TENDENCIAS DE LA CIBERDELINCUENCIA
¿Cyber o Insider? El hacker que todos llevamos dentro
En el año 2018 pudimos observar en la región latinoamericana varios incidentes de ciber ataques serios a diferentes sectores de la industria, pero aquellos que alcanzaron gran notoriedad y trascendencia fueron los perpetrados contra el sector bancario. La velocidad con que las ciber amenazas aparecieron en América Latina es análoga a lo sucedido globalmente.
De igual manera, fue interesante la respuesta de las organizaciones de ciberseguridad e inteligencia en diversos países de nuestra región, que por fortuna cada vez muestran mayor interés y disposición en colaborar conjuntamente para hacer frente a los coloquialmente llamados ciber delitos y a la ciber delincuencia. Sin embargo, aún se está lejos de tener el nivel de madurez y de proactividad de otras regiones -como por ejemplo en Europa- para lidiar con los incidentes criminales que transitan en el mismo camino de la transformación digital y el arribo prácticamente omnipresente de la industria 4.0, así que seguramente las infraestructuras críticas y áreas estratégicas de las naciones -donde el sector financiero es un actor de primer orden por su relación con la economía de los países- habrán de esforzarse mucho más para mejorar y fortalecer las capacidades analíticas de prevención, pero sobre todo las de detección temprana y respuesta oportuna con protocolos de atención de incidentes, donde el intercambio de inteligencia accionable será crucial para anticipar ataques y, dado el caso, para mitigar los efectos si estos se materializan.
Todavía se advierte que en materia de ciber seguridad e inteligencia, nuestras instituciones y organizaciones de los sectores gubernamentales y empresariales operan en silos, es decir, de manera vertical a los procesos de negocio o de servicio, atesorando información valiosa sobre ciber amenazas que de compartirse a través de mecanismos transversales seguros y apropiados, se podrían avizorar e identificar los ciber peligros en una fase que active prontamente las alertas y no en una fase que dispare tardíamente las alarmas para reducir los efectos del impacto, porque no se fue capaz de actuar rápidamente.
Ahora bien, ¿es importante que un analista de ciber inteligencia comprenda las amenazas que representa la ingeniería social? Tomemos muy en cuenta que, primero, es imperativo que dentro de la organización se hayan realizado los necesarios filtros de probidad para que la selección, contratación, cambio de puesto o de adscripción, o ascensos del personal, sobre todo en posiciones clave o de riesgo crítico, disminuyan la probabilidad de ocurrencia de ciber ataques internos o facilidades para que ciber delincuentes externos aprovechen vectores de ataque por la omnicanalidad de la que cada vez más disponen las organizaciones: computadoras personales en estaciones de trabajo, dispositivos móviles como laptops, tabletas y teléfonos inteligentes, todos conectados por las venas de internet, con visibilidad frecuente en redes sociales y además con la creciente interconexión de las “cosas”, como por ejemplo, desde relojes electrónicos que portamos diariamente, hasta utensilios y enseres de cocina o del hogar con capacidades de recibir, almacenar y transmitir bits y bytes, y que por lo tanto, también se convierten en puntos vulnerables o nodos de riesgo.
No importa qué tan sofisticada sea la infraestructura de seguridad y procedimientos de protección de información de una organización, el mayor peligro que puede explotarse -y que siempre lo ha sido- es la infraestructura humana. La ingeniería social, o bien el “hackeo humano” es el arte de persuadir a las personas para que hagan cosas que obran en contra de sus intereses y de la organización. Este es el fundamento de la ciber delincuencia.
Las acciones que despliega un ingeniero social es tener preparada la siguiente ecuación: PRETEXTO + MANIPULACIÓN + CODICIA ALIMENTADA = OBJETIVO ENGAÑADO
El objetivo del ingeniero social es recolectar datos para aprender todo aquello que tenga a su alcance sobre la organización y las personas que la conforman. Ambos serán su misión para convertirlas en víctimas. Una vez que consigue suficientes datos e información tendrá una imagen mucho más clara para diseñar su estrategia de ataque, aplicando la ecuación referida líneas arriba.
La Agencia de Seguridad Nacional de los Estados Unidos (NSA / National Security Agency) define la “elicitation” como “la extracción sutil de información en el transcurso de una conversación aparentemente inocente y casual”. Este tipo de conversaciones ocurren todo el tiempo en cualquier lugar, son de muy bajo riesgo y a menudo bastante difíciles de detectar.
La mayor parte del tiempo, el objetivo (víctima) desconoce de dónde se pudo filtrar cierta información. Aún si de repente surge alguna sospecha sobre alguien, dicha persona podría sencillamente tornarse enojada por que se le está acusando injustamente al hacerle preguntas, y así librar la sospecha.
La “elicitation” (extracción sutil de información) funciona muy bien por varias razones, entre ellas:
La mayoría de las personas desean ser corteses, especialmente a extraños.
Los profesionales quieren parecer ante otros como personas inteligentes y bien informadas.
Si una persona es alabada, usualmente hablará más y divulgará de más.
La mayoría de las personas no miente por el simple motivo de “mentir”.
La mayoría de las personas responde con amabilidad a quienes se muestran preocupadas por ellas.
Estos aspectos clave sobre el comportamiento humano hacen que la “elicitation” funcione muy bien, logrando que las personas hablen de sí mismas, sus necesidades y deseos con mucha facilidad. La extracción sutil de información no se usa meramente para obtener información general, también puede utilizarse para estructurar mejor un “pretexto” y conseguir acceso a información específica. Todo depende del enfoque con el que desee usarse esta acción.
Sin embargo, también podemos tener otra perspectiva de si un ataque es Cyber (externo) o Insider (interno), pues existe la creencia generalizada que un hacker es quien nos quiere atacar o robar información, siendo en realidad aquella persona con habilidades suficientes para tomar el control de un sistema de cómputo.
Así que la verdadera esencia de este término radica en cómo utilice ese conocimiento, si para atacar o defender; si para dañar o proteger.
Por lo tanto, una importante recomendación en este tema de la ciber seguridad y la inteligencia es que para prevenir, detectar y combatir la ciber delincuencia de un ataque “Cyber” o de un peligro “Insider”, se necesita la prudencia aplicando siempre adecuados filtros de probidad, de integridad y de control de confianza del factor humano en cualquier organización, sea esta pública o privada.
Carlos Ramírez, CICA
Octubre 2018
