En un escenario en el que los ataques de phishing se enfocan en debilidades humanas, los cuales siguen dando resultados, es necesario que las empresas piensen en soluciones multifactoriales para blindar su seguridad.
Las organizaciones actuales deben tomar un enfoque holístico para combatir el fraude. Muchas empresas se enfocan en un solo vector de ataque o en una sola vulnerabilidad, y cuando se emplea ese enfoque aislado, ese tipo de pensamiento aislado sin ver una solución total, pueden perderse oportunidades para interrumpir el ciclo del fraude. Así que, en mi opinión, la lección para las empresas es que deben tomar un enfoque holístico, más integrado y basado en inteligencia para combatir el fraude.”
Según el último reporte El Pulso del Fraude 2017, dónde los expertos de Easy Solutions investigaron los ataques más recientes y sofisticados que afectan a empresas, instituciones financieras y consumidores alrededor del mundo, se pudo determinar que una técnica como phishing se ha convertido en el método número uno para propagar ransomware, troyanos bancarios u otros tipos de ataques; esto ayudado muchas veces por la ingenuidad de las víctimas.
– El 97% de las personas no saben cómo reconocer un email de phishing.
– El 30% de los mensajes de phishing son abiertos. Pese a todas las campañas de concientización que se están realizando, la compañía asegura que sigue siendo un porcentaje muy alto para garantizar la seguridad de las organizaciones.
– El 30% de todas las infecciones de malware en compañías provienen de enlaces a sitios web fraudulentos, según dos estudios de 2016 publicados en Infotmatika en Alemania (fuentes originales en la 1era página).
Durante el curso de mi carrera, he visto cómo las organizaciones criminales han evolucionado para aprovechar los avances tecnológicos. En los noventa, el reto para el FBI y otras agencias de seguridad era recolectar evidencia desde dispositivos individuales, como computadoras de escritorio o dispositivos personales. Hoy en día vemos cómo los criminales emplean sofisticados programas y ataques multidireccionales contra empresas e instituciones financieras, los cuales usan la infraestructura de las entidades contra ellas mismas. Así es cómo la complejidad de la infraestructura de una organización está siendo usada contra sí misma
Hoy en día, los cibercriminales emplean un proceso de múltiples pasos para cometer fraude, esto les brinda a las empresas la oportunidad de interceptar este esquema en varios puntos: Desde la recolección de información y la fase de ejecución, hasta la fase de monetización. “Uno de los principales retos para las organizaciones es entender con exactitud quién está al otro lado de una comunicación digital. Tradicionalmente, esto se ha logrado a través del nombre de usuario y la contraseña.
Sin embargo, esto ya no es efectivo; las contraseñas se pueden eludir mediante ataques de phishing que utilizan ingeniería social para engañar a los usuarios finales con la intención de que ellos divulguen sus credenciales de inicio de sesión a los ciberdelincuentes. Necesitamos una autenticación más robusta, más formas de entender y verificar que la persona con la que realizamos negocios al otro lado es en realidad quien dice ser, ya sea nuestro cliente, un socio, o cualquiera con quién nos conectemos. Tener solo un nombre de usuario y contraseña es insuficiente. Los cibercriminales han llegado a un punto dónde estos datos solo representan un pequeño inconveniente en su esquema de fraude.
Al transferir complejidad y costo al ciber-adversario en forma de mecanismos de verificación adicionales, nos estamos protegiendo a la vez que eliminamos el incentivo de los criminales y la posibilidad de afectar nuestra organización. Una de las formas cómo podemos lograr esto es por medio de autenticación multifactorial, que emplee contexto y otros indicadores, como la biometría, para verificar la identidad del usuario. Esto hace que sea mucho más difícil para los adversarios robar, comprar, o pedir prestado un nombre de usuario y una contraseña para ingresar a nuestra red o para hacerse pasar por un cliente o socio.
Por Leo Taddeo, CISO de Cyxtera Technologies