Internet, hoy, es la plataforma de comunicación y comercial más grande, amplia, inclusiva y costo-efectiva. Sin duda, ha permitido digitalizar negocios y acceder a una cantidad exponencial de posibles clientes permitiendo el intercambio de valor a toda escala. 

Y es también un vector de amenazas y riesgos para empresas, personas y niños. Se estima que concentramos cerca del 90% de nuestros datos personales, laborales y financieros en esta red. Pese a sus beneficios esto abre las puertas a invitados no deseados, los ciber delincuentes. Además, como los datos son tratados y usados es una preocupación cada vez más constante en las empresas y personas; En un estudio realizado por Observatorio Digital y CustomTrigger, se afirma que 9 de cada 10 persona considera que las empresas, públicas y privadas, se benefician del intercambio de información privada (Fuente: Observatorio de Sociedad Digital y CustomTrigger, 2022).

Pese a los múltiples esfuerzos de entidades público y privadas, la ciberseguridad se mantiene como una problemática transversal que afecta tanto a empresas como personas buscando, en ambos casos, el revenue. Es decir, lucrar de alguna u otra manera sea a través de la extorsión, el daño de imagen, el secuestro digital, etc. Chile, si bien lento, ha estado trabajando en una serie de medidas que buscan adecuar la legislación al panorama de amenazas actuales siendo la Ley de Protección de Datos Personales (antigua: 1999 en un contexto bastante distinto y con una inclusión constitucional en 2018 consagrando la protección de datos personales a nivel constitucional) y la nueva ley de Delitos Informáticos (gran avance) busca hacer frente a estos riesgos proporcionando mecanismos jurídicos para actuar frente a ellos.

Así lo corroboró el último informe del panorama de riesgos mundiales del foro económico mundial (https://www3.weforum.org/docs/WEF_Global_Risks_Report_2023.pdf) donde un alto crecimiento del cibercrimen y los riesgos de ciberseguridad se posicionan en el octavo lugar. A nivel local, desde la Policía de Investigaciones de Chile firman que los ciber-delitos han aumentado en un 61% respecto de 2021 y 2023 y que este tipo de crímenes se ha sofisticado en términos de las herramientas que se emplean para su ejecución.

¿Qué hacemos?

Ante este adverso escenario, el desafío de empresas y entidades está en cómo gestionar correctamente su ciberseguridad mediante una postura activa y proactiva que permita incorporar los riesgos de ciberseguridad en la gestión corporativa para abórdalos, tratarlos y minimizarlos antes que estos se materialicen considerando, para esto, las distintas fuerzas que ejercen partes externas, la ley, clientes, socios, partner y proveedores como los propios objetivos del negocio. Se trata de gestionar la ciberseguridad protegiendo la información del negocio, de clientes, de las personas, proteger la red, la continuidad y más. Sin duda se trata de un desafío no menor que, hoy por hoy, debe ser incorporado en todas las organizaciones y también en las personas desde la perspectiva de cuánta información entrega y a quienes lo hace.

El factor humano, a nivel corporativo, es demasiado importante en particular frente al riesgo de phishing o el engaño para entrar en los sistemas; El rol de los usuarios es fundamental para mitigar el impacto de un ataque cibernético, ya que ataques como el phishing e ingeniería social requieren de la interacción de personas para su éxito o fracaso. 

El desafío de las organizaciones está en implementar una cultura basada en los riesgos posibles, en general y en particular relacionados con ciberseguridad. Sin duda, todos y cada uno de los colaboradores y personas componen la primera línea de defensa frente a ciberataques siendo la premisa, que el usuario es el eslabón más débil de toda la cadena y es, por lejos, más costo-eficiente buscar vulnerar a una persona que un control técnico implementado (un firewall, un cifrado, un endpoint; Solo por poner algún ejemplo). Por ello, la ciberseguridad debe (y lo es) ser considera como un proceso y como tal debe ser integrado a la gestión corporativa alineado a los objetivos de negocio, necesidades y requerimiento de una organización. 

