El riesgo de las tácticas de ingeniería social para las organizaciones

Fraudes financieros como el ocurrido a principios de este año en contra de dos clubes fútbol internacional (Paris Saint Germain y Boca Juniors) dejan ver el gran trabajo de planeación de ataques cibernéticos por parte de los ciberdelincuentes.

Por lo menos así lo ha considerado Roberto Martínez, analista sénior de Seguridad en Kaspersky Lab, quien ha insistido en que la ingeniería social involucra una serie de técnicas como el phishing o suplantación de identidad.

De esta manera, la información aparenta provenir de entidades legítimas para obtener datos sensibles de las víctimas o para convencerlas a realizar algún tipo de acción que comprometa su sistema.

“Las consecuencias de tales ataques pueden ir desde la pérdida de dinero hasta el compromiso de toda una red corporativa. Por esto es imprescindible que las empresas refuercen sus medidas de seguridad y capaciten a su personal para que estos estén familiarizados con este tipo de tácticas y así puedan identificarlas y evitarlas”.

Mediante un comunicado de prensa ha recordado que, justamente, el par de clubes de fútbol internacional fue víctima de ciberdelincuentes al ser despojado de un poco más de medio millón de euros.

Se trató de una transacción en la que estuvieron involucradas dos empresas mexicanas y que ha puesto de relieve el riesgo que representan las tácticas de ingeniería social para las organizaciones.

Leandro Paredes, centrocampista que militaba en el equipo Zenit de Rusia, a principios de este año se dio a conocer que había sido transferido al club Paris Saint Germain, lo que involucraba 40 millones de euros.

De acuerdo a las normas de la FIFA, al primer club de Paredes (el Boca Juniors) le correspondía un porcentaje (aproximadamente 3.5%) que, en concreto, se traducía en un millón 299 mil 377 euros por los llamados derechos de formación.

Así, el Paris Saint Germain y el Boca Juniors acordaron aplazar el pago en tres cuotas y, la primera, estaba prevista para el pasado 6 de marzo. El club argentino nunca recibió los casi 520 mil euros que el club francés aseguró que envió.

Debido a que el dinero nunca se vio reflejado en la cuenta del club, las partes involucradas comenzaron a revisar los intercambios de correos y documentos que el Paris Saint Germain había enviado como prueba que sí había realizado el pago.

Luego, en uno de los documentos adjuntos que confirmaba la transferencia, se descubrió que los correos provenientes supuestamente del personal del Boca Juniors presentaban ligeras modificaciones imperceptibles a simple vista.

“Según informa un diario argentino que ha tenido acceso a los documentos relacionados con el caso, una sola letra diferenciaba la dirección del correo electrónico fraudulento del legítimo. Naturalmente, las instrucciones que llegaron desde estas direcciones ficticias contenían datos falsos”.

Fue así como se analizaron los documentos y Boca Juniors descubrió que, en principio, su dinero había pasado por una cuenta bancaria de Nueva York que pertenecía a una empresa mexicana llamada Vector Casa de Bolsa.

Posteriormente se pudo determinar que se envió a México, esta vez a una cuenta bancaria de la compañía OM IT Solutions S.A. de C.V., empresas desconocidas para el club de fútbol.

Tácticas de ingeniería social

Kaspersky Lab bloqueó más de 70 millones de ataques de ingeniería social (phishing) en América Latina entre noviembre de 2017 y noviembre de 2018. El promedio de ataques diarios fue de 192 mil, lo que representa un crecimiento de 115% en comparación con el periodo anterior (noviembre 2016 hasta noviembre 2017).

“El ranking de los países más atacados por phishing cambió el año pasado: Brasil perdió la delantera y ahora figura en tercer lugar, con un aumento de 110%. México (120%) ocupa la primera posición y Colombia (118%) el segundo lugar”.

El sector financiero, según ese mismo estudio de Kaspersky Lab, se vio especialmente afectado. Y es que más del 44% de todos los ataques de phishing detectados por las tecnologías de Kaspersky Lab se dirigieron a bancos, sistemas de pago y tiendas en línea. “Esto significa que hubo casi tantos ataques de phishing financiero en 2018 como ataques de phishing en general en 2017”.

El sistema antiphishing de Kaspersky Lab también bloqueó 111 millones 832 mil 308 intentos de llevar al usuario a páginas fraudulentas durante el primer trimestre de 2019. De acuerdo a la publicación, la proporción de usuarios atacados únicos ascendió al 12,11% del número total de usuarios de productos Kaspersky Lab en el mundo.

Protegerse de ciberdelincuentes

Para no caer en estafas como las de ingeniería social, desde Kaspersky Lab se ha sugerido conocer los estados vulnerables que los ciberdelincuentes aprovechan para lograr su cometido.

En ese sentido, la recomendación ideal es proveer protección y comunicación a los empleados de la empresa que puede contener información corporativa.

“El programa Kaspersky Security Awareness ayuda a generar conciencia en los empleados sobre las amenazas en la red. Éste no sólo informa sobre las amenazas existentes, sino que también ofrece las habilidades necesarias para hacer frente a los métodos de ingeniería social”.

Además, se ha recomendado a las empresas que utilicen soluciones de seguridad con funcionalidades dedicadas para detectar y bloquear el phishing, los archivos adjuntos maliciosos y el correo no deseado.

Se ha añadido que las empresas pueden proteger sus sistemas locales de correo electrónico con aplicaciones específicas, “incluidas en el paquete Kaspersky Endpoint Security for Business”.