Los ciberdelincuentes cada vez están más al acecho de la información sensible que les permite, no solo vulnerar sistemas, sino, hacerse de recursos financieros.
Las alertas por correo electrónico se vuelven insuficientes cuando la víctima no dispone de tiempo o recursos para consultarlas, y ahí es cuando atacan.
Bastan solo unos minutos para que entren en tu cuenta, reconfiguren la información y procedan a vaciar los fondos. No se necesita ser una institución de Gobierno o una empresa, cualquiera está expuesto.
Guadalupe fue víctima de robo de información en el mundo digital: usaron sus datos para entrar a su cuenta de PayPal y, además de cancelar el pago de los servicios que tenía vinculados, trasladaron a Polonia los fondos mediante donaciones, todo mientras se encontraba realizando actividades que le impedían estar pendiente de su correo electrónico.
Especialistas y autoridades han lanzado distintos llamados de alerta para establecer estrategias de prevención contra los ciberdelitos, pues para convertirse en víctima son necesarios sólo unos cuantos minutos. El tiempo se vuelve un factor en contra.
Avira, una compañía de seguridad informática, detalla que las cuentas de PayPal se pueden “piratear” mediante suplantación de identidad, robo de contraseñas o por la poca atención que le prestan los usuarios al tema de la seguridad.
“PayPal no es inmune a las vulneraciones de datos. Un ataque en 2017 afectó a 1.6 millones de usuarios. Una vez que tus datos de inicio de sesión quedan expuestos, ya sea en PayPal o en otro sitio en el que uses las mismas credenciales, los piratas no tardarán en tener acceso a tu cuenta”.
Guadalupe, quien pidió proteger su identidad porque el proceso de aclaración está en curso, asegura que últimamente no ha descargado aplicaciones ni entrado en enlaces sospechosos, mucho menos compartido información, sin embargo, reconoce que su contraseña es similar en la mayoría de los sitios donde se la solicitan.
“La última vez que utilicé PayPal fue en Mercado Libre, no sé si fue por ahí, la verdad no tengo idea”.
El tiempo, factor en contra
En 10 minutos a Guadalupe le suplantaron la identidad, le cancelaron servicios y le vaciaron la cuenta.
“Todo fue súper rápido, los correos estaban uno tras otro. PayPal me dijo que entraron mediante mi correo electrónico, el cual reviso durante las noches, sin embargo, el robo de información se realizó en el transcurso del día.
“Empecé a checar mi correo y decía que mi cuenta se había vinculado a un teléfono, el cual era el mío, y luego había otro correo en el que decía lo mismo, el siguiente pedía verificar datos de la cuenta ‘de mi empresa’, pero mi perfil es personal. Después de que cambiaron el estado de mi cuenta personal a empresarial, ingresaron otra tarjeta y un tipo de cambio a euros”, narra.
El siguiente correo confirmaba la realización de donaciones por distintos montos, luego vino la cancelación de pagos por servicios.
“El último correo informaba sobre la cancelación de la cuenta, cuando me quise meter decía que mi correo no existe”, agrega.
El laberinto para encontrar ayuda
Para solicitar apoyo, primero contactó a PayPal a través de asistencia mediante correos y chat. Tras insistir en solicitar atención le dieron un número al cual comunicarse.
“Luego de cuatro menús me contestó una chica de nombre Mariana, quien me dijo que no me podía ayudar y me comunicó con otra persona que por su acento no era de México”.
En PayPal tenía vinculados varios pagos de servicios de streaming, principalmente.
“Ingenuamente pensé que era como cuando cancelas Facebook y luego lo vuelves a abrir con el mismo correo y se guardan los datos, sin embargo, no es así, se abre una cuenta nueva como si nunca hubiera existido, pero la persona que me atendió me dijo que en el sistema de PayPal sí aparece mi historial”.
Según PayPal, ingresaron a su cuenta mediante su correo electrónico.
