La importancia de detectar e impedir los Delitos Financieros Cibernéticos en una realidad de hiper interacción virtual

by  Publicado porACFCS -
  • Los delitos financieros cibernéticos han surgido más recientemente que sus pares del mundo real, pero se están diversificando y generalizando con la misma rapidez.
  • La barrera de acceso para cometer muchos delitos es muy baja, ya que solo se necesitan computadoras, celulares y conexión a Internet
  • Los esquemas de los delitos cibernéticos suelen estar limitados únicamente por la imaginación y el ingenio de los delincuentes.
  • No todos los delitos cibernéticos están impulsados por la búsqueda de ganancias financieras, y no todos se pueden considerar delitos financieros.
  • Muchos delitos financieros cibernéticos tienen fines de lucro y principalmente se enfocan en obtener o robar datos para, en última instancia, venderlos o utilizarlos para obtener el control de fondos, de cuentas o de activos de manera ilegal.
  • Es muy difícil elaborar una lista exhaustiva, y es probable que los constantes cambios de tácticas y tecnologías hagan que esa lista quede obsoleta poco después de su publicación.
  • Ya sea que los especialistas en delitos financieros investiguen los delitos financieros cibernéticos o creen mecanismos de control para prevenirlos, deben estar atentos a las maneras en que el delito cibernético puede repercutir en otro, así como a la forma en que la filtración o la violación de datos pueden dejar vulnerables las cuentas o la red en su totalidad.

Es posible que los delitos financieros cibernéticos hayan surgido más recientemente que sus los delitos financieros del mundo real, pero se están diversificando y generalizando con la misma rapidez.

La barrera de acceso para cometer muchos delitos es muy baja, ya que solo se necesitan computadoras y conexión a Internet, y los esquemas de los delitos cibernéticos suelen estar limitados únicamente por la imaginación y el ingenio de los delincuentes.

Cabe reconocer que los delincuentes cibernéticos pueden actuar por motivos muy diversos. No todos los delitos cibernéticos están impulsados por la búsqueda de ganancias financieras, y no todos se pueden considerar delitos financieros. Por ejemplo, es posible que las unidades de espionaje cibernético que patrocinan distintos estados infiltren en la red de contratistas de otros gobiernos para robar tecnología militar, o que el pirata informático vandalice sitios web por pura diversión, para vanagloriarse. Sin embargo, los delitos financieros cibernéticos tienen fines de lucro y principalmente se enfocan en obtener o robar datos para, en última instancia, venderlos o utilizarlos para obtener el control de fondos, de cuentas o de activos de manera ilegal.

Debido a la gran variedad de los delitos financieros cibernéticos, es muy difícil elaborar una lista exhaustiva, y es probable que los constantes cambios de tácticas y tecnologías hagan que esa lista quede obsoleta poco después de su publicación. Es importante analizar algunas de las técnicas más habituales que se utilizan en los delitos financieros cibernéticos, pero cabe señalar que esas técnicas se suelen utilizar en combinación con otras. Por ejemplo, la técnica de ‘phishing’ (correos electrónicos falsos) puede robar cualquier dato confidencial necesario para acceder a la cuenta bancaria, mientras que el ‘keystrokelogging malware’ (software malicioso de rastreo de pulsaciones del teclado) puede recopilar otro tipo de elementos para completar el esquema de apropiación fraudulenta de cuentas con éxito.

Ya sea que los especialistas en delitos financieros investiguen los delitos financieros cibernéticos o creen mecanismos de control para prevenirlos, deben estar atentos a las maneras en que el delito cibernético puede repercutir en otro, así como a la forma en que la filtración o la violación de datos pueden dejar vulnerables las cuentas o la red en su totalidad.

Prevenir y detectar ataques de Ingeniería Social

El método más efectivo para detectar los posibles fraudes cibernéticos consiste en estar informado y actualizado sobre las técnicas de ‘phishing’ y sobre los esquemas de robo de identidad, así como estar familiarizado con los canales que las organizaciones legítimas utilizan para comunicarse con sus clientes.

Es muy raro que las empresas y las agencias gubernamentales legítimas soliciten información de identificación personal a través de sus comunicaciones electrónicas. Por lo tanto, las comunicaciones electrónicas en las que se solicite esa información se deben tratar como altamente sospechosas.

Estas son otras medidas de prevención:

  • Verificar los hipervínculos de las comunicaciones electrónicas. Esto se suele hacer al pasar el cursor del mouse sobre los enlaces para ver el verdadero URL, aunque no es una solución segura, ya que los enlaces pueden estar encubiertos.
  • Tener cuidado al abrir los archivos adjuntos de las comunicaciones electrónicas o al descargar los archivos de ellas. Si el mensaje es sospechoso o no proviene de fuentes conocidas, el programa antivirus debe escanear los archivos como mínimo.
  • Nunca se debe enviar información personal o financiera a través de las comunicaciones electrónicas y solo se debe proporcionar esa información a través del sitio web de cada organización tras haberla examinado para garantizar su legitimidad.

Planificar un Programa de Ciberseguridad

La ciberseguridad es uno de los elementos vitales de la mayoría de las empresas y de las organizaciones debido a la gran cantidad de datos confidenciales bajo su custodia, incluida la información de identificación personal, registros financieros y otros tipos de información privada. Las organizaciones deben adoptar medidas proactivas constantemente para protegerse contra el uso indebido o el robo de datos a nivel interno, el robo de datos a nivel externo y contra la amenaza de los ataques de software malicioso en sus redes.

Las políticas y los procedimientos de ciberseguridad adecuados permiten que las organizaciones gestionen la protección de sus recursos físicos y financieros, su reputación, su posición legal, sus empleados y otros activos tangibles e intangibles de manera efectiva.

Algunos de los mismos principios básicos del ámbito del cumplimiento de los delitos financieros también se aplican a la ciberseguridad.

Por ejemplo, la evaluación de los riesgos y la creación de los mecanismos de control y de protección correspondientes, ya que los planes de ciberseguridad comienzan con la evaluación de los riesgos.

Presentamos los pasos introductorios que las organizaciones deben tener en cuenta al determinar su enfoque de ciberseguridad por primera vez:

• Evaluar qué redes y datos se protegen, lo que puede incluir los datos de los clientes, como su identificación personal, los datos internos de la propia organización y las redes necesarias para realizar sus operaciones.

• Evaluar los riesgos y las amenazas cibernéticas que enfrenta la organización y compararlos con la evaluación de los sistemas y con la información que se debe proteger para determinar las áreas de mayor prioridad.

• Establecer la metodología para evaluar la efectividad de los mecanismos de control de ciberseguridad existentes en relación con el nivel de riesgo percibido.

• Crear políticas de ciberseguridad, incluidas las medidas para evaluar si se están o no cumpliendo las políticas y los planes para la reevaluación periódica. Un buen plan de seguridad debe ser flexible a los cambios tecnológicos y de personal, expandible, informativo y fácil de usar, ya que la seguridad es un tema cotidiano.

• Tener en cuenta la dimensión humana de la ciberseguridad. Según varios estudios sobre los incidentes cibernéticos, más del 90 % de ellos tenían un componente humano, lo que significa que las acciones de los empleados ayudaron a fomentar el ataque cibernético, en lugar de ser solo un fallo técnico. Las prácticas de seguridad interna y la capacitación de las organizaciones son tan importantes como los mecanismos de control del acceso a la red desde el exterior.

• Reconocer que la seguridad cibernética también tiene un componente físico, ya que los atacantes aprovecharán cualquier punto débil para lanzar su ataque, incluidas las vulnerabilidades físicas.

En casos en el pasado, ciberdelincuentes se han hecho pasar por consultores de una institución financiera, utilizando tarjetas de seguridad falsificadas para ingresar en la sala de los servidores y robar los datos directamente de la red de las instituciones. En otro caso, los delincuentes se limitaron a robar todos los estantes de los servidores.

• Tener en cuenta las posibles repercusiones de los incidentes de ciberseguridad. Pensar en las posibles consecuencias que la filtración o la violación de datos pueden ocasionar, ya que la detección o la interrupción del software malicioso o de otros ataques puede ayudar a que las organizaciones determinen la solidez de sus programas de seguridad de datos. Por ejemplo, las empresas de software pueden perder millones de dólares si se descubre y se hace público el código fuente de sus aplicaciones.

Las mejores prácticas para asegurar los sistemas y los datos de las organizaciones se pueden agrupar en dos grandes categorías: las que se centran en las políticas y en los mecanismos de control organizacionales, y las que se centran en la capacitación y en los procedimientos de los empleados individuales.

Las mejores prácticas que se centran en el ser humano comienzan con la capacitación y la conciencia de todos los empleados.

La capacitación se debe enfocar en ayudar a los empleados a modificar su comportamiento para reducir el riesgo cibernético. Los empleados deben ser conscientes de las amenazas cibernéticas a las que se enfrentan y entender cómo sus acciones diarias en el trabajo, como por ejemplo abrir los archivos adjuntos de los correos electrónicos, pueden aumentar o disminuir su vulnerabilidad a los ataques.

En la medida de lo posible, las organizaciones deberían ampliar su capacitación y conciencia sobre las amenazas cibernéticas a sus clientes.

Por ejemplo, si las instituciones experimentan incrementos en las incidencias de ataques de correos electrónicos empresariales (BEC o ataque del CEO) que afecten a sus cuentas de clientes, podrían enviar alertas a los clientes para advertirles de la tendencia al fraude y enseñarles lo que deben buscar.

No es condición sine qua non que los profesionales de la lucha contra los delitos financieros tengan conocimientos especializados sobre la seguridad de las redes en la mayoría de las circunstancias. Sin embargo, será muy  útil que tengan cierto nivel de conocimiento sobre los aspectos más técnicos de la ciberseguridad en relación con el cumplimiento, las investigaciones y la aplicación de la ley ya que solo es una cuestión de tiempo antes de que sus organizaciones se vean afectada por algún tipo de crimen cibernético.