Los cibercriminales, en muchas ocasiones, trabajan de forma organizada y utilizan aplicaciones y estrategias originadas por comunidades de “hackers”, teniendo así poderosas herramientas y mayores capacidades para perpetrar sus actos criminales. La mayoría de las veces hacen daño sin necesidad de tener un alto conocimiento técnico. Pero independientemente de si tienen o no los conocimientos necesarios, si actúan solos o de forma organizada, no cabe dude que representan una gran amenaza para cualquier organización o empresa, por lo que es imperativo no subestimar sus capacidades, técnicas, tácticas y procedimientos para cometer sus actos criminales.
Los criminales cibernéticos no sólo hacen uso de tecnologías para llevar a cabos sus actos, sino que también se valen de técnicas de ingeniería social para lograr, de una forma convincente, manipular la psicología de los usuarios de sistemas de información. Aunque es una técnica bastante vieja, no ha dejado de estar entre los vectores de ataque más utilizados por los “hackers” dado su alto nivel de efectividad y éxito. Esta técnica ha probado ser tan efectiva que, personas con un alto nivel de conocimiento técnico en el campo de ciberseguridad han sido víctima de la misma, o han revisado dos veces la legitimidad de los mensajes electrónicos que las emplean. Aunque el medio por donde mayormente se emplea está técnica es a través de correos electrónicos o mensajes de texto con hipervínculos, su éxito se debe principalmente al empleo de la manipulación psicológica del usuario a través de mensajes que aparentan provenir de una fuente legítima o conocida, provocando un sentido de premura o urgencia de dar una respuesta inmediata, con un mínimo o ningún tipo de razonamiento o conciencia. Es aquí donde, indistintamente de los controles tecnológicos implementados por cualquier organización, se pudieran ver comprometidos los tres principios básicos de seguridad de información: la confidencialidad, integridad y disponibilidad de los datos.
Sin duda, los controles tecnológicos pudieran prevenir la fuga de datos en casos de una brecha de seguridad informática ante un incidente ocasionado por éstos “phishing e-mails” que emplean la susodicha técnica de ingeniería social. Lo cierto es que, un “phishing e-mail” puede utilizar múltiples técnicas o tácticas, entre ellas puede contener un “malware”, un enlace a un portal falso (“fake”) donde solicite las credenciales del usuario (nombre de usuario y contraseña de la red corporativa), o un “script” que ejecute una serie de instrucciones maliciosas que comprometan una red corporativa o el sistema. Así que no se trata de un mero e-mail, sino de un arma sumamente poderosa de la cual se valen los “hackers”. Entonces, ¿cómo prevenimos un evento que utiliza este tipo de técnica? Puede ser con tecnología tal como “firewalls”, “spam filters”, antivirus y/o anti-malware, entre otros. Pero más poderoso aún, es con capacitación, entrenamiento y concienciación (“awareness”) de seguridad de información.
El “awareness” es concienciar a los usuarios sobre los sistemas de información y del panorama de amenazas cibernéticas que existen dentro y fuera de una empresa. Es capacitarlos y brindarles las herramientas para que puedan identificar cualquier técnica y táctica utilizada por cibercriminales, y que en conjunto con los controles tecnológicos, mejores prácticas y guías, puedan prevenir y/o mitigar un evento de seguridad o fuga de datos de una forma efectiva. Dado que el panorama es uno complejo, cambiante y evolutivo, es importante entender que el proceso debe ser continuo e iterativo, por lo que hay que capacitar al personal constantemente. El éxito de este “awareness” radica principalmente en una constante comunicación por los distintos canales y en el traspaso de conocimiento sobre las últimas tendencias de amenazas cibernéticas. De igual forma, la efectividad se mide con pruebas de comprensión sobre el conocimiento compartido y métricas que validen una disminución en eventos de seguridad, o la total erradicación de éstos.
Autor: Ing. Gilberto Crespo, MSCE, CDIA+, CIP, ITILv3
Computer Engineer & Blogger