“(La persona que me atendió) me pidió cambiar mi contraseña y actualizar mis preguntas de seguridad, que son datos que solo yo sé”.
Cuando le cerraron la cuenta notó que habían cambiado, incluso, su nombre. Lo último que PayPal le ha contestado es que “no hubo un uso no autorizado”, sin embargo, aún mantiene un par de procesos de aclaración pendientes.
Estrategia contra el vishing
La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) ha lanzado una campaña para alertar ante posibles fraudes a través de los teléfonos celulares.
Recomienda evitar conectarse automáticamente a redes de internet de libre acceso, apagar el wifi cuando no se necesite y no enviar información confidencial a través de redes que no sean seguras para protegerse de ataques fraudulentos por el hackeo de los teléfonos móviles.
Además, alerta por posible vishing: “Un engaño para hacerse con los datos de tu tarjeta de manera fraudulenta”, según explica Santander Consumer Finance.
“En el caso del vishing, se aprovechan de las líneas de teléfono convencional y algunos servicios básicos digitales. Para su ejecución, se emplea la tecnología de voz IP o voz automatizada”.
Por lo anterior, la Condusef llama a no responder llamadas que solicitan información financiera o personal. En el caso de requerir datos bancarios, utilizar los canales formales, como los números que aparecen detrás del plástico.
También, pide solo proporcionar información personal cuando sea el interesado quien realiza la llamada y no quien la recibe, y procurar instalar un software en el celular que permita saber si se navega por sitios seguros.
Sobre la navegación web, la Condusef pide tener cuidado con los anuncios, premios, concursos u ofertas, verificar que las URL sean seguras, nunca guardar información de inicio de sesión y evitar activar la opción “recordar contraseña”.
‘El tiempo es oro’
Juan Marino, gerente regional de Ciberseguridad en Cisco Multi Country Region, señala que necesitamos que la tecnología se ocupe de darnos una visión clara de lo que es realmente importante para poder actuar porque la métrica que más importa es el tiempo, es decir, ¿Cuánto voy a demorarme en detectar lo que va a suceder, entenderlo y contener la amenaza?”.
Para reducir el tiempo del llamado time to detect o time to operate —visto desde el lado del atacante—, Marino señala la necesidad de que la arquitectura tecnológica conecte todos los puntos por los que atraviesa la amenaza.
Una amenaza que generalmente puede llegar por un email, logra un acceso a nivel de un endpoint, se pueden comprometer credenciales de un usuario, sin embargo, asegura que esto puede significar sólo el principio del problema.
Los atacantes, al tener el control de la información y estar dentro del sistema pueden llevar a cabo una extorsión digital.
“Nos encontramos con la sorpresa del ransomware, los datos están cifrados, lo cual compromete la capacidad operativa de la empresa.
“Cuando nos encontramos ahí ya pasaron muchos pasos del ataque, por ello no hay una respuesta tecnológica única, la única es una plataforma”.
Los dos puntos iniciales del blindaje
Juan Marino asegura que la mayoría de consultores coincide con dos estrategias para preservar la ciberseguridad: el factor de autenticación porque en algún momento será vulnerado el usuario y contraseña, y la seguridad por DNS, algo elemental.
“La realidad es que al usuario no le gusta hacer algo más, agregar una contraseña o hacer un doble factor, entonces, tenemos que encontrar una fórmula en los casos de uso para hacer un balance y lograr una estrategia que fortalezca la seguridad y, al mismo tiempo, cuente con el apoyo del usuario”.
Para Juan Marino, el plan a largo plazo es trabajar en una forma estratégica: ser aliados para construir un programa de gestión de seguridad, ganar madurez y demostrar cómo se está mejor preparado, porque una de las problemáticas es no poder visualizar dónde se está parado.
‘No hay una bala de plata’
Marino alerta sobre uno de los principales problemas que enfrenta la ciberseguridad: la falta de estrategias conjuntas, precisamente para combatir los ataques.
