Para utilizar las funcionalidades completas de este sitio, es necesario tener JavaScript habilitado. Aquí están las instrucciones para habilitar JavaScript en tu navegador web .

La manipulación humana: Un juego que dominan los cibercriminales

19 Abril, 2018 | Un sistema de seguridad es solo tan fuerte cómo su eslabón más débil. Desgraciadamente, y para preocupación de los profesionales en seguridad de TI alrededor del mundo, ese eslabón es el mismo personal de la organización. La gente es gente después de todo, e incluso las mejores soluciones de seguridad eventualmente son derrotadas debido al simple hecho que las personas pueden ser manipuladas para que actúen en contra de sus propios intereses, eso sin tener en cuenta los intereses de compañías con masivas cantidades de datos y cuentas financieras lo suficientemente grandes como para hacer salivar a los hackers con solo pensar en ellas. Desde tiempos inmemoriales, individuos inescrupulosos han tratado de aprovecharse de la debilidad humana. La célebre frase de P.T. Barnum “cada minuto nace un tonto” es el credo criminal, y solo basta echar un vistazo a los titulares del último año para darse cuenta de eso. A pesar de los mejores esfuerzos de los profesionales en seguridad, en lo que respecta al campo de la manipulación humana (p.ej. la ingeniería social), los cibercriminales cuentan con un suministro infinito de blancos a su disposición. Cómo han caído los gigantes Los cibercriminales no discriminan sus posibles blancos: todas las entidades son susceptibles a un ataque. Target, Equifax, Office of Personnel Management, etc; todas cayeron víctima del phishing, el cual, si bien es simple, también es realmente poderoso y los criminales lo saben. Una y otra vez, los esfuerzos de los criminales dan frutos, y eso les da aún más razones para seguir empleando técnicas de phishing. Miremos algunas estadísticas: • 97% de las personas no pueden reconocer con precisión un email de phishing. • Aproximadamente, 30% de los emails de phishing son abiertos por los receptores. • Solo en el último año, 13.000 sitios de phishing fueron creados, los cuales recibieron más de 400,000 visitas cada mes. • En 2016, el número de sitios de phishing se incrementó en 250%. ​Si bien estas cifras son preocupantes, lo más alarmante es que los ataques de phishing cada día incrementan su enfoque y sofisticación. Esto significa que cada vez es más difícil para la gente reconocer qué perfil en redes sociales, email o sitio web es legítimo. Tomemos por ejemplo el ataque de phishing lanzado contra usuarios de Gmail a inicios de este año. Dichos usuarios recibieron emails que aparentaban provenir de contactos legítimos y en los cuales se les urgía abrir un documento Google Doc. En el proceso, también se les solicitaba otorgar permisos a la supuesta aplicación Google Docs. En realidad, la aplicación era falsa y su propósito era recolectar la información de contacto de las víctimas con el fin de seguir perpetuando el ataque. Caballos de Troya modernos Como los antiguos guerreros griegos, los virus troyanos utilizan ingeniosos disfraces para ingresar a un sistema, muy a menudo el de aplicación genuina. Una vez han logrado entrar al sistema, los criminales toman control del dispositivo o teléfono para llevar a cabo sus nefastos planes.  Entre los troyanos más infames tenemos: Marcher, un troyano Android que falsifica aplicaciones bancarias, juegos aún no lanzados, y actualizaciones Flash o de seguridad. Lo que hace particularmente peligroso a este troyano es su habilidad para evadir la autenticación con doble factor mediante la interceptación  de  los mensajes SMS enviados al teléfono infectado. Además, este ataque es capaz de superponer contenido falso en las aplicaciones legítimas para engañar a los usuarios y hacer que ingresen información sensitiva. El Troyano Bancario Trickbot ganó reconocimiento después de impactar diversas instituciones financieras en Estados Unidos y el mundo. Este malware lanza ataques de tipo Man-in-the-Browser contra URL con redirección personalizada que básicamente secuestra a los usuarios y los lleva a sitios falsos para robar sus credenciales. Debido a que la conexión con el sitio genuino se mantiene activa, la página falsa puede mostrar la URL y el certificado digital correctos. Incluso el usuario más experimentado tendría problemas tratando de determinar si hay algo sospechoso.  Estafadores socialmente hábiles El hackeo es algo del pasado. Actualmente es más fácil para los criminales engañar a sus desprevenidas víctimas para que revelen su información que tener que decodificar nombres de usuario y contraseñas. Este triste hecho, a la par con el incremento en el uso de las redes sociales, hace que las estafas que involucran plataformas sociales, aplicaciones y motores de búsqueda sean hoy más populares que nunca. Solo basta ver lo que podemos encontrar en Internet: Cuentas falsas de Facebook: Un anuncio de tiquetes a muy bajo precio causó que usuarios de Facebook entregarán su información personal para ser beneficiados por la oferta. Ofertas fraudulentas distribuidas a través de redes sociales: Promociones falsas en Facebook invitaban a los usuarios a aprovechar  increíbles rebajas, aunque solo si suministraban ciertos datos personales claro está.  