Los ciberataques siguen aumentando en número y perfección, con sus métodos, estrategias y herramientas cada vez más elaborados y eficaces
VALENCIA. Los ciberataques siguen aumentando en número y perfección. Sus métodos, estrategias y herramientas son cada vez más elaborados y eficaces, mientras los impactos son cada vez más relevantes. Los últimos meses han sido especialmente convulsos ante el incesante aumento del phishing, especialmente el denominado 'spear phishing' o selectivo, orientado a destinatarios específicos.
Algunas de las modalidades que mayor impacto están teniendo en nuestras organizaciones y que seguirán creciendo en lo sucesivo son el denominado 'whaling o fraude del CEO', orientado a altos cargos y dirigido a obtener información confidencial de una organización o dinero; así como el 'spear phishing basado inteligencia artificial', en la que los delincuentes se benefician de estos sistemas para rastrear las redes y para encontrar información útil sobre la persona a suplantar, analizarla e imitar su lenguaje, estilo de comunicación o el tono de voz.
Para estas modalidades, los ciberdelincuentes realizan una labor previa de recopilación de toda aquella información que pueda ser relevante para los mismos, como dirección de correo electrónico en directorios corporativos, redes sociales, antivirus de la empresa, estilos, perfiles de escritura...
Respecto al phising, mediante el engaño, los ciberdelincuentes buscan hacerse con las claves de los usuarios, datos de su tarjeta de crédito o bancarios. Los artificios son cada vez más sofisticados y perfeccionados: Desde correos electrónicos haciéndose pasar por nuestro proveedor de telefonía móvil en el que nos indican que debemos actualizar los datos de nuestra cuenta, por nuestra plataforma de video en streaming donde nos piden que accedamos a nuestro perfil y confirmemos nuestros datos de pago, por nuestro banco que nos solicita que accedamos a nuestra área de cliente para realizar una verificación de seguridad, por un cliente donde nos indica confirmar datos de pago o por una empresa de mensajería que nos solicita confirmación de datos para la entrega de un pedido.
Respecto al comentado 'spear phishing' y otras técnicas de engaño defraudatorio, las conductas van desde el envío de un correo electrónico a un subordinado con supuesto origen en la dirección de la organización ordenando una transferencia urgente e inmediata a la cuenta de un proveedor real de la misma (cuando la cuenta no pertenece al mismo), hasta el envío de un correo electrónico de un supuesto proveedor real de la organización ordenando que los pagos pendientes o sucesivos o se hagan en la cuenta bancaria que adjuntan, que obviamente no pertenece a dicho proveedor.
Procedimientos no excesivamente complejos, pero tremendamente efectivos en la práctica, como lo demuestran algunos de los casos de los que se ha hecho eco la prensa en los últimos meses. La principal defensa frente a estos delitos de suplantación y fraude, que ocurren tanto en el mundo físico como virtual, sigue siendo la información, la concienciación y la formación.
De hecho, esta información, concienciación y formación no debería exclusivamente recaer en las propias organizaciones sino ser en mayor medida promovida por las autoridades públicas e incorporarse en el sistema educativo en las edades más tempranas. Sin perjuicio de ello, y como destacaba en el artículo publicado en este mismo medio el pasado mes de diciembre, las empresas y las Administraciones Públicas deben estar muy alerta, llevar la iniciativa e incrementar sus esfuerzos por concienciar y formar de manera continua a sus empleados. Además de impartir instrucciones, directrices, normas y buenas prácticas, especialmente en entornos virtualizados y de teletrabajo y, en particular, los que supongan el acceso online a sistemas e información corporativa, incluyendo equipos y dispositivos, aplicaciones, información, redes o correo electrónico.
Algunas recomendaciones esenciales serían las siguientes:
Durante los últimos meses, los intentos de fraude a empresas y Administraciones Públicas valencianas han sido incesantes, algunos con éxito al suplantar a proveedores modificando la cuenta bancaria de destino de cualquier pago a partir de la fecha de su notificación.
Sin duda, el responsable de estas acciones es la organización criminal, si bien las organizaciones deben articular o reforzar todos los mecanismos a su alcance para prevenir, detectar y evitar es tipo de engaños y fraudes; especialmente mediante la revisión de los procedimientos internos de alta de terceros, solicitud de certificados de titularidad de cuentas, integración de mecanismos de doble verificación de identidad (por distintas vías, por ejemplo electrónica, telefónica o postal) y de titularidad, así como de conciliación contable y bancaria, entre otros.
José Manuel Muñoz Vela es abogado especialista en Derecho Tecnológico y Digital y director jurídico de Adequa Corporación