Fernando Niño
Director senior de la Práctica Global Risk and Investigations en Consultoría Forense y de Litigios de FTI Consulting
Una categoría de fraude al que están expuestas a diario las empresas y las personas naturales es la conocida como “ingeniería social”. El término engloba dos modalidades básicas: phishing -con sus variaciones como vishing, smishing, rock phishing- y pharming, usadas por los perpetradores para generar oportunidades de obtener dinero a través del engaño.
La ingeniería social, según la Asociación de Examinadores de Fraude Certificados, es una técnica usada por los defraudadores para obtener información personal de sus víctimas. No es una vulnerabilidad técnica, dado que no utiliza medidas tácticas, como softwaremalicioso. Se trata de engañar a las víctimas para que proporcionen su información. En el caso del phishing, la víctima entrega sus datos creyendo que está frente a una compañía con la cual tiene negocios. Por ejemplo, recibe un correo electrónico de lo que parece una fuente legítima, como un banco, con una redacción que lo lleva a dar “click” en un vínculo que es el sitio web del defraudador. El consumidor es instruido entonces para que suministre o actualice información personal, tal como usuario y clave de una cuenta bancaria, con lo cual el defraudador obtiene acceso total.
“Pharming es un ataque en el que una persona es engañada con datos confidenciales (contraseña o número de tarjeta de crédito) en un sitio web malicioso que imita a un sitio web legítimo. Es diferente al phising, en que el atacante no tiene que esperar que el usuario haga “click” en un enlace dentro del correo electrónico para dirigirlos a la web falsa. Hay muchas maneras en que las personas pueden protegerse contra el pharming. Una de ellas es verificar la URL de los sitios web que solicitan información personal. Otra es proteger los dispositivos usando software de protección contra virus, elegir un proveedor de servicios de internet confiable y verificar el certificado de los sitios web. Los consumidores siempre deberían bloquear los sitios web sospechosos”[1].
Los roles de las bandas
Los defraudadores pueden utilizar múltiples tácticas para obtener información y, según su objetivo, mezclar varias modalidades de fraude a los consumidores. Pueden alternar el uso de correos electrónicos, llamadas telefónicas, contactos personales y falsificación de documentos, entre otros. La característica de este tipo de delitos es que se hace de manera masiva, es decir, realizan ataques constantes a miles de potenciales víctimas. En recientes casos de fraude contra almacenes de grandes superficies se han identificado los siguientes roles en las bandas de defraudadores:
(i) Un autor intelectual que genera el esquema de fraude, lo dirige y obtiene la mayor ganancia.
(ii) Expertos en cibercrimen que organizan el esquema de ingeniería social. En el caso examinado, la modalidad es conocida como “Man-in-the-Email”, que es un ataque tipo “phishing”, donde se suplantan cuentas de correo electrónico de las partes y a empleados en conversaciones telefónicas, para lograr mediante engaños la transferencia de información confidencial y dinero a los delincuentes.
(iii) Personas que se encargan de la falsificación de documentos: sellos de notaría, cédulas, documentos de bancos y cámaras de comercio, entre otras.
(iv) Personas que ejecutan la ingeniería social por correo electrónico y llamadas telefónicas. Son distintas al cibercriminal y están divididas en dos: (a) Personas de menor nivel cuya función es el envío sistemático y masivo de correos a posibles víctimas (sea persona o empresa). (b) Cuando una víctima “cae”, es decir, se conecta con un correo electrónico o por teléfono, una persona de mayor nivel asume el contacto para convencer de que se trata de la persona o empresa que suplantan. Este miembro de la banda conoce muy bien el lenguaje y las actividades que se llevan a cabo en el área que quieren afectar.
(v) Los cobradores: personas de menor rango que se exponen, es decir, generalmente utilizan su verdadera identidad para abrir cuentas en cualquier banco donde será depositado el dinero que las víctimas envían, producto del engaño.
Estas organizaciones criminales han logrado apropiarse de miles de millones de pesos mediante modalidades que podrían ser fáciles de detectar, si las víctimas tuvieran acceso al conocimiento necesario sobre su modus operandi, y contaran con el tiempo necesario. Sí, el tiempo, porque una ventaja que aprovechan los defraudadores es que las empresas hacen cada vez transacciones mayores y más sofisticadas, y adecúan sus procesos para optimizar los tiempos de respuesta a sus clientes y proveedores.
En casos conocidos, los cobradores han usado sus verdaderas identidades y siguen en libertad, pese a las denuncias y los elementos materiales probatorios en su contra. No obstante, capturar a los miembros de este nivel de la organización no hace ninguna diferencia, considerando que son fácilmente reemplazables.
