Casos Reales: Sofisticados sistemas Engañan a tus Colaboradores sin que nadie lo perciba
Marzo 2023
Casos Reales: Sofisticados sistemas Engañan a tus Colaboradores sin que nadie lo perciba
En una publicación de LinkedIn, una posible diseñadora de UI/UX que asistía a una universidad creía que estaba siendo entrevistada para un puesto en Splunk, una prestigiosa empresa de software en Estados Unidos. En esa oportunidad, recibió una invitación a una entrevista por correo electrónico y habló con un “reclutador” y, finalmente, con el “CIO”.
Luego recibió la solicitud de vincular su tarjeta de crédito para poder recibir «fondos de la empresa». De hecho, era una estafa y los delincuentes sólo usaban su tarjeta de crédito para comprar productos Apple y otros equipos para ellos mismos.
Si bien la víctima tomó medidas inmediatas al detectar el fraude, congelar su tarjeta de crédito y denunciar el robo de identidad ante la Comisión Federal de Comercio (FTC), seguía siendo víctima de ingeniería social. Dijo que los actores del fraude usaban un lenguaje común como «¡De nada, Splunker!», lo que sonaba como si fueran empleados legítimos. Fuente: Linkedin.
En tanto, la primera semana de marzo se presentó un nuevo fraude por redes sociales que involucra a la principal empresa del Estado, Codelco. Mediante una serie de piezas gráficas y publicidad, se instaba a una “inversión segura” en una empresa 100% estatal, asegurando un retorno de $ 4.000.000 por persona. Y aunque ya en enero de 2022 la cuprera estatal alertó de esta estafa -nadie puede invertir en acciones de Codelco-, los intentos son tantos que la corporación tomó medidas, entre ellas, que todos los días la estatal reporta a Meta -matriz de Facebook e Instagram- los anuncios falsos que se detectan para que se den de baja, que son entre 20 y 30 por jornada. Según consignó Diario Financiero en forma paralela, la compañía tomó acciones internas de protección contra ciberataques y de hecho, en el segundo semestre de 2022 se bloquearon mensualmente 20 millones de correos maliciosos con los filtros de seguridad. “Es tal la gravedad de los hechos que el año pasado la estatal interpuso una denuncia ante la Fiscalía Local Centro Norte en contra de todos quienes resulten responsables por los delitos de estafa y falsificación de sello, timbre o marca de establecimiento industrial o de comercio”.
¿Qué tienen en común estos engaños? Todos tienen como punto de partida: las personas, un engaño que puede involucrar a los colaboradores en forma individual o a la compañía en su conjunto. A través de correos engañosos, se vulnera el sistema completo y se inicia con el eslabón más débil de la cadena.
El aumento explosivo en la adquisición de SW y HW especializado cada vez más avanzado y costoso, con la creciente necesidad de especialistas en Ciberseguridad, han parecido dar tranquilidad para la ciberdefensa. Sin embargo, se viene alertando que más de un 90% de probabilidades de infección en las organizaciones recae en los mismos usuarios y en su comportamiento anómalo y riesgoso frente a las tecnologías de la información.
En el libro Ciberpsicología ¿Conflicto cibernético o democracias “hackeadas”? Cómo las operaciones cibernéticas influyen en la guerra de la información, de los autores Dra. Ekaterina Kostioukhina de Reyes y Cnel. y Mag Jorge Francisco, publicado por el Instituto Nacional de Estudios Estratégicos en Seguridad (INEES), de Guatemala, se explica que a pesar de la creencia popular de que somos seres cognitivos, más del 90% de nuestros procesos diarios son manejadas por partes del cerebro inconsciente y emocional. Los ciberdelincuentes aprovechan estas características en la toma de decisiones y comportamientos para crear situaciones que incrementen las posibilidades de que un humano actúe de la manera que beneficie al ciberdelincuente, tales como hacer clic en un link malicioso, revelar información personal, compartir información con su círculo cercano o enviar dinero u otros recursos. Se ha argumentado que caer en una estafa y convertirse en víctima se reduce a errores en la toma de decisiones y que los cibercriminales crean situaciones que aumentan la probabilidad de una mala toma de decisiones.
De ahí la importancia de prevenir y capacitar a las personas en la correcta toma de decisiones al momento de enfrentarse a situaciones como las antes descritas.
Gustavo Radovic, Gerente General de Human Secure, detalla: “En la mayoría de estos casos, las vulnerabilidades radican en las personas. Las compañías pueden estar preparadas desde el punto de vista de Tecnología y seguridad con modernos sistemas anti ataques, pero no deben olvidar la exposición que tienen sus mismos colaboradores. Es imprescindible implementar un programa de concientización sobre seguridad y ciberseguridad para garantizar que los usuarios sepan cómo detectar y denunciar estafas en las redes sociales”, señala.