Los usuarios tienen un alto grado de responsabilidad en el resguardo de la información, tanto personal, como corporativa, según conclusiones de Jorge Osorio, cofundador y director de Servicios de Consultoría de CSI Consultores en Seguridad de la Información.
Agregó que no se puede dejar a los usuarios a un lado de la tecnología, o en un segundo nivel de importancia. “Hemos visto que hay vendedores de TI, de sistemas de seguridad, hardware o software, que creen que su producto va a cubrir todas las necesidades para el resguardo y control de la información, o que basta con un antivirus o anti spam de nueva generación, pero se olvida que el usuario también forma parte integral de toda la estrategia de ciberseguridad en una organización”, explicó Osorio.
De acuerdo CSI, uno de los casos más ilustrativos sobre este tema fue el acontecido en la última parte del 2017, en la Secretaría de Cultura del Gobierno de la Ciudad de México y en donde se involucró al Banco Santander, cuando la institución oficial detectó el robo de la nómina por un monto de más de cinco millones de pesos, y que en un principio se pensó que se trató de un problema de la banca en línea.
Sin embargo, el mismo banco Santander explicó la situación y demostró que sus sistemas no fueron vulnerados o ‘hackeados’, abundó Osorio, pues las evidencias apuntan a que la persona encargada del control administrativo de la nómina de la Secretaría de Cultura fue víctima de un fraude, debido a que fue engañada por esquemas de ingeniería social, razón por la que CSI instó a las organizaciones a capacitar a sus usuarios acerca de los riesgos que implica acceder a sitios no seguros o de origen dudoso.
Los cibercriminales que diseñan ese tipo de esquemas, crean páginas falsas, de cualquier institución bancaria, para que el usuario acceda y proporcione información. Cuando ellos empiezan a recibir los datos, se comunican con el usuario vía telefónica simulando ser del banco para que el cuenta habiente se confíe y continúe proporcionando más datos, señaló CSI.
Asimismo sostiene que a falta de una información oficial, el delito cometido en la Secretaría de Cultura pudo haber sucedido de una manera similar, en donde la usuaria encargada quizá accedió a la página falsa una vez que fue alertada de un bloqueo de la cuenta. Ya en la página proporcionó sus passwords y su número telefónico, para posteriormente ser contactada telefónicamente por los delincuentes. “Seguramente ellos le solicitaron los dígitos generados por un ´token´ para desbloquear la cuenta, que en realidad no tenía ninguna afectación. Al tener todos los datos y los dígitos del token, ellos se dieron de alta como si fueran el usuario real y así accedieron a la cuenta e hicieron la transferencia que al final derivó en un desfalco a las finanzas públicas”, puntualizó el director de CSI.
Según Osorio, en casos como el anterior y a falta de una investigación a fondo, se piensa que la persona encargada lo hizo con dolo, y añadió: “Es muy difícil que alguien que está en control de esos recursos cometiera ese delito deliberadamente, sabiendo que sería señalada inmediatamente. Más bien pensamos que fue un fraude diseñado bajo un esquema de ingeniería social. Incluso, no creemos que haya sido un hackeo porque no se vulneraron los sistemas del banco. Los delincuentes al parecer accedieron a la cuenta porque contaron con las claves requeridas para hacerlo”.
Actualización y capacitación, las claves
Debido a estas situaciones, CSI promueve la idea de que es necesario que el usuario conozca los riesgos de contar con el control o el acceso a información y a los recursos valiosos de una organización, y por lo mismo, debe conocer todas las variables de delitos que surgen cada día, porque son frecuentes y en distintas modalidades.
“Dicha concientización debe partir desde la dirección de las organizaciones, con el compromiso de capacitar a su personal y actualizarlo regularmente, porque no basta con tener las herramientas tecnológicas más avanzadas, sino que hay que involucrar al usuario y apoyarlo para evitar estafas millonarias”, puntualizó Jorge Osorio, quien añadió que CSI estará en la próxima edición de Infosecurity 2018 en donde tendrá oportunidad de presentar servicios especializados de ciberseguridad, y participar en el programa de conferencias con temas relacionados.
