EL "CUENTO DEL TÍO"
Una encuesta revela nuevas formas de ataque a pequeñas y grandes firmas.
Este contenido es exclusivo para nuestros suscriptores.
El 20% de las empresas uruguayas fue víctima de phishing, un ataque cibernético que implica el robo de datos personales, como el número de tarjetas de crédito, cuentas bancarias o contraseñas, según una encuesta del Grupo Radar.
En general, los hackers imitan el formato, el lenguaje y la imagen de mensajes emitidos por algún servicio de los que son clientes o proveedores. Y las empresas caen en la trampa.
El ejemplo del banco es el más claro: llega un mail de la supuesta agencia, en el que se pide usuario y contraseña para "verificar los datos". En realidad es un hacker que está accediendo a la información confidencial.
Hay un tipo de phishing "más complejo", cada vez más extendido en negocios uruguayos, según contó a El País Reynaldo De la Fuente, director de Datasec, una firma que brinda soluciones de seguridad informática y que ideó este tipo de reporte.
La operación comienza con una investigación del hacker. Él puede averiguar "fácilmente" el perfil del gerente general de una compañía gracias a Linkedin y saber su correo electrónico. El atacante puede crearse un mail similar al del director de esa firma, hacerse pasar por él y escribir un mail al gerente financiero con un pedido especial: "Pasame el estado de cuenta del banco que quiero hacer una operación", le escribe. En la respuesta, le adjunta datos de usuario y contraseña de la cuenta bancaria. Así se da el robo de dinero. "Eso está pasando acá. Son casos de phishing más complejos, más dañinos y con una potencialidad mucho mayor", comentó De la Fuente.
Panda, otra empresa que brinda soporte para mejorar la seguridad informática, explica en su sitio web que esta es una "nueva versión del llamado fraude del CEO". "Una estafa en la que el atacante simula ser el consejero delegado o directivo de una compañía para conseguir que sus subordinados, sin tiempo para plantearse si el correo es lícito, hagan transferencias económicas o proporcionen información confidencial de la compañía", advirtió en un comunicado.
El último Internet Crime Report, un estudio realizado por el FBI en Estados Unidos, muestra que en un año se perdieron 676 millones de dólares por esta causa en ese país. Es la amenaza más lucrativa de los hackers.
Más incidentes cibernéticos.
Además del phishing, el estudio - que recopiló información de 600 micro, pequeñas, medianas y grandes empresas uruguayas-encontró otras cinco formas de ataque.
El 14% de las compañías aseguró haber recibido virus. Esto suele darse cuando alguien inserta un pendrive en la computadora lo que causa problemas en el funcionamiento de la máquina.
El “hackeo”, que solo fue confesado por el 3% de los entrevistados, es un escenario más premeditado: alguien tuvo la intención de atacar la compañía, acceder a sus datos y aplicaciones y buscó varios métodos para poder hacerlo.
El ransomware, en tanto, es el secuestro de archivos de una PC y el pedido del atacante al dueño de pagar un rescate para recuperarlos. El 3% de los negocios uruguayos estuvieron envueltos en este tipo de episodios.
El 5% aseguró que sufrió un robo de equipos portables. Es el “hurto tradicional”: un ladrón invadió la propiedad de algún comercio o empresa y se llevó algún objeto tecnológico.
El quinto incidente reportado fue clasificado como “falla técnica”. En este caso no significó la participación de un ciberdelincuente. “Puede ser que un comercio le esté fallando el sistema informático de cobro. Es más accidental”, comentó De la Fuente.
Ocho de cada 10 empresas contestaron que no tuvieron incidentes de ciberseguridad. Paradójicamente, no es una noticia buena. El problema es que no hay personal capacitado para identificar cuándo se está frente a un episodio de estas características.
“Nos parece bajo el número de empresas que reconocieron que fueron víctimas de algún incidente”, concluyó De la Fuente.
La mayoría no cree necesario realizar un análisis
El 77% de las empresas “no cree necesario” someterse a algún tipo de evaluación del estado de su ciberseguridad. Al 14% “le interesaría”, el 3% la aplica “excepcionalmente” y un 5% lo hace de manera “regular”.
La preocupación por el tema es baja. Es que siete de cada 10 firmas locales no creen necesario ser sometidas a un hacking ético. Esto es un experimento hecho por profesionales en la materia para ver si es “fácil” acceder a la información de la compañía.
Y si hay alguien que se preocupa por la ciberseguridad, ¿qué empleado es? El 42% de los responsables son dueños y socios, quienes no siempre tienen conocimientos sobre algunos de estos problemas.
El 27% de las firmas locales dice tener un “servicio tercerizado”. “Pero no es que contratan a una empresa especializada. Sino que tienen un servicio técnico que se encarga de arreglar la computadora, hacerle respaldos y comprarle los cartuchos de la impresora. Es una persona que se encarga de que el antivirus ande bien (...) No lo trabaja de una manera integral, sino que trabaja de acuerdo a lo que el cliente le pida”, comentó De la Fuente.
Quienes tienen mayor interés en la seguridad informática de la compañía son las medianas y grandes empresas. De hecho, las más poderosas del mercado uruguayo cuentan cada vez más con un “gerente de TI”, encargado de velar porque los datos estén seguros.