Claves para evitar estafas online (habla un especialista en cibercrimen)

Luciano Monchiero / Universidad Siglo 21

Image description

Todos los días es noticia. El ciberdelito es cada vez más habitual. El blanco de ataque son personas individuales, empresas y gobiernos. La buena noticia es que existen especialistas que nos ayudan a entender algunas claves para disuadir la ciberdelincuencia. ¿Cuáles son los delitos más habituales y qué hacer para evitarlos? Luciano Monchiero*, director de la Especialización en Cibercrimen de la Universidad Siglo 21, responde.

InfoNegocios:  Desde hace un tiempo a esta parte los ciberdelitos empezaron a ocupar cada vez más espacio en las portadas de los diarios. Todos los días nos enteramos de alguno. ¿Cuáles son las novedades más importantes del sector? 

Luciano Monchiero: El cibercrimen ha comenzado hace tiempo, nada más que en los últimos años ha tomado relevancia producto del incremento de los hechos delictivos a través de medios electrónicos o telemáticos. Te menciono algunas de las novedades que han llevado el incremento de los hechos delictivos: una es que ha habido muchas vulnerabilidades de las empresas que han migrado a la nube. Eso ha llevado, también, a casos de fuga de información porque las empresas no están preparadas para ir de inmediato a la nube y al sistema de trabajo home office. La pandemia aceleró eso e hizo que los usuarios trabajaran  sin saber muy bien  cómo protegerse, por ejemplo, saber si tenían que tener o no una buena contraseña en su router o si tenían que utilizar alguna conexión segura como una VPN. Y así, un montón de cosas que claramente han llevado un proceso y que son novedades. 

IN: Requiere de un proceso acelerado de aprendizaje de todas las partes…

LM: Sí. Además el gran problema es que hay mucho incremento de incidentes de inseguridad y hay poca inversión de las empresas en materia de seguridad. Con lo cual, eso lleva a tener un desequilibrio grande. Hace un par de días, por ejemplo, ha salido una nota de la Jefatura de Gabinete del área de modernización con la Dirección de Ciberseguridad de Argentina que insta a las empresas a que incrementen las inversiones en materia de seguridad porque la fuga de información está siendo exponencial. 

IN: En paralelo al trabajo home office, hay un fenómeno creciente vinculado al Internet de las cosas. ¿Influyó también?

LM: Sin dudas. Porque las empresas utilizan (también los usuarios), dispositivos que están conectados constantemente a Internet y la finalidad de los delincuentes acceder a esa red, a ese networking que maneja esa red. Pongamos un caso concreto: si yo tengo una cámara de seguridad siento que mi empresa está protegida, pero si yo no le cambio la configuración por defecto, mi password y contraseña, claramente cualquier ciberdelincuente va a poder acceder a esa cámara y va a poder ver en tiempo real todo lo que sucede en mi organización porque no tuve la conciencia de cambiar la contraseña. Esos son elementos que en todos los dispositivos debo considerar, como organización o como usuario.

IN: ¿La pandemia ha hecho que se incrementen los delitos informáticos? Pareciera que estamos más expuestos por la lógica de la vida cotidiana. ¿De qué otras maneras se reconvirtieron las empresas y los usuarios?

LM: Sin duda. Ahora la tendencia de protección de los usuarios principalmente, y de las organizaciones, es ya no decir “tengo un sistema de seguridad global que protege mi organización”; ahora se tiende a buscar la protección del usuario. ¿Cómo? Que tenga una buena conexión, que tenga un sistema de conexión segura, que configure el router, que se maneje dentro de la plataforma de la organización... De esa forma evito o reduzco el riesgo de lograr que un incidente ocurra o que un ciberdelincuente pueda acceder a la empresa. Son formas o tendencias nuevas que se están cambiando o reconvirtiendo. 

IN: ¿Cuál ha sido el delito más común ahora en la pandemia?