Entonces, ¿Cómo podemos hacer frente al cibercrimen? A nivel de negocios, incorporar la gestión de riesgos de seguridad de la información y ciberseguridad. Existen. Están ahí, están siendo altamente explotados y debemos considerar el impacto que la materialización de un riesgo de este tipo para el negocio. Desde ahí, sin duda hay muchas medidas que nacen desde el tratamiento de estos riesgos. Siendo directos, al menos considera:

• Siempre mantener actualizado los sistemas y aplicaciones empleadas, lo cual ayudará a reducir brechas de seguridad que puedan existir
• Una de las herramientas más efectivas para los ciberdelincuentes es el engaño. Concientiza y educa a todos tus colaboradores. Es fundamental.
• Busca algún socio de negocios que te apoye. Es imprescindible. Delega en aquellos que saben.
• Realizar un análisis de tu actual postura de ciberseguridad y desde aquí, con este resultado, establece un roadmap que te permita llegar a determinado estado de gestión de ciberseguridad.
• Finalmente, re recomiendo este articulo: https://www.compunetgroup.net/blogs/post/prácticas-recomendadas-para-proteger-tu-red-del-ransomware Sin duda te será de ayuda.

El desafío que tenemos es grande y nos corresponde hacerle frente juntos. Las amenazas de ciberseguridad no son “algo” que solo está en películas, libros y series. Es una realidad que, hoy por hoy, representa el tercer mayor negocio a nivel mundial luego de las armas y el tráfico de drogas y se proyecta, para 2025, que pasará al primer lugar superando, por primera vez en la historia, a las armas y las drogas. Preocupante, sin duda.

Escrito por: César Millavil A.

Hace unos días, conversaba con un cliente respecto de cómo ha evolucionado “el SPAM” que recibimos hoy en día desde la época de los primeros servicios de correo electrónico y claro, entre medio, un poco añorando esos tranquilos años. Mi cliente, como líder de negocio, normalmente revisa toda la cantidad de correos que tiene en su INBOX “no sea que pierda alguna oportunidad de negocio”. Entonces, le pregunte, 

- “oye ¿y qué estás haciendo con el Phishing? ¿Tu equipo de trabajo conoce los riesgos?”.

- Como buen cliente me dice “No me quieras vender nada. El equipo lleva toda una vida digital separando

correo de SPAM”. Además, ya tengo la mejor solución AntiSpam implementada en el servicio de correo.”

- Por supuesto, luego de reírnos, le contesté:

- Entonces… ¿Y el Phishing?

- Algo he leído. Otro tipo de SPAM – Me dijo.

En un contexto mucho más distendido le expliqué que el Pishing, hoy se emplea con mucha normalidad y muy a menudo por representar la evolución digital del engaño usando, por supuesto, el correo electrónico y otros mecanismos para su operación.

La palabra o termino Phishing es empleado para referirse a aquellos correos que tienen por objetivo estafar y/o engañar al usuario o receptor de estos con el propósito de obtener, de manera fraudulenta, información relevante como contraseñas, información u otros o, también, propagar e infectar con malware el dispositivo de usuario o víctima empleando mecanismos psicológicos como la urgencia, la oportunidad, la escases, etc.

El propósito, es forzar al usuario a realizar alguna acción. Sea esta para propagar malware o robar y obtener información confidencial como:

• Direcciones de correo
• Información personal (Rut, nombres, dirección, teléfonos, etc.)
• Número de tarjetas de crédito
• Información de cuentas bancarias
• Redes sociales
• Información Personal
• Información Laboral Otras
  
  

El Phishing, tal y como lo hemos descrito, evolucionada constantemente para mejorar las técnicas empleadas haciendo uso del contexto actual o particular que en este sucediendo en la región, ciudad, país, mundo, etc. Aun así, podemos detectarlo; Normalmente son campañas masivas que apuntan a “tomar” todo lo que se pueda “pescar” generalizando el mensaje o técnica de Phishing empleada. Entonces, se trata de correos con poca o nula personalización de una complejidad simple a media facilitando la identificación. También, al ser campañas masivas; Las soluciones de ciberseguridad detectan estas amenazas y las reportan a los distintos filtros de seguridad.

- Qué buena explicación. Simple. ¿Podrías hacer una charla al equipo

aprovechando que estas acá? – Me respondió mi cliente mientras reía.

- Claro. Le respondí rápidamente.

- De hecho, podemos agregar un poco más… ¿Te parece?

- Maravilloso. No más de una hora. -Me contestó.

