Durante el último año nuestros datos personales, dispositivos y
cuentas bancarias sobre Internet fueron nuevamente víctimas de robos,
ataques y engaños de todo tipo.
Ataques dirigidos
El tamaño de la empresa en lo que se refiere al número de personas
que trabajan en ella, es importante a la hora de determinar el grado de
hostigamiento sufrido por ataques informáticos. Las organizaciones que
sufrieron la mayor cantidad de ataques durante el año pasado fueron
aquellas cuya cantidad de empleados se encuentra en la cima (39%) y en
la base de la pirámide (30%).
Según una encuesta realizada por Symantec, las pequeñas empresas se
consideran inmunes a este tipo de ataques, aunque la imagen real sea
completamente distinta. Para los hackers es más fácil atacar y obtener dinero de pequeñas empresas en comparación a obtener los mismos resultados intentando vulnerar a organizaciones y empresas grandes.
Redes Sociales
Algunos de los métodos de engaño más utilizados fueron el envío de
ofertas falsas, sin duda la vulnerabilidad detectada de mayor impacto.
Estas estafas invitan a los usuarios de redes sociales a unirse a un
evento o grupo falso con incentivos tales como tarjetas de regalo
gratis. Unirse requiere que el usuario “comparta” sus credenciales de
acceso con el atacante o enviar un SMS a un número Premium con la
consecuente estafa monetaria.
Otro de los mecanismos utilizado fue el Likejacking; usando falsos
botones de “Me gusta”, los atacantes engañan a los usuarios invitándolos
a hacer clic en botones que instalan malware y puede enviar
actualizaciones en la sección de Noticias o Información del usuario,
incrementando la difusión del ataque cuando estos botones son
compartidos por los contactos.
Acceso indebido a datos (data breach)
Este tipo de ataques perpetrados durante 2013 tuvieron dos
características que llamaron poderosamente la atención: la velocidad y
la sofisticación con que fueron realizados. Comprender estos ítems puede
ayudarnos a enfrentar las amenazas y reducir las pérdidas financieras y
de reputación; resultado indiscutible de este tipo de acciones.
El caso más resonante fue el ataque a la tienda minorista Target en
USA, en el mes de diciembre, donde la investigación determinó que se
habían sustraído nombres, números de teléfono, direcciones postales y de
correo electrónico. En este caso se expusieron 40 millones de
identidades.
Spam, phishing, malware
Durante este último año se ha incrementado el malware basado en la
web (diferentes tipos de software que tienen como objetivo infiltrarse o
dañar una computadora). Los asuntos financieros continúan siendo uno de
los principales temas preferidos en la gran mayoría de los correos de
phishing (fraude informático caracterizado por intentar adquirir
información confidencial de forma fraudulenta). Los troyanos (que se
presenta al usuario como un programa aparentemente
legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso
remoto al equipo infectado) se mantuvieron como la forma más popular de
malware, y se detectó un número récord de nuevos ejemplares de malware
en el tercer trimestre.
Otro tipo de ataque fue el ransomware, abreviatura de “Ransom
Software/Malware” que intenta bloquear al usuario el acceso a su sistema
o cifrar sus archivos, siendo la única forma de obtener la liberación por medio de un rescate.
Fraude bancario
El fraude a usuarios bancarios también se mantuvo dentro de los
principales objetivos de los hackers. Los bancos han tenido que luchar
contra distinto tipos de ataques: Man in the Middle, Man in the
Browser, Robo de Identidad, Ingeniería social, Denegación de Servicio y otros mecanismos que intentan obtener las credenciales de acceso o realizar transferencias a cuentas manejadas por ellos.
Estas actividades devienen en una profunda investigación de la
entidad financiera para intentar determinar si el usuario cometió un
fraude o fue realmente víctima de una estafa; con un altísimo costo en
tiempos de análisis, reputación e imagen para el Banco y pérdida de
confianza del cliente.
Para reducir los ataques, algunas entidades establecieron niveles de
seguridad adicionales al usuario y contraseña. Entre las metodologías
más utilizadas están (ya desde hace varios años) las tarjetas de coordenadas que están llegando al fin de su madurez tecnológica. Podemos dividir los nuevos mecanismos
en dos grupos: dentro del primer grupo se incluyen aquellos donde el
usuario necesita de un elemento adicional para autenticarse
correctamente. Los métodos más difundidos son los certificados digitales
que permiten la firma de transacciones logrando la mayor seguridad
disponible en transacciones del mercado y los mecanismos de generación
de claves de único uso (OTP) a través de un dispositivo de hardware o
desde el celular. El segundo grupo son las herramientas de Web Fraud
Detection, basadas en una tecnología de evaluación que opera de forma
transparente y clasifica la actividad del usuario, mediante la medición
de una serie de indicadores de riesgo y su comportamiento habitual, sin
que el usuario lo perciba directamente.
Hay varias instituciones en la Argentina que toman en serio la
seguridad y que ya tienen implementados algunos esquemas de
autenticación complejos. Otros, en cambio, están en etapas de testing o
instalación de sistemas antifraude. Esperamos muchas más iniciativas en
ese sentido para el 2014.
Fuente http://opinion.infobae.com/armando-carratala/2014/04/19/el-talon-de-aquiles-de-la-seguridad/