LM: La mayoría de los hechos delictivos que ocurrieron fueron secuestro de datos o de información. ¿En esos casos qué hace el ciberdelincuente? Envía un archivo a la víctima en forma exponencial (viralizado a cualquier usuario), o a veces en forma dirigida; lo envía como si fuera un PDF u otro tipo de archivo como por ejemplo un excel, el usuario hace click y ahí se ejecuta el archivo malicioso. Eso genera, no solamente bloqueo de toda la información que tengo en mi dispositivo, sino que también puede afectar a la red de la organización. Eso lleva al ciberdelincuente a tener la ventaja para que pueda solicitar un rescate, que por lo general es en moneda bitcoin, que se le pague y luego devolver las credenciales para poder acceder de nuevo a la información. Obviamente que eso no es lo recomendable. Lo recomendable sería realizar una buena gestión en política de seguridad previa, auditorías que hoy las empresas escatiman por pensar que es un gasto y no una inversión para prevenir estos casos. 

IN: ¿A qué te referís con una buena gestión en política de seguridad previa?

LM: Existe un modelo que se llama ROSI (retorno de la inversión en seguridad informática), es el modelo de recupero de información de la inversión. Este modelo permite que si ocurre un incidente, la empresa pueda prever los gastos que le va insumir resolver el problema, cuántas personas van a necesitar, cuántos días deben dejar de trabajar. El promedio mundial es 16 días que una empresa no puede trabajar y el promedio de pérdida de dinero es de US$170 000, o sea que una organización si no tiene espalda suficiente, puede caer en bancarrota. Eso sería un proceso que debe considerar la organización.

IN: Te llevo a otro terreno. Cuando no estamos en casa o en la oficina, cuando nos vamos de viaje, ¿qué aspectos debemos considerar para estar seguros?

LM: Hoy por hoy tenemos que estar más alerta que nunca producto de que cualquier tipo de conexión que yo considere segura, hay que ver si realmente es segura. Cuando estamos de viaje lo primero que hacemos es llegar a un hotel y preguntar si tenemos Wi-Fi. Y ahí es donde tenemos que considerar que el uso de estas conexiones, ya sea en hoteles, o redes públicas como las de las plazas o de aeropuertos, claramente pueden ser inseguras. Si nosotros vamos a usar ese tipo de conexiones, no hay que realizar ningún tipo de transacción. No es recomendable usar una conexión pública. Y en el caso que lo hagan, hacerlo por una cuestión súper necesaria. Lo recomendable es usar el paquete de datos para tener conexión segura o tener un sistema VPN, que se paga a una empresa determinada, y eso me permite tener una conexión cifrada desde mi dispositivo al acceso a mi banco. Entonces de esa manera el ciberdelincuente, por ejemplo, no puede ver la información que estoy subiendo como usuario, contraseña, número de tarjeta, etcétera. 

IN: ¿Cómo puede un ciberdelincuente acceder a mis datos a través de la red de un hotel, por ejemplo?

LM: Generalmente lo que hace es manipular el nombre de la red. Supongamos que la cuenta es “HotelUno”, pero el ciberdelincuente puede manipular eso y decir “Hotel_Uno” y yo como usuario no voy a saber nunca y voy a creer que ambas redes son auténticas, son reales. Con lo cual, si el usuario ingresa a “Hotel_Uno” claramente está ingresando a una antena que un delincuente ha manipulado y a través de la cual accede remotamente a toda la información. Esa es la forma más fácil y más rápida: simular una red auténtica, pero que no es y el usuario cae en la trampa. Una de las recomendaciones es chequear la información de los sitios oficiales, por ejemplo, si ingreso a una red seguramente a veces me suelen enviar información de que tengo que loguearme. En esos casos hay que tener la precaución de chequear con el hotel o con la cabaña y estar alerta. La utilización de tarjetas hay que hacerlo siempre a la vista y si es a través de ecommerce, hacerlo en sitios oficiales y nunca hacerlo a través de redes gratuitas, como decíamos anteriormente.

IN: A veces sucede que creemos que ponemos los datos en un lugar seguro, y después nos damos con que no era así, como fue el caso de Movypark durante la anterior gestión municipal…

LM: Exactamente, ahí quedó en evidencia que cualquier usuario podía acceder a datos de tarjetas. Eso fue producto de no cumplir con normativas PCI, falta de auditoría y eso llevó a una negligencia tanto de quien contrata, como de quien provee el servicio. Esto es muy importante, si yo contrato a alguien ese alguien me tiene que asegurar a mí que ha aplicado todas las medidas de seguridad porque es información muy sensible que tengo en mi empresa. 