- Mira que después la factura… - Terminó mientras reía.

- No te preocupes por facturas hoy. 

- Le respondí mientras coordinábamos al equipo. 

Y repasando todo lo anterior conversado con mi cliente y su equipo, mientras tomábamos un café, extendimos en dos especializaciones del Phishing que, ciertamente, son preocupantes.

Spear Phising

Se trata de una variante de Phishing con la particularidad de ser “dirigido” a grupos reducidos o personas especificas con lo cual el nivel de personalización es bastante mayor al del Phishing normal. El principal objetivo del Spear Phishing es acompañar campañas de ataques APT (Advanced Persistent Threat) apuntando los esfuerzos hacia perfiles determinados que podrían proveer una alta efectividad a la campaña como objetivos finales o intermediarios siendo estos últimos quienes proveerán de más información para el objetivo final. La personalización que realiza el Spear Phising permite usar el nombre, dirección, correos o cualquier otro dato tanto de los OBJETIVOS como del entorno de estos extendiendo la investigación hacia círculos cercanos laborales y personales. Lo anterior, supone un nivel de complejidad mayor en la identificación de este tipo de correos y aumenta la tasa de éxito del ataque.

¿Y el Whaling?

Whaling se refiere a una “pesca mayor”; Se trata de un tipo de Phishing que lleva un paso más allá el Spear Phishing tomando sus bases y haciendo una focalización altamente dirigida y especializada (no necesariamente en términos de técnicas, gráficas o diseño). Es decir, el Whaling apunta directamente a los peces gordos, aquellos usuarios clave de una organización: DIRECTORES, CEO, CFO, CTO, CISO, etc. Pero no solo a este nivel, también lo extiende hacia cualquier perfil clave para la organización o el contexto. Los ataques tipo CEO FRAUD y BEC son tipos de Whaling altamente dirigidos.

El Whaling emplea una personalización única para elaborar el engaño mediante el uso de amplios y detallados conocimientos del OBJETIVO y todo su entorno: 

Datos personales, hábitos, servicios usados, lugares frecuentados, intereses, gustos, contactos, familiares, mascotas, etc. El resultado puede ser devastador, el nivel de complejidad para su detección es ALTO y COMPLEJO y posee, cuando es correctamente ejecutado, una alta tasa de efectividad. Normalmente, este tipo de ataques requiere de un esfuerzo e inversión de recursos enormes considerando de que, también, normalmente el OBJETIVO es un grupo muy reducido de objetivos e incluso único.

Ataques como los perpetrados a JPMorgan Chase & Co, eBay, Target, Ubiquiti Networks, Sony Pictures y muchos otros, han sido obra y arte de alguna variante de la familia del Phishing junto, por supuesto, a técnicas de ingeniería social.

El Phishing, Spear Phishing y el Whaling, acompañados de un adecuado proceso de Information Gathering junto a una estudiada y planificada táctica de Ingeniería Social, representa un elevado riesgo el cual deben ser considerado. Riesgo que ataca dónde más nos duele, en el eslabón más débil de la cadena… el usuario. De hecho, es hoy por hoy, junto a la explotación de vulnerabilidades técnicas, el vector común de distribución de malware tipo ransomware.

¿Y cómo terminamos? Ya no queda café. 

Algunas sugerencias

• Controla la entrega de datos (Correo, Teléfono, etc.)
• Limita la información personal en tus redes sociales
• Verifica y valida el origen del correo
• ¿Tienes Dudas? Llama.
• No hacer click sobre los enlaces. Escribir completamente la dirección en el navegador
• Sí. Es molesto. ¿Tu solución de ciberseguridad no hace esto por ti?
• Revisar los links (editar) para verificar hacia donde se dirigen realmente
• Igual al punto anterior.
• Sí hay dudas sobre el correo recibido. Bórralo
• No. No te has ganado ese viaje todo pagado donde solo debes validar la reserva online.
  
  Finalmente, termina señalando a mi cliente que la concientización de todo su equipo es determinante, dado que provee a estos de herramientas para abordar este tipo de riesgos y, principalmente, les hace consciente de estos riesgos y del rol que ellos tienen como primera y última línea de defensa.

Ciertamente fue un buen café.

César Millavil A

C|EH – LA|ISO27001 – LM|ISO27032