AXA XL usa dos tipos de cookies

  1. para permitir el funcionamiento de esta página y para mantener las preferencias que usted establezca; y
  2. para que los datos analíticos contribuyan a que la página sea más relevante y fácil de usar.

Estas cookies no recogen ningún tipo de información personal. Por favor, para más información sobre el uso de cookies haga clic aquí. Para cumplir las leyes de privacidad de la UE, debe aceptar nuestro uso de cookies.

Al utilizar esta página, usted acepta que podamos colocar estos tipos de cookies en su dispositivo. Si decide cambiar su configuración de cookies, este mensaje aparecerá de nuevo la próxima vez que visite la página web.

Fast Fast Forward

El Ingeniero Social Nuevo Delincuente Digital

Por

Una factura llega por la misma cantidad todos los meses. Solo que este mes, el administrador de su cuenta de la empresa recibe la factura junto con una nota del proveedor que describe los nuevos procedimientos de