¿Cómo pueden las empresas protegerse de los fraudes informáticos y los robos de identidad?
Ejecutivos de todo el mundo reconocen que incrementan sus inversiones en tecnologías, procesos y estrategias para proteger la información.
Sin embargo, si bien aseguran que lograron grandes mejoras, reconocen que no alcanza para hacer frente a los desafíos que enfrentan las empresas hoy.
Según el estudio The Global State of Information Security Survey 2014 lanzado recientemente por la consultora PwC, en el que participaron más de 9.600 ejecutivos de 115 países, los incidentes en seguridad de la información en el último año aumentaron en el mundo un 25%. A su vez, los costos financieros provocados por dichos delitos se han incrementado un 18%.
El avance de la tecnología, que ha impulsado la penetración de dispositivos móviles en las empresas y el desarrollo del "cloud computing", ha elevado en forma notoria los riesgos en la seguridad.
Por el momento, los esfuerzos para implementar programas de seguridad móviles, no han logrado los resultados esperados.
“La corrupción, la malversación de activos, la intrusión de un 'hacker', el robo de información o cualquier otro delito económico puede significar un golpe devastador para una organización,” reflexionó Andrés Sarcuno, Gerente de Forensic Services en PwC Argentina.
Este ejecutivo afirmó que “el temor a ser víctima de un fraude provocó que las empresas decidieran afrontar esta amenaza”.
En el desafiante ambiente actual es fundamental que las organizaciones se replanteen su estrategia de seguridad para integrarla a las necesidades de negocio.
Si algo queda claro es que no se puede combatir las amenazas de hoy con estrategias de ayer. El informe afirma que es necesario un nuevo modelo, guiado por el conocimiento de los desafíos actuales, que conozca los motivos y el target de los potenciales adversarios.
Diego Taich, director de IT Consulting en PwC Argentina, sostiene que "se trata de pasar de un modelo basado en cumplimiento a un modelo de gestión proactiva de las amenazas, con un enfoque de priorización y protección de los activos de información más críticos. El cambio de enfoque contempla asimismo empezar a trabajar en colaboración con otras organizaciones públicas y privadas, y también que la alta dirección de la compañía sea dueña y responsable por el tema”.
La colaboración entre ejecutivos para mejorar las prácticas en materia de seguridad se ha convertido en un punto clave para obtener mayor conocimiento de las amenazas y las vulnerabilidades. Sin embargo, sólo el 50% reconoció hacerlo. El principal motivo (33%) es el miedo a llamar la atención por potenciales debilidades. También se teme que la competencia pueda utilizar esa información en su contra (28%).
Los principales obstáculos para mejorar las políticas de seguridad son tres:
- Falta de financiamiento.
- Falta de visión sobre cómo las necesidades del negocio impactarán en la seguridad.
- Falta de liderazgo por parte del CEO o directorio.
Dentro de la organización, los empleados (31%) y ex empleados (29%) son señalados como los principales responsables por los incidentes en materia de seguridad de la información.
Sin embargo, los delincuentes informáticos (32%) desde afuera, son los máximos causantes de estos delitos, según declararon los ejecutivos.
Robo de identidadEMC, uno de los principales proveedores de sistemas de seguridad informática del mundo, advirtió que el robo de identidad ("phishing") continúa siendo una de las amenazas en línea principales y afecta tanto a los usuarios o consumidores como a las organizaciones que ofrezcan servicios en línea.
El Anti-Fraud Command Center (AFCC, por sus siglas en inglés) de RSA, la división de seguridad de EMC, identificó 27.463 ataques de robo de identidad en todo el mundo tan sólo en febrero de este año, un 31% más que el mismo mes de 2012.
El AFCC reportó que en 2012 se registraron, en promedio, más de 37.000 ataques de ”phishing” por mes, lo que se traduce en pérdidas estimadas en 1.500 millones de dólares.
Los ataques de robo de identidad surgen hace 16 años aproximadamente y, sin embargo, aún sigue siendo una amenaza constante del siglo XXI.
El éxito de estos ataques radica en hacer que el usuario no piense antes de entrar a una página o hacer clic en un “link”, sino que responda a ciertos gatillos emocionales para provocar respuestas subjetivas e inmediatas.
La persuasión es un componente básico para este tipo de ataques, ya que provoca que el usuario sienta la necesidad de visitar una URL por alguna razón que en ese momento parece válida y justificable, lo que resulta en la difusión de información personal y en muchos casos, bancaria.
En este sentido, las instituciones financieras han sido las más atacadas desde los inicios del fenómeno del robo de identidad.
Las tiendas o vendedores en línea y las redes sociales, les siguen en segundo y tercer lugar respectivamente.
El correo electrónico y los fraudes financierosLas cuentas de correo electrónico son una parte integral de las identidades de los usuarios del Internet.
El e-mail es un punto de comunicación entre un cliente y una empresa o institución bancaria.
Además, la dirección de e-mail es donde el cliente de alguna institución financiera recibe las comunicaciones, alertas y hasta partes de la autenticación de una transacción.
Por estas razones, los estafadores se apropian de cuentas de correo electrónico y algunas veces hasta las bloquean, para que los usuarios no puedan acceder y leer alertas o notificaciones de transacciones fraudulentas de una de sus cuentas.