IN: Hemos escuchado hasta el hartazgo decir “No hay que dar datos bajo ninguna circunstancia”, ahora vos agregás que además no debemos hacer transacciones a través de redes públicas. ¿Qué otras recomendaciones podes dar para evitar ser blanco de ciberdelitos?

LM: Lo principal es el doble factor de autenticación. Yo siempre lo recomiendo para los correos o para aplicaciones de bancos o para WhatsApp. Ha habido muchos casos de pérdida de cuentas de WhatsApp porque inocentemente han provisto el número de token que se le pide para poder acceder y tomar la cuenta. En esos casos WhatsApp permite tener ahora un doble factor de autenticación con un pin que se configura de manera muy simple a través de la plataforma.Y de esa manera, igual que en un banco o igual que en nuestros correos, permitimos que si nosotros proveemos de forma inocente (o porque no estamos alertas) ese token, el ciberdelincuente va a necesitar otra etapa más de seguridad que es que nos llegue otra información a nuestro teléfono. Entonces de esa manera tenemos la doble seguridad de que sí dimos información previa, no la va a tener una segunda etapa porque ya vamos a estar alertas. Eso es lo principal que deberíamos hacer.

IN: Bien. Doble factor de autenticación, ¿algún consejo más?

LM: Otra de las sugerencias es ingresar a sitios oficiales o aplicaciones oficiales. Uno a veces por recomendación de un amigo baja alguna App. ¡No! Hay que chequear que sean aplicaciones oficiales y que no sean fraudulentas, porque esos datos después se venden en el mercado negro.

IN: ¿Existe un mercado negro de datos?

LM: Hoy los datos son petróleo. Es lo más valioso para un ciberdelincuente y se pueden vender fácil y rápido. Se venden todo tipo de datos: generalmente son datos de tarjetas de crédito, cuentas de Spotify, de Netflix, etcétera. Esos son las principales que salen a la venta en el mercado negro. Cuando hablo de mercado negro no hablo solamente de sitios que se pueden encontrar en buscadores específicos, como Tor por ejemplo. Sino que en el 60% de los casos uno los encuentra en Facebook u otras plataformas donde la gente comúnmente accede a la información de compra-venta de datos. 

IN: Hablemos de la Especialización en Cibercrimen, ¿cuál es el perfil de la carrera y de los graduados?

LM: Es una carrera de posgrado que tiene resolución de CONEAU, dura 18 meses y tiene materias específicas en relación a la investigación en casos de cibercrimen, la perfilación y materias vinculadas a entender un poco el ecosistema de la seguridad de datos y la seguridad informática. Respecto del perfil del alumno, puede entender la dinámica desde un punto de vista transdisciplinario ya que no solamente lo ve como criminólogo, sino también como psicólogo, como investigador, como abogado, como perito... ¿Por qué? Porque todas las herramientas que se brindan le dan una mirada mucho más integral.

El especialista va a estar preparado para entender cómo es la mecánica una estafa, cómo diferenciar, por ejemplo, una suplantación de identidad de un fraude de identidad: una es usando el identidad de alguien y otra es robando los datos de alguien.  Casos de explotación de niñas, niños y adolescentes. Sabe cómo debe actuar en los casos procesales o judiciales. 

Cómo debe tratar la evidencia digital para que después no le declaren la nulidad, cómo debo entender los procesos de ataque a una empresa los ataques de corporaciones para poder prevenir y adelantarse. Es muy integral la formación, lo que el alumno se lleva para luego aplicar en el ámbito público y en el ámbito privado.

* Luciano Monchiero es abogado y Magíster en Investigación en Cibercrimen y Cómputo Forense para agentes de Ley en la University College Dublin, Irlanda. Es Director del Posgrado en Cibercrimen de la Universidad Siglo 21. CEO de la empresa ISLC-Security (Seguridad Digital) y CEO de For7ress (Digital Security) empresa radicada en los Estados Unidos. Es miembro fundador de la International Observatory of Computer Crime -INTOCC- con sede en Alicante (España) y miembro consultivo para Argentina del Center for Cybercrime Investigation & Cybersecurity dela University of Boston (CIC).

Dejá tu Comentario: (máximo 1000 caracteres)

Comentarios: