Engañar a los empleados, estrategia de ciberdelincuentes para atacar las empresas
NOTI-AMERICA | COLOMBIA
“La única forma de ganar esta guerra contra los ataques cibernéticos es jugar con las mismas armas”, asegura Ariel Pizzo, head cybersecurity Latam de Stefanini Group, refiriéndose a las estrategias especializadas para luchar contra las artimañas de los ciberdelincuentes, que no solo están haciéndole inteligencia a los empleados de las empresas u organizaciones para engañarlos y llegar a robar la información, sino que, además, están generando desafíos entre decenas y cientos de ellos para lograr ataques focalizados.
El que Colombia esté en el tercer puesto del ranking de los países más atacados, plantea muchos retos de ciberseguridad. “El año pasado creció en un 65% la cantidad de ciberataques en el país con 114.000 millones de incidentes, un número muy grande que requeriría una cantidad importante de recursos humanos especializados para frenarlos. Hoy la salida debe ser la Inteligencia Artificial para jugar con las mismas armas de los delincuentes”, recalca Pizzo.
¿Dónde está el talón de Aquiles?
Ariel Pizzo de Stefanini Group, hace la pregunta: ¿Cuándo instalas una aplicación en tu teléfono y te dice si aceptas las condiciones y tienes 20 páginas, las lees o le das aceptar? La respuesta es simple: el 99.9% de las personas del planeta no lee, acepta y cede a la aplicación el acceso a toda la metadata del teléfono, que va desde la ubicación de la persona, hasta aspectos más delicados de su quehacer.
Y es allí donde llegan los ciberdelincuentes ya que se ha comprobado que en la mayoría de los ataques se están utilizando a los empleados de las empresas. “Con inteligencia artificial generativa están entendiendo su perfil, gustos, placeres, hábitos o contactos y se generan trampas. Así, si a una persona le gusta el golf, y postea en sus redes que le gusta, le van a invitar por ejemplo a un evento gratis. La persona hace click, e inmediatamente descarga en su computadora un malware para generar el robo de información”, comenta el especialista de Stefanini Group. Y no solo en las empresas, se ve mucho en el sector público no solo en Colombia, sino en Latinoamérica.
La situación se ha vuelto tan insostenible que la guerra se está perdiendo de lejos, y la gran mayoría de las empresas no están listas para enfrentar un ataque. Por eso, incluso desde los Gobiernos de la región, se están uniendo fuerzas para crear una comunidad colaborativa que permita aprender de los ataques y armarse para una lucha conjunta.
“El problema allí es que a las empresas no les gusta que se sepa que han sido atacadas por el daño reputacional que esto causa en ellas y la confianza que sus clientes y usuarios pierden en ellas. Pero es necesaria la colaboración así sea de forma reservada, para con esa data lograr prevenir muchos más ataques”, considera Ariel.
Un negocio lucrativo
¿Cuánto vale el daño de operación y reputación de una empresa que ha sufrido un ciberataque? Cada caso es distinto, pero según los especialistas de Stefanini Group los delincuentes piden entre los USD 200 mil dólares y USD 10 millones, dependiendo de lo que hayan hurtado y hasta dónde es el daño.
Y la afectación es grande si se tiene en cuenta que las empresas e instituciones deben asumir los costos de lo que pagan, pero, además, recuperar la infraestructura para volver a operar, sumado a que deben mostrarle al ente regulador que ya no tienen ningún ataque y que está limpia toda tu infraestructura.
“Nosotros no aconsejamos pagar porque en el 90% de los casos no se recupera la información. Hay que atacar con sus mismas armas y nosotros tenemos las herramientas capaces de detectar inclusive si se está comercializando información de nuestros clientes y las conversaciones que se tienen entre los ciberdelincuentes”, asegura Pizzo de Stefanini Group.
Y es que de allí se ha podido detectar cómo se ponen de acuerdo decenas o cientos de ellos para atacar a una marca en tiempos cortos. Un ejemplo fue un ciberataque perpetrado a una marca reconocida de e-commerce, que en menos de hora y media reunió a 21.000 hackers para la arremetida.
Hoy, por eso, las empresas independientemente de su tamaño, deben asesorarse por especialistas para proteger sus datos, crear una conciencia y cultura de cuidado personal de la información con cada uno de sus colaboradores y estar preparadas para cualquier eventualidad.
“La experiencia de más de 12 años implementando IA nos permite hoy tener las herramientas y experiencia para apoyar no solo a empresas sino a Gobiernos que han visto que esta guerra hay que lucharla con armas tecnológicas sofisticadas que implican sendas inversiones permanentes para salirle el paso a los delincuentes”, concluye Pizzo.