Las instituciones bancarias fueron el blanco predilecto de los ataques de robo de identidad.
Por ejemplo, en los EE.UU, los bancos nacionales sufrieron el 69% de los ataques, los bancos regionales el 23% y las cooperativas de crédito el 7%.
No es sorpresa que los delincuentes cibernéticos prefieran atacar a las grandes instituciones financieras, ya que la tasa de víctimas es mayor debido a las grandes cantidades de clientes de este tipo de bancos.
Además, con el auge del comercio electrónico, las tiendas en línea usan el correo electrónico para restablecer las credenciales de la cuenta y para confirmar transacciones.
Por lo tanto, si un cibercriminal tiene el control de una cuenta de e-mail, también controlará la cuenta del usuario con la tienda o comercio en línea.
Una vez que se ha realizado un robo de identidad, se corta la ruta al fraude del comercio en línea.
Los criminales pueden utilizar la información financiera de esa persona para agregar una tarjeta de crédito comprometida con esa cuenta sin tener que iniciar sesión para acceder al dinero; de esta forma, el acceso al correo electrónico es igual a tener acceso al dinero del usuario.
Otro riesgo es que muchos de los usuarios de Internet utilizan la misma contraseña para varias cuentas (correo electrónico, banca en línea, etc.); con lo anterior, los cibercriminales que se apropian de una cuenta de correo electrónico pueden inclusive acceder a servicios de banca en línea del usuario sin que este se dé cuenta.
Así, los criminales pueden tener varias opciones para atacar a las victima una vez consumado el ataque de robo de identidad de e-mail como acceso a cuentas bancarias, sistemas de declaración de impuestos, cuentas de inversión y pago, y cuentas de otros servicios como luz, agua, telefonía o televisión por cable.
Como conclusión, los bancos y proveedores de servicios en línea deben tratar con mucha precaución las identidades electrónicas de los usuarios, considerando el poder que conlleva el control de la cuenta de correo electrónico.
Además, los usuarios deben estar conscientes de que a veces modificaciones muy leves en sus cuentas pueden convertir un intento de fraude en un intento de fraude fallido.
Policía informático interno
RSA presentó en una conferencia de prensa en Buenos Aires junto a la empresa local CertiSur la nueva versión de RSA Silver Tail diseñada para que las organizaciones puedan visualizar mejor la actividad de los sitios web con el fin de diferenciar la actividad normal de los comportamientos potencialmente maliciosos.
Con la posibilidad de separar de forma rápida las actividades maliciosas de las que no lo son, los equipos de seguridad y lucha contra el fraude pueden investigar las amenazas provenientes de aplicaciones móviles y sesiones web, y reducir los riesgos en tiempo real.
Diseñado para garantizar que las organizaciones cuenten con las herramientas necesarias para identificar más amenazas de forma más rápida e investigarlas con mayor eficiencia, RSA Silver Tail incorpora nuevas capacidades de administración de incidentes con solo un clic y una interfaz de usuario inteligente que ayudan a las organizaciones a obtener mejor visibilidad de las actividades en sus sitios web en millones de sesiones web simultáneas.
Además, gracias al análisis en tiempo real y a la puntuación de amenazas clic a clic, Silver Tail 4.0 aprovecha el poder del“Big Data” para identificar amenazas, tráfico malicioso y tendencias de comportamientos indebidos que no se podrían detectar mediante el simple análisis de los datos de los registros de las sesiones web.
En consecuencia, las organizaciones pueden obtener una reducción de los costos tanto directos como indirectos relacionados con el fraude, la seguridad y otros usos disruptivos de los sitios web, como la apropiación de cuentas, la averiguación de contraseñas, la denegación de servicio distribuido, la extracción de sitios y los abusos de lógica de negocios, por ejemplo: explotación de la función de los carros de compras o los reembolsos en línea.
El comportamiento de los delincuentes difiere del de los usuarios legítimos de un sitio. Esto es evidente cuando se compara la rapidez con la que se desplazan por el sitio desde dónde obtienen acceso a éste, e incluso cómo lo exploran.
Además, dejan señales reveladoras como direcciones IP y cadenas de usuario-agente que delatan su presencia.
Según Armando Carratalá, IT Manager de CertiSur, “con Silver Tail, las organizaciones pueden obtener una reducción de los costos tanto directos como indirectos relacionados con el fraude, la seguridad y otros usos indebidos de los sitios web, como la apropiación de cuentas, la averiguación de contraseñas, la denegación de servicio distribuido, la extracción de sitios y los abusos de lógica de negocios”.
Para Denyson Machado, responsable por los Negocios de Anti-Fraude en RSA para Brasil y Cono Sur, la solución, a la que definió como “un policía informático interno”, ayuda a los clientes a “distinguir usuarios legítimos de potenciales criminales en la sesión web, identificando comportamientos sospechosos en línea en tiempo real. Todo esto, basado en un nuevo concepto de prevención de fraudes basado en patrones de navegación como suelen ser la velocidad de clic, secuencia de páginas, etc., con la seguridad de que los resultados empiezan a obtenerse a las pocas horas de actuación y su implementación no necesita de ningún desarrollo para interactuar con las aplicaciones en back end”.