“No hay una bala de plata, no hay un producto mágico, la simplicidad es traer orden a esa complejidad que enfrentamos y ser aliados tecnológicos para lograr una mejor preparación y mayor resiliencia”.
El especialista contrasta las estrategias de contención con la organización de los criminales digitales.
“Los actores maliciosos, si hay algo que saben hacer muy bien es colaborar: han dejado de ser personajes que trabajan de manera aislada generando disrupción. Más bien son organizaciones criminales muy bien estructuradas”.
Señala que la ebullición del cibercrimen es un problema latente, sin embargo, el otro punto a atender es la capacidad de defensa.
“Paradójicamente la ciberseguridad se ha vuelto una problemática porque nos encontramos con una industria con más de tres mil fabricantes intentando resolver alguna parte del problema, pero esta realidad nos encuentra muy fragmentados”.
Asegura que si se quiere lograr una ventaja defensiva es necesaria una organización, colaboración y hacerlo todos comprometidos, tanto fabricantes como clientes.
Posibles ataques
- SIM Swapping: Intercambiar la SIM de un teléfono con la SIM de otra persona para luego utilizar la SIM intercambiada para recibir códigos de verificación y acceder a la cuenta de la víctima.
- Malware: Programas maliciosos diseñados para espiar a las víctimas y acceder a sus cuentas de mensajería. Se distribuyen a través de correos electrónicos o descargas falsas.
- Ataques de man-in-the-middle (MITM): Intercepta las comunicaciones entre dos dispositivos y las modifica para acceder a las cuentas de la víctima.
- Ataques de diccionario: Utilizan programas automatizados para probar diferentes combinaciones de contraseñas y nombres de usuario hasta encontrar una combinación que funcione. Estos ataques pueden ser efectivos si la víctima utiliza contraseñas débiles o comunes.
- Ataques de fuerza bruta: Similares a los ataques de diccionario, pero utilizan programas automatizados para probar todas las posibles combinaciones de contraseñas y nombres de usuario.
Agenda reciente
“¿A quién le importa la ciberseguridad?”, cuestiona Juan Marino, gerente regional de Ciberseguridad en Cisco Multi Country Region, al señalar que hace unos años el tema no ocupaba espacio en las agendas de los gobiernos ni de las empresas.
“Tuvieron que suceder una serie de calamidades, disrupciones serias con impacto a nivel social para que el tema se convierta en un asunto de Estado y pase a estar en la agenda ‘C-level’ de los CEO y la línea ejecutiva”.
Como ejemplo, pone sobre la mesa el riesgo, incluso, de perder la vida derivado de un ataque digital.
“El impacto potencial no es la pérdida de datos o dinero que conlleva sino que podemos hablar que están en juego servicios críticos a la ciudadanía o la vida misma por ataques de ransomware, en el caso de afectaciones a hospitales”.
Señala la importancia de reconocer a la ciberseguridad como un tema importante que requiere atención.
“Las empresas deben reconocer que tienen que construir resiliencia: estar preparados para responder ante algo que va a ocurrir inevitablemente y minimizar el impacto que esto tenga.
“No hay nada más problemático que tener las expectativas incorrectas al momento de atender un asunto”.
Por otro lado, señala que las empresas deben enfocarse en que sus proveedores de ciberseguridad les ayuden a formar un camino para hacer frente a los ataques y no solo en adquirir un software.
Los pasos a seguir
- Utilizar contraseñas seguras y únicas de al menos ocho caracteres, combinando letras, números y símbolos.
- Utilizar los métodos de autenticación de dos factores disponibles en las aplicaciones.
- No compartir información confidencial, como contraseñas, información financiera o documentos sensibles a través de mensajes de texto.
- Configurar la privacidad de tu cuenta de manera que protejas tu información personal, evitando que sea vista por personas no deseadas.