítimos en donde se les solicita a los usuarios transferencias de dinero o el envío de información sensible.
De acuerdo a Anti-Phishing Working Group, solo el 30% del fraude basado en email utiliza la falsificación de dominios.
Es mucho más probable que los “hackers” aprovechen dominios hermanos o que adulteren ciertos elementos como el campo del sujeto, el nombre mostrado en pantalla o la cuenta de email.
Esto representa una necesidad imperante para que las organizaciones implementen un enfoque holístico contra las amenazas digitales.
El phishing y el spam son problemáticas muy serias que comprometen la seguridad del usuario y de las compañías.
En los últimos tres años, u$s2.000 millones fue el costo para los negocios por cuenta del “spearphishing”, según cifras del FBI.
Lo llamativo es que el 97% de los usuarios no sabe identificar un correo electrónico peligroso. Según un estudio de Intel Security, 19.000 encuestados de 144 países, solo el 3% fue capaz de identificar correctamente correos fraudulentos.
Hay que tener en cuenta que el 73% de las brechas de datos inician con e-mails fraudulentos.
La única forma para que las compañías garanticen que los e-mails que reciben sus empleados y usuarios son genuinos es la implementación de un sistema que intercepte y rechace los mensajes maliciosos enviados desde dominios falsos.
Tener una completa visibilidad del canal de e-mail es crucial para aquellas organizaciones interesadas en prevenir el abuso de marca, especialmente aquellas que emplean a terceros para el envío de e-mails.
-¿Cómo evitar ser víctima de estos ciberataques?
-Con respecto a los usuarios finales, es muy importante que estén informados y sean más conscientes de esta problemática.
Hay que concientizar a los usuarios para que estén alertas y por supuesto no caigan en la vieja táctica de ingeniería social, que es la más recurrente para vulnerar a usuarios finales.
A continuación detallamos algunas recomendaciones clave para evitar ser víctimas de fraudes informáticos:
* Desconfiar de e-mails no solicitados, especialmente de aquellos que piden datos o transferencias de fondos.
* Sólo descargue aplicaciones móviles desde las tiendas autorizadas.
* No ingrese a sitios web desde enlaces en redes sociales o e-mails. Mejor ingrese la dirección URL usted mismo.
* Siempre verifique que un sitio web, un perfil en redes sociales, un e-mail, una aplicación o demás publicaciones que invitan a entregar datos, sean provenientes de quienes dicen ser.
-¿Y respecto a las compañías y lo que pueden hacer para evitar ser víctimas de un fraude informático?
-Las empresas deben contar con un enfoque holístico, multinivel, multicapas dentro de una estrategia de protección de amenazas digitales proactivas contra el fraude, mediante la detección y mitigación de ataques diseñados para robar información personal de clientes y empleados.
Tener un sistema de detección de fraude que sea multinivel, multicapas es muy importante ya que garantiza que si una capa está comprometida hay otra para detectar y prevenir el fraude.
Esta estrategia también debe incluir un sistema que mida la efectividad de la seguridad del canal de email, además de las siguientes recomendaciones que garantizan que las organizaciones estarán bien protegidas contra una amplia gama de ataques en diversos canales:
* Implemente un sistema que no solo identifique amenazas, sino que también las desactive rápidamente. Esto minimiza significativamente las probabilidades de un ataque contra sus empleados y usuarios.
* No limite el monitoreo de amenazas al canal de e-mail. Expanda la vigilancia a las redes sociales, sitios web, “dark web” y más. Aunque no tenga presencia en estos canales es muy importante que los monitoree y evite que se creen perfiles falsos.
* Monitoree tiendas de aplicaciones de terceros para asegurarse que los criminales no desarrollen aplicaciones maliciosas que aprovechen su nombre o imagen.
* Utilice protocolos de “machine learning” que analicen datos a escala con el fin de eliminar posibles amenazas tan rápido como sea posible.
* Vigile de cerca el registro de nuevos dominios, ya que esto puede indicar la existencia de planes criminales basados en el uso indebido de dominios legítimos.
* Dé a conocer la importancia de permanecer atento al educar a los usuarios y empleados con simples, pero efectivas, instrucciones que prevendrán que sean influenciados por atacantes.
Desafortunadamente aún hay empresas que no son conscientes de la realidad y de estos cambios, y por este motivo no se están protegiendo de la forma más adecuada para prevenir el uso indebido de su marca.
Fuente: /iprofesional.com