A principios de octubre la Asociación Bancaria de Colombia (Asobancaria) realizó su 8º Congreso de Prevención del Fraude y Seguridad, donde el gremio solicitó fortalecer el aparato judicial e hizo un llamado para que todas las entidades involucradas en los sistemas de pago implementen medidas antifraude. Así mismo, un experto comparó a los piratas informáticos con los magos y explicó en detalle un caso de fraude casi imposible de detectar.
La visión de Asobancaria
Sector financiero no es la única víctima
María Mercedes Cuéllar, entonces presidenta de Asobancaria, recordó que los denominados delincuentes informáticos cada vez atacan más a ‘‘las instituciones que conforman cadenas de pago virtuales o incluso a los usuarios finales’’; además, recordó que el documento de tendencias de seguridad cibernética de la Organización de Estados Americanos (OEA) señaló que los ataques mediante correos electrónicos fraudulentos se vienen concentrando en las industrias de manufactura, construcción y los servicios profesionales.
Por otra parte, agregó Cuéllar, en ‘‘el informe de seguridad global publicado por Trustwave en 2014 se afirma que, a nivel mundial, los mayores robos de información se presentan en los sectores de retail (35%), alimentos (18%) y servicios hospitalarios (11%). El sector financiero participó solo con el 9% del total’’.
¿Qué hacer para mejorar la lucha contra el fraude?
Para atender esta problemática, Cuéllar indicó que ‘‘es preciso que tanto la totalidad de las entidades involucradas en los sistemas de pago (comercios, redes de procesamiento y pasarelas) como los usuarios o clientes financieros utilicen herramientas tecnológicas idóneas para su protección’’.
Según la entonces dirigente gremial, también ‘‘es fundamental que el Estado profundice sus esfuerzos en relación con la utilización de la tecnología para, por un lado, protegerse de los ataques que afecten su seguridad y, por el otro, hacerle frente judicialmente a este tipo de bandas criminales’’.
Respecto al aspecto de prevención, detección, investigación y judicialización, Cuéllar manifestó que es de vital importancia fortalecer la calificación de los individuos involucrados en este proceso por medio de programas de formación que les permitan ‘‘entender las cambiantes tipologías del fraude y para desarrollar y poner en vigencia medidas y herramientas que ayuden a combatir estos flagelos’’.
Otro de los elementos que podría aportar en la lucha contra el fraude es la revisión de los procedimientos de manejo del recurso humano, en razón de que, según una reciente encuesta realizada por Kroll, el 70% de los crímenes económicos son cometidos por empleados de las propias compañías. ‘‘Independiente de su calidad, pública o privada, todas las instituciones deben fortalecer la infraestructura ética corporativa y los sistemas de control interno para prevenir que los funcionarios o personas que hacen parte de la cadena de producción o de prestación de los servicios afecten el patrimonio económico de las organizaciones’’, apuntó.
Finalmente, la presidenta de Asobancaria hizo un llamado para que se fortalezca el aparato judicial en relación con los delitos informáticos asignando la competencia de investigación y judicialización a grupos especializados, al tiempo que cuestionó que ‘‘después de la reestructuración que sufrió la Fiscalía General no se creó una Dirección Nacional encargada puntualmente de estos asuntos”.
De acuerdo con Cuéllar, los delitos informáticos tienen complejidades que hacen que la actual estructura institucional no sea efectiva. ‘‘Tener un grupo especializado permitiría desarticular de manera más eficiente las grandes estructuras criminales a través de la concentración de investigaciones, el análisis de conexidad de casos y la especialización de los investigadores y de la policía judicial’’.
Como por arte de magia
Bruce Barnett, consultor de seguridad, hizo una amena presentación por medio de la cual comparó a los piratas informáticos con los magos, toda vez que –según él- ambos piensan igual y ‘‘hacen que las personas miren donde ellos quieren que miren y no donde deben mirar’’.
