Manipulación humana y enfoques reducidos son dos grandes problemas de seguridad
Easy Solutions, parte de Cyxtera Technologies, alerta sobre cómo el usuario sigue siendo un eslabón más débil en la cadena de seguridad, por lo que considera clave que las organizaciones inviertan en autenticación multifactorial avanzada.
Para Leo Taddeo, CISO de Cyxtera Technologies, las organizaciones actuales deben tomar un enfoque holístico para combatir el fraude. “Muchas empresas se enfocan en un solo vector de ataque o en una sola vulnerabilidad, y cuando se emplea ese enfoque aislado, ese tipo de pensamiento aislado sin ver una solución total, pueden perderse oportunidades para interrumpir el ciclo del fraude. Así que, en mi opinión, la lección para las empresas es que deben tomar un enfoque holístico, más integrado y basado en inteligencia para combatir el fraude”.
Según el reporte El Pulso del Fraude 2017, dónde Easy Solutions investigó los ataques más recientes y sofisticados que afectan a empresas, instituciones financieras y consumidores alrededor del mundo, Phishing es el método número uno para propagar ransomware, troyanos bancarios u otros tipos de ataques; esto ayudado muchas veces por la ingenuidad de las víctimas.
“Durante el curso de mi carrera, he visto cómo las organizaciones criminales han evolucionado para aprovechar los avances tecnológicos. En los noventa, el reto para el FBI y otras agencias de seguridad era recolectar evidencia desde dispositivos individuales, como computadoras de escritorio o dispositivos personales. Hoy en día vemos cómo los criminales emplean sofisticados programas y ataques multidireccionales contra empresas e instituciones financieras, los cuales usan la infraestructura de las entidades contra ellas mismas. Así es cómo la complejidad de la infraestructura de una organización está siendo usada contra sí misma”, afirmó Taddeo quien antes de unirse a Cyxtera Technologies, se desempeñó como agente especial a cargo de la división de Cibercrimenes y Operaciones Especiales del FBI en Nueva York.
Hoy en día, los cibercriminales emplean un proceso de múltiples pasos para cometer fraude, esto les brinda a las empresas la oportunidad de interceptar este esquema en varios puntos: Desde la recolección de información y la fase de ejecución, hasta la fase de monetización. “Uno de los principales retos para las organizaciones es entender con exactitud quién está al otro lado de una comunicación digital. Tradicionalmente, esto se ha logrado a través del nombre de usuario y la contraseña”, aseguró el experto.
Sin embargo, la compañía en seguridad señaló que las contraseñas se pueden eludir mediante ataques de phishing, por lo que sugirió una autenticación más robusta, más formas de entender y verificar que la persona, por ejemplo, con la que se realizan negocios al otro lado es en realidad quien dice ser, ya sea un cliente, un socio, o cualquiera con quién nos conectemos. Tener solo un nombre de usuario y contraseña es insuficiente. Los cibercriminales han llegado a un punto dónde estos datos solo representan un pequeño inconveniente en su esquema de fraude.
“Al transferir complejidad y costo al ciber-adversario en forma de mecanismos de verificación adicionales, nos estamos protegiendo a la vez que eliminamos el incentivo de los criminales y la posibilidad de afectar nuestra organización. Una de las formas cómo podemos lograr esto es por medio de autenticación multifactorial, que emplee contexto y otros indicadores, como la biometría, para verificar la identidad del usuario. Esto hace que sea mucho más difícil para los adversarios robar, comprar, o pedir prestado un nombre de usuario y una contraseña para ingresar a nuestra red o para hacerse pasar por un cliente o socio”, concluyó Leo Taddeo.