La prevención
El desafío está, entonces, en la prevención, en que la potencial víctima tenga el discernimiento y desarrolle su capacidad de advertir las señales. En el caso de las empresas, el mayor inconveniente es que las señales exigen verificaciones adicionales que pueden afectar las operaciones, en detrimento de las ventajas del servicio que se presta, y que generan costos adicionales.
La pregunta es si vale la pena dar unos pasos extra y detener la salida de grandes cantidades de dinero, así como evitar el deterioro de relaciones comerciales y litigios entre los afectados. Un ejemplo ha sido el de proveedores suplantados a quienes algunas grandes empresas les han pagado facturas. Los verdaderos proveedores no han recibido el pago y esto ha generado inconvenientes en relaciones comerciales de largos años, así como demandas y otro tipo de acciones, pese a contar con las pólizas de seguros que amparan este tipo de contingencias.
En algunos casos, y después del entrenamiento, la amenaza se soluciona con la suficiente atención por parte de los empleados que en primera instancia reciben los ataques, mediante correos electrónicos, llamadas telefónicas o websites ilegítimas.
Algunas recomendaciones
Acoger las recomendaciones seguramente implica nuevos procedimientos, ampliar planta de personal e implementación de nuevas tecnologías. A continuación, algunas de estas:
- Capacitar a todos los empleados acerca de las distintas modalidades de ataque, con el fin de generar conciencia de la existencia de la amenaza y de cómo pueden ser víctimas. Este conocimiento también debe ser transmitido en la inducción de nuevos empleados.
- Una vez conocida la modalidad, es necesario habilitar los canales para que los empleados reporten lo que les parezca sospechoso. Cabe recalcar que la ingeniería es cíclica, es decir, atacan a una empresa o persona y, como saben que después de darse cuenta se toman medidas de protección y se sube el nivel de alerta, los defraudadores toman todo el tiempo que necesiten para volver a atacar cuando se haya “bajado la guardia”.
- Elaborar indicadores que puedan servir de base para generar alertas tempranas a partir del conocimiento de la empresa sobre las modalidades con que ha sido atacada. Los indicadores pueden ser tan simples como sospechas de que el dominio usado por los atacantes tiene sutiles diferencias con el dominio tradicional del cliente o proveedor que está siendo suplantado.
- Llevar un registro, que pueda ser consultado por los empleados más expuestos a estas amenazas, sobre acciones como cambios de razón social, venta, fusión, adquisición, cambio de correos electrónicos, teléfonos y personas de contacto y cambios de cuenta de potenciales víctimas de suplantación (clientes y/o proveedores).
- Después del análisis de los riesgos, implementar un proceso de verificación para aquellos procesos y cambios más críticos que incluyan visitas físicas al cliente o proveedor y a otras entidades que puedan estar involucradas, como bancos, así como empresas que den referencias comerciales y personales, entre otros.
- Generar un segundo nivel de autorización para el pago de grandes sumas de dinero.
- Capacitar a los empleados para que sospechen de correos electrónicos en los que las solicitudes sean “secretas” y, a la vez, “apresuradas” o que tengan que actuar de manera inmediata, por ejemplo: “esto está relacionado con una transacción confidencial” o “por favor no hable del tema con nadie más”, “imperiosa obligatoriedad”, “por problemas de flujo de caja no podríamos esperar todo ese tiempo; ¿qué solución nos das?”. Frases similares deberán generar una alerta inmediata para el empleado.
Por otro lado, es muy importante implementar medidas de protección de los datos personales tanto de los empleados, como de proveedores y clientes, incluyendo, entre otros, acuerdos de confidencialidad con cláusula penal y administrativa por mal uso o pérdida de información; aumento de la rigurosidad de dichas cláusulas a medida que se eleva el perfil de los empleados en cuanto a acceso a información clave; verificación de ajuste de perfiles por cambios de empleado o por reubicación dentro de la empresa; identificación y aseguramiento de repositorios de datos confidenciales.
Finalmente, los protocolos técnicos de manejo del correo electrónico que se recomiendan, sin limitarse a ellos, son los siguientes: verificación con dos factores de acceso, sistemas de firma digital y aplicación de pruebas periódicas de Ethical Hacking y otras técnicas, aplicadas por personal calificado, que permitan asegurar que se cuenta con los parches de seguridad más recientes.
Encuentra este artículo completo en: http://bit.ly/2ZvnUaG
Fuente: www.ambitojuridico.com
No hay comentarios.:
Publicar un comentario