Se recomienda adiestrar empleados, utilizar emails encriptados y la doble autenticación para evitar los ciberataques

por el Lcdo. Arturo V. Bauermeister, CIPP/US.* 

Los recientes ataques cibernéticos a ciertas agencias gubernamentales podrían servir para reflexionar sobre cómo protegemos nuestra información digital y la de nuestros clientes. Y es que los incidentes reportados de ataques cibernéticos a despachos legales ya son lo suficientemente sofisticados y frecuentes como para ignorar los riesgos de cruzarnos de brazos.

Como ya es noticia, y aunque los hechos no están claros y continúan bajo investigación, todo apunta a que la Compañía de Fomento Industrial (PRIDCO) fue víctima de un whaling attack. El asunto comenzó con un hackeo a la cuenta de un usuario de la Administración de Sistemas de Retiro. El hacker aparentemente obtuvo información para acceder a las cuentas de otras agencias o instrumentalidades gubernamentales, como la Compañía de Turismo, que también sufrió un whaling attack.

¿Aún no estás suscrito a Microjuris? Házlo aquí. ¿Necesitas cumplir con tus créditos de Educación Jurídica Continua? Házlo en nuestra sección de cursos en línea.

En este tema, es menester definir cuatro términos. Primero, el phishing es un email enviado en masa, que suele filtrarse al junk folder, y cuyo contenido es uno genérico y que invita a la potencial víctima a proveer cierta información o acceder a un enlace con contenido maligno. Segundo, el spear phishing es un intento maliciosamente concertado de hacerse pasar por una persona o entidad (bona fide y confiable) para engañar—casi siempre a través de emails—a una víctima en particular para que divulgue información confidencial o envíe dinero. Tercero, un whaling attack es un tipo de spear phishing que se diferencia en que la víctima es un oficial de alto rango en una entidad, usualmente con la autoridad para y el conocimiento de autorizar pagos o proveer información confidencial. No es de extrañar, entonces, que los principales oficiales financieros tengan más riesgo de ser seleccionados como víctimas de whaling attack. Estos ataques suelen ser muy sofisticados al nivel de que algunos de estos piratas cibernéticos hasta compran nombres de dominios muy parecidos a los que quieren fraudulentamente personificar. Finalmente, un hackeo es la acción de entrar de forma abrupta y sin permiso a un sistema. Pero un hackeo también puede ser producto de phishing: si en un intento de phishing se accede a un enlace que contenga un programa maligno que infecte la computadora del usuario, se podría decir que el hackeo fue producto de un phishing. 

En el caso de PRIDCO, no parece que ocurrió un hackeo—como el que se perpetró en contra de la Administración de Sistemas de Retiro—porque el pirata cibernético no logró obtener información personal confidencial o acceder a los sistemas de informática de PRIDCO. Pero hace unos años unos hackers secuestraron los sistemas del Departamento de Hacienda y exigieron dinero como recompensa para desbloquearlo (lo que se conoce como ransomware). En fin, los ataques a la Compañía de Turismo y a PRIDCO son ejemplos de whaling attacks, ya que las víctimas fueron altos ejecutivos de dichas entidades.

Lo interesante del caso es que la información obtenida en el hackeo de la Administración de Sistemas de Retiro aparentemente proveyó los datos necesarios para identificar, contactar, y engañar a distintos funcionarios—con la autoridad de transferir fondos. En el caso de PRIDCO —la agencia que transfirió la cuantía mayor de dinero— el ladrón cibernético aparentemente logró confeccionar correspondencias tan sofisticadas que engañaron hasta el mismo director de finanzas de PRIDCO, quien aparentemente aprobó una transferencia de pago millonaria tras ser engañado por la correspondencia maliciosa. Se dice que el impostor, quien se hizo pasar por otro funcionario gubernamental autorizado, falsificó cartas con el timbrado oficial de las agencias para redirigir ciertos pagos a una nueva cuenta presumiblemente controlada por el impostor. Partiendo de la premisa de que no hubo un empleado de la agencia envuelto en este esquema, todo apunta a que el hackeo a la Administración de Sistemas de Retiro le rindió dividendos al hacker: Éste logró usar información producto del hackeo para lograr una transacción fraudulenta de dinero a través de un whaling attack. Claro está, existe la posibilidad de que el hacker y la persona que ejecutó el whaling attack sean dos personas distintas. El tiempo dirá. 

Estos acontecimientos subrayan la importancia de reflexionar y recordar que la clase togada no está inmune a estos ataques. O, mejor aún, quizás podrían servir como llamado a implementar al menos cambios simples para robustecer nuestros sistemas y políticas de seguridad y evitar ser víctimas de estos ataques. Por ejemplo, el uso de emails encriptados —cuya funcionalidad Google y otros ya proveen gratuitamente— para transmitir información confidencial o sensitiva (como el número de seguro social) es un cambio positivo de fácil implementación. Es igualmente viable activar la función de la llamada «doble autenticación» de los emails y de los sistemas en los que se archivan información confidencial o sensitiva. Todos hemos recibido emails que, aunque provienen de la dirección de colegas, se tratan de impostores que se han apoderado de sus emails. La doble autenticación minimiza estos incidentes. 

Pero la gran moraleja de estos acontecimientos es la importancia de ejecutar las políticas de privacidad y seguridad mediante el adiestramiento a los empleados. Aquí el gobierno admitió que algunos empleados no siguieron los protocolos para efectuar tan titánica transferencia de dinero. Y no hay debate de que es altamente recomendable que las compañías —y por supuesto el gobierno—adiestren a sus empleados en cómo evitar éstos y otros ataques cibernéticos. La sofisticación de estos criminales cibernéticos lo hace más apremiante.

Confío en que la publicidad que han generado estos ataques cibernéticos sirva para que todos consideremos cómo podemos robustecer nuestros sistemas de seguridad y salvaguardar la privacidad de la información confidencial de nuestros empleados y clientes. 

*El Lcdo. Arturo V. Bauermeister, socio del bufete ECIJA SBGB, es un Certified Information Privacy Professional (CIPP/US) y miembro de la Asociación Internacional de Profesionales de Privacidad. Dedica una porción considerable de su práctica a asesorar a clientes en asuntos complejos de seguridad de la información y privacidad, y funge como oficial de seguridad y privacidad externo de corporaciones.