Ataques a través de anuncios en motores de búsqueda: Los criminales usan Google AdWords para engañar a los consumidores para que divulguen información sensitiva en sitios web falsos. Beneficio extra para los ciberestafadores: Google no requiere que los compradores de espacio publicitario comprueben que realmente se encuentran afiliados a la compañía que supuestamente quieren promover. Suplantación de cuentas de Twitter: El Dow Jones se hundió más de 100 puntos en tan solo 2 minutos después de que hackers tomaran control de la cuenta de Twitter de Associated Press y publicaran que el entonces Presidente de Estados Unidos Barack Obama había sido herido en una explosión en la Casa Blanca. Aumento en el número de aplicaciones falsas: Más de 1.8 millones de aplicaciones falsas de Android son descargadas cada año. Los hábiles estafadores incluso hacen uso de servicios de rastreo de emails para determinar cuál de sus nefastas campañas es la más exitosa. Aunque usted no lo crea No siempre es fácil saber en quién confiar, especialmente en el vertiginoso mundo de hoy donde noticias de todas partes llegan instantáneamente a nuestros dispositivos móviles. Escoja un tema y muy seguramente encontrará una avalancha de noticias falsas relacionadas. Si bien es cierto que muchas de estas noticias falsas tienen motivos políticos, también existe otra gran cantidad diseñadas para generar ganancias a costa de los desprevenidos lectores, las cuales incluyen astutos llamados a la acción con solicitudes de información personal. La clave es enganchar a los lectores para que abran un artículo; entre más increíble o escandaloso sea un titular, mejores oportunidades tendrán los estafadores. Los criminales son capaces de controlar los anuncios, perfiles en redes sociales, contenido y noticias a las que estamos expuestos. El cibercrimen ha logrado la habilidad de tomar ventaja de la forma en que consumimos información, lo cual se traduce en control sobre los que vemos y a dónde vamos en el mundo online. ¿Cómo proteger su organización? La meta de casi todos los ataques es la apropiación de cuenta, la cual ha resultado en al menos US$6.500 millones en pérdidas anuales en diferentes industrias.  Para finales del 2020, las organizaciones que no puedan emplear  la  tecnología  de machine learning y la autenticación multifactorial avanzada tampoco podrán mantenerse al día con las necesidades del usuario digital. ¿Qué medidas debe tomar su compañía para protegerse en el futuro? Implemente una solución de prevención de fraude con monitoreo proactivo 24 horas que vaya más allá de la simple vigilancia de dominios. Una solución fuerte que enfrente las amenazas de forma holística y que cuente con la habilidad de eliminarlas rápidamente. Busque soluciones que suministren protección completa antifraude, incluyendo defensa contra amenazas digitales, protección de marcas, y navegación segura. Considere implementar un protocolo DMARC que le ayude a bloquear emails maliciosos que suplanten la identidad de entidades legítimas y a evitar que sus usuarios reciban mensajes de phishing. Implemente mecanismos de autenticación multifactorial y monitoreo transaccional. Mantenga sus sistemas al día con actualizaciones y parches de seguridad, realice respaldos regulares de la información, y organice programas de capacitación para empleados y usuarios sobre los peligros del fraude digital. Complemente su estrategia de seguridad con soluciones que proactivamente identifiquen aplicaciones falsas que imiten su marca en tiendas oficiales y de terceros. Constantemente vigile dominios, anuncios  en   motores   de   búsqueda y plataformas sociales, incluso si su organización no tiene cuentas en ellas. Asegúrese de contar con la capacidad de derribar ataques y  suplantaciones de identidad en redes sociales en el momento en que sean detectadas. Eduque  a  sus  empleados   y   clientes sobre la importancia de mantenerse siempre vigilantes con programas sencillos pero efectivos. Integre las librerías del SDK en su aplicación móvil para implementar evaluación de riesgo en los dispositivos y detección de actividad maliciosa como los ataques de superposición. Busque un proveedor que le brinde monitoreo de amenazas externas 24/7/365 y que tenga la capacidad de eliminar servidores C&C (como los usados por el troyano Marcher). Capacite a sus usuarios sobre amenazas y riesgos móviles, y aconséjelos para que no modifiquen sus dispositivos con procesos de “jailbreak” o “rooting”, ya que estos abren la puerta a troyanos y demás ataques.