Bruce Barnett. Foto infolaft
Según Barnett, con frecuencia los piratas usan personas que los ayudan sin que ellas lo sepan, ya que en eso consiste el engaño y es lo que se conoce comúnmente como ingeniería social. Agregó que, de acuerdo con su experiencia como consultor, muchos procedimientos efectuados por los piratas son casi indetectables y en ocasiones cuando logran entrar a una máquina no ejecutan ninguna maniobra de forma inmediata, sino que esperan el momento adecuado para llevar a cabo sus acciones. ‘‘Pueden pasar semanas sin que te des cuenta’’, afirmó el consultor.
A lo largo de su conferencia Barnett expuso las que en su consideración son las características más comunes y las modalidades más recurrentes utilizadas por los piratas informáticos:
- Naturalidad: lo primero que va a intentar un pirata es buscar que todo al interior de un sistema se vea normal. A ellos les inquieta mucho la perfección de sus acciones.
- Acciones repetitivas: los piratas usan acciones repetitivas para engañar. Por ejemplo, pueden instalar un elemento falso en un computador y dejarlo unos días, para luego poner el real con el fin de verificar si el usuario se percata del cambio.
- Falsas pruebas: otra de las modalidades consiste en decirle a una entidad que se están realizando pruebas al interior del sistema y advertir de posibles falsas alertas con el objetivo de que sean descartadas cuando se presenten.
- Correos llamativos: en ocasiones envían correos maliciosos con asuntos llamativos para que sean abiertos por los funcionarios. Una vez el correo es abierto se instala el malware en el computador.
- Ataques con falsas alertas: los piratas suelen atacar sistemáticamente un sistema con muchas alertas falsas para que el encargado de revisarlas se desgaste y deje de creer en la fiabilidad del sistema.
- Revelaciones falsas: algunos piratas, quizá los más expertos, autorrevelan un ataque para que la víctima crea que su software es impenetrable.
¿Su entidad es capaz de detectar esto?
Barnett les expuso a los asistentes la siguiente situación hipotética:
Un pirata informático quiere robar una base de datos de una compañía que tiene montado un buen sistema de protección y para hacerlo logra acceder al escritorio de una funcionaria a la que llamaremos Lucy, quien tiene la facultad de actualizar el software. Una vez logra ingresar procede a crear cuentas falsas con su usuario.
El pirata implanta algunos archivos web (conformados por fotos y textos con información falsa de la compañía) al interior del computador de Lucy y genera un boletín falso para que se distribuya entre los medios de comunicación. Apenas se desata la crisis la actitud de la compañía es salir a desmentir la información.
Para generar más caos el pirata consigue que otra funcionaria de la compañía, a quien denominaremos Ivy, vea alguna publicación falsa sobre la compañía en Internet para que lo reporte a su jefe (aquí el pirata revela lo que se denomina un exploid). El jefe, por supuesto, estará muy molesto con la situación.
Posteriormente, al correo de Ivy llega un mensaje según el cual hay otras fotos comprometedoras publicadas que podrían dañar la imagen de la empresa y al parecer –agrega el mensaje– fueron reveladas por una funcionaria de la compañía. Punto seguido se inicia una revisión de los equipos y resulta que los archivos están en el computador de Lucy, quien de inmediato es despedida y en su lugar se nombra a Ivy.
Luego la página de la compañía es objeto de otro ataque y reina la confusión: unos analistas internos descubren numerosos virus en varios computadores y detectan más fotos malintencionadas, pero esta vez en el computador de Ivy. En el entretanto de esta incómoda situación el pirata robó valiosa información de la compañía y nadie pudo detectarlo debido al caos y la confusión generados por el escándalo.
Tras exponer esta situación de crisis, Barnett les preguntó a los asistentes si al interior de sus entidades estaban en capacidad de detectar robos de información como estos en medio de situaciones de crisis. Nadie se atrevió a contestar.
La lección que deja este caso, según lo expuesto por Barnett, es que las compañías deben grabar y registrar todos los eventos que configuran una situación de crisis, ya que solo así se podrán detectar inconsistencias. ‘‘Así como a los magos no les gusta que haya cámaras que los graben desde todos los ángulos, a los piratas tampoco les agrada que las empresas registren toda la situación’’. Según el experto, los detalles son la única manera de saber qué pasó.