BLOG

Robo de identidad: Una amenaza más grave de lo que crees.

Miniatura de Kuna Nallappan
Kuna Nallappan
Publicado el 27 de diciembre de 2015

La industria de servicios financieros en Asia es uno de los sectores más regulados y el cumplimiento a menudo se promociona como una forma de garantía de seguridad. Sin embargo, el cumplimiento es solo un aspecto de la seguridad. Diversas regulaciones cubren una amplia gama de cuestiones, pero simplemente implementar soluciones o dispositivos para abordar el cumplimiento no es suficiente.

La creciente omnipresencia de los dispositivos móviles en Asia Pacífico y el consiguiente auge de la banca por Internet han dado lugar a amenazas de ciberseguridad cada vez más sofisticadas. Sin embargo, según el Estudio de Identidad Móvil de Telstra , el 62 por ciento de los ejecutivos de servicios financieros señalaron que no han invertido lo suficiente en identidad y seguridad. Menos de la mitad de los consumidores también estaban satisfechos con el desempeño de seguridad de su institución financiera, ya que más de un tercio ha sufrido robo de identidad.

Con casos de robo de identidad como la filtración de datos de JP Morgan y los bancos de Corea del Sur afectados por filtraciones masivas de tarjetas de crédito el año pasado, y el fraude de identidad que resultó en el robo de US$16 mil millones de las víctimas en 2014, el robo de identidad se está convirtiendo rápidamente en una amenaza más fuerte, aunque todavía subestimada, para el sector de servicios financieros.

Aumento de la superficie de ataque y la sofisticación

El robo de identidad se ha vuelto común entre los ciberdelincuentes debido a la creciente superficie de ataque y la sofisticación de las herramientas de ataque. Hoy en día, los ataques cibernéticos se producen a través de una gama más amplia de vectores. Por ejemplo, como muchas organizaciones de servicios financieros permiten que los dispositivos personales de los empleados accedan a las redes corporativas, Bring Your Own Device (BYOD) permite que los dispositivos móviles se conviertan en un canal para que los ciberdelincuentes oculten, difundan y roben información aprovechando las credenciales de los empleados de una organización.

Otro vector pueden ser las aplicações web públicas inseguras que permiten que las identidades sean robadas rápidamente. Estas incluyen vulnerabilidades de día cero que acapararon los titulares el año pasado, como Shellshock y Heartbleed . Lo único que se necesita es que una organización tarde en reparar una vulnerabilidad o que carezca de la tecnología adecuada para proteger sus aplicações web. Una vez que los cibercriminales obtienen el control, pueden hacer lo que quieran, desde robar datos hasta utilizar los servidores para lanzar ataques de botnets.

Este "campo de juego" ampliado significa que los cibercriminales tienen más opciones en lo que respecta a cómo pueden robar credenciales de inició de sesión, y ya no necesitan depender de software de registro de teclas o violaciones de bases de datos, sino simplemente usar inyecciones web.

Por ejemplo, cuando un usuario inicia sesión en su cuenta bancaria por Internet, puede insertar un campo adicional que parece legítimo en la página web con su PIN de cajero automático (número de identificación personal del cajero automático) para engañar tanto a los usuarios de banca por Internet expertos como a los que no lo son. Mientras esto sucede, un malware puede ejecutar un ataque 'man-in-the-browser' en segundo plano, que es invisible para la aplicação web anfitriona.

Además de aumentar los vectores de ataque, hoy en día el malware y los troyanos tienen la capacidad de robar credenciales de inició de sesión a través de aplicações bancarias móviles para acceder a fondos en bancos y otras instituciones de servicios financieros. Los ciberdelincuentes pueden simplemente crear una aplicação móvil que parezca similar a una aplicação bancaria y usar spear-phishing para robar credenciales de inició de sesión. Algunos programas maliciosos, como Dyre o Dyreza, atacan directamente las cuentas bancarias corporativas y han robado con éxito más de un millón de dólares a empresas desprevenidas.

Aborde las amenazas con defensa en capas, proactividad y políticas móviles sólidas

Dado que las amenazas internas fueron la causa de la mayoría de las infracciones en la primera mitad de 2015 , es más pertinente que nunca que las organizaciones sigan el ritmo de los cibercriminales de rápido movimiento de la actualidad; las empresas deben implementar las medidas necesarias para proteger sus aplicações conectadas a Internet. Esto debería estar en lo más alto de su lista de prioridades, ya que es un canal natural para los ciberdelincuentes, que siempre están buscando oportunidades para infiltrarse en una red. Es importante destacar que también se debe desalentar el uso de dispositivos que permiten romper sistemas, ya que estos suelen representar otro medio para que los cibercriminales accedan a las redes.

En primer lugar, es imperativo contar con una estrategia de defensa en profundidad que utilice las tecnologías adecuadas. Un error muy común entre muchos es creer que usar tecnología como un firewall es suficiente para proteger las redes de una organización, pero esto ya no es así. Las organizaciones deben considerar otras tecnologías, como los firewalls de aplicação web. Los ataques a aplicação web suelen estar diseñados y creados para una aplicação específica y las medidas de seguridad tradicionales no los detectan.

Si bien la remediación (reparar los problemas después de una violación) cumple su función, es aún más beneficioso ser proactivo a la hora de proteger las redes. Un escenario de remediación es de naturaleza reactiva y el equipo forense rastrea la causa de la violación, proporciona un informe y remedia el incidente después. Por otro lado, proteger proactivamente su organización puede no atrapar el 100 por ciento de todos los ataques, pero poder reducir esto del 100 por ciento a un porcentaje más pequeño aún debería considerarse una victoria.

Por último, también es necesario luchar contra la complacencia y abandonar la actitud de “a mí no me va a pasar”, donde ven que sus vecinos son atacados pero esperan seguir siendo afortunados.

Las organizaciones deben establecer políticas de seguridad para dispositivos móviles que definan pautas, principios y prácticas sobre cómo deben tratarse los dispositivos móviles, independientemente de si son emitidos por la empresa o propiedad de individuos. Estas políticas deben cubrir áreas como roles y responsabilidades, seguridad de la infraestructura, seguridad de los dispositivos y evaluaciones de seguridad.

Al establecer políticas de seguridad, las organizaciones pueden crear un marco para aplicar prácticas, herramientas y capacitación para ayudar a respaldar la seguridad de las redes inalámbricas. Capacitar a los empleados en sus políticas de seguridad móvil también puede ayudar a las organizaciones a garantizar que los dispositivos móviles se configuren, operen y utilicen de forma segura y adecuada.