martes, 14 de abril de 2009
Los ataques y las defensas se sofistican aunque el eslabón más débil sigue siendo el usuario final. En junio, la Argentina tendrá un centro de respuesta a incidentes de seguridad que actuará como un 911 tecnológico.
Creo que me di cuenta del fraude porque estaba con muchos gastos por la refacción de mi casa y cada vez que llegaba el resumen de la tarjeta, temblaba”, cuenta Eduardo S., un porteño de 37 años que descubrió en factura un consumo desconocido por $ 1.060.
Era la compra de un electrodoméstico realizada en un sitio de subastas, transacción que no despertó sospechas entre quienes la autorizaron desde la compañía de tarjetas de crédito, ya que había sido validada con los datos personales de Eduardo, su DNI, fecha de nacimiento y domicilio.
El usuario rechazó el consumo y pidió una investigación. Más tarde, le informaron que se trató de una filtración de información desde un call center al que Eduardo había llamado días antes para suscribirse al débito automático de un servicio.
“Me dijeron que es muy común que los operadores de algunos call centers capturan esos datos para venderlos enseguida, por 20 o 30 pesos por cada registro válido. Quien se los compra, inmediatamente hace una operación y desaparece”, contó Eduardo en diálogo con IT Business, quien a pesar de este problema, no perdió la confianza en las transacciones electrónicas ni tuvo que pagar por la carísima máquina de coser.
Este tipo de fraudes, que combina la actividad online con la complicidad de personas que operan offline, aumentó en la Argentina en el último año. Y es frecuente que se realice desde call centers fantasmas, de los que aparecen y desaparecen bajo distintos nombres comerciales y que son contratados por compañías que no hacen demasiadas preguntas sobre sus estándares de seguridad.
Las operaciones más comunes, sin embargo, siguen siendo las de phishing, o intento de captura de datos utilizando mails-anzuelo que simulan una comunicación oficial de los bancos, en el que se pide que se ingresen datos y claves de las cuentas de las víctimas, operatoria que las entidades jamás realizan por esa vía. Estas herramientas de fraude se denominan de ingeniería social por su ataque a los usuarios mediante engaños para obtener información de acceso a su dinero y/o a sus medios de pago.
El trabajo de quienes roban utilizando herramientas tecnológicas es cada vez más elaborado. Según los expertos argentinos, hasta hace dos años, los ataques que se observaban eran masivos y tenían éxito acotado pero seguro: entre miles de e-mails enviados, siempre lograban captar a unos pocos incautos. Ahora, los perdigones han sido reemplazados por la mira telescópica y los objetivos son, específicamente, los servicios de homebanking de ciertos bancos.
“Estamos viendo ataques más repetidos, hasta hace pocos meses era baja la incidencia de redes de crimen organizado para cometer fraude. En 2008 se incrementaron las acciones que apuntan a la región, que todavía no está preparada en mecanismos de detección y velocidad de respuesta ante este tipo de incidentes. Es algo nuevo para los bancos locales que los ataquen directamente”, señala Andrés Gil, socio de la consultora Deloitte.
Son frecuentes los incidentes que sufren los bancos, siempre comentados en voz baja por cuestiones de imagen y reputación de las entidades involucradas. Hace pocas semanas, una entidad de primer nivel detectó un intento de phishing a 100 de sus clientes, de los cuales se obtuvieron tres claves para realizar otras tantas compras online. “Desde Sistemas lograron deshacer dos de esas tres operaciones, asíque podría decirse que tuvieron éxito”, cuenta Hernán Coronel, del área de seguridad de Symantec Cono Sur. Según los analistas consultados, las operatorias de phishing y robo de claves para operar por Internet tienen puntos en común:
n Los atacantes siempre hacen creer a usuarios que entran en la página de su banco cuando en realidad están entregando sus datos a los delincuentes. Cuando logran su objetivo, realizan sólo un par de transacciones pequeñas para no ser detectados.
nCada vez más, el phishing apunta a usuarios con alto poder de consumo. Una forma frecuente de abordarlos es informarles por e-mail de un problema detectado con tarjetas adicionales. La solución siempre implica el ingreso online de información sensible, que termina en poder de los delincuentes.
nEl máximo valor promedio de las compras fraudulentas es de $ 1.000, aunque pueden rondar los $ 700 por transacción.
nSi la metodología incluyó el robo de datos de la banda magnética de una tarjeta y la fabricación de una “melliza”, se contrata a personas de bajos recursos denominadas “mulas”. Son estas quienes utilizan las tarjetas y realizan las operaciones en los cajeros automáticos o en los comercios.
nLas mulas, al igual que los empleados infieles de los call centers que capturan datos de forma illegal, reciben entre $ 20 y $ 50 por operación.
En Estados Unidos y varios países de Europa, las entidades que sufren robos o pérdidas de información de sus clientes están obligadas a denunciar el hecho y a publicar la magnitud de la pérdida. El daño a la reputación de esas entidades es enorme y precisamente por eso el fraude se previene con armas poderosas. “Sería ideal que eso pasara en la Argentina, para ayudar a que se mejoren los sistemas de seguridad”, indica Claudio Fiorillo, socio de Deloitte. Y da una pista sobre las desigualdades que persisten en el sistema. “Sería injusto clasificar a los bancos en más o menos eficientes en seguridad, lo cierto es que hay diferencias entre quienes tienen mayor poder de inversión y traen tecnología probada desde sus casas matrices y una entidad local, que muchas veces se arregla como puede -apunta-. Lo cierto es que todos podrían usar mejor sus herramientas de prevención”.
El enemigo en casa
Además de ocuparse de los enemigos externos, las compañías se muestran preocupadas por la vulnerabilidad interna de sus sistemas, sobre todo cuando se mantiene firme la tendencia de concreción de fraudes y fugas de información con ayuda de su propio personal.
“Los empleados manejan a diario información altamente sensible y confidencial de la compañía, como, por ejemplo, información financiera, estrategias de marketing y de negocio cuyo valor monetario en el mercado es altísismo y sumamente valioso, sobre todo para la competencia”, dice Hernán Veglienzone, security Product Manager de Telmex.
Así como crecieron las oportunidades de mejorar la seguridad, también aumentaron las opciones para que se produzcan las fugas. Veglienzone enumera como problemáticas la carencia de controles de accesos remotos a la red, la falta de seguimiento en accesos a la información y monitoreo de tráfico y también las nuevas tecnologías con altas capacidades de almacenamientos. Un pendrive o un disco rígido externo y portátil hoy hacen perfectamente posible que se traslade un gran volumen de información, muchas veces sin ser detectado. Desde Cisco están de acuerdo y suscriben su preocupación incluyendo una referencia a la crisis como motor para reforzar estas acciones. “Los empleados negligentes o descontentos pueden significar un peligro para la seguridad corporativa y la crisis económica global puede fomentar aún más incidentes de seguridad que involucren a los empleados”, indica su último reporte de seguridad.
La solución argentina
En un escenario de incertidumbre global, los ejecutivos del sector IT argentinos son optimistas respecto de la continuidad de sus áreas de operación. Consideran que no hay grandes frenos en los planes tecnológicos que involucran a la seguridad y esperan que sus presupuestos no se toquen.
“Yo creo que está mejorando el clima, se hizo el encuentro de Segurinfo con buena convocatoria a pesar de todo y en épocas de crisis, las empresas no aflojan el presupuesto en seguridad porque los fraudes tienden a aumentar. Hay estadísticas sobre el aumento de robos de laptops en la Argentina, por ejemplo”, dijo Sebastián Gagliardi, gerente de consultoría en seguridad de la información de BDO. “No se si crecerán, pero no se achicarán los presupuestos de seguridad para este año”, concluye.
El optimismo de Gagliardi parece fundado ya que en algunas áreas de la tecnología y del sector de Sistemas ya se están produciendo movimientos.
En seis semanas, un equipo de 50 personas comenzará formalmente la operación del incipiente CSIRT (Computer Security Incident Response Team), un centro de respuesta a incidentes que funcionará como un 911 tecnológico. El organismo depende de CABASE, la cámara que reúne a las empresas proveedoras de servicios de acceso a Internet, telefonía, soluciones de datacenter y contenidos online, entre otras, y está dirigido por Gustavo Aldegani, experto en seguridad informática que ya está poniendo a punto los equipos y contratando personal.
Con un perfil técnico, normativo y legal, el CSIRT ofrecerá consultoría y testeo de productos. Su primer objetivo será notificar y asesorar sobre resolución de incidentes y luego escalará sus servicios.
Estándares internacionales
“En un año y medio aspiramos a convertirnos en una consultoría referencial de alto nivel, ya que seremos independientes y haremos tareas que garanticen el cumplimiento de estándares internacionales”, explica Aldegani.
El centro de emergencia en materia de seguridad IT tendrá personal experimentado y estará equipado con hardware y software de primera línea, “con una dispersión de plataformas para acaparar todo lo que está representado en el mercado”. Y se ocupará de tareas de seguridad reactivas y proactivas, ya que proyecta recolectar información, hacer prognosis y encontrar solución a los incidentes para la comunidad y los asociados.
www.cronista.com
Recibí info GRATIS en tu correo
¡Suscribite ya!
33,00% TNA
30 días
32,00% TNA
“No reclames que te dan de baja”
MARCELOBAINES opinó sobre Banco Galicia el 26/02/20
“irresponsables”
jimenap1989 opinó sobre Banco Galicia el 05/02/20
“Cautivo de este banco, pesimo! Rosario.”
aluvion85 opinó sobre Nuevo Banco de Santa Fe el 19/01/20
“Cooperativismo en el capitalismo!”
aluvion85 opinó sobre Banco Credicoop el 19/01/20
“Cobro incorrecto con previa consulta hecha”
Cpach opinó sobre Banco Supervielle el 14/01/20
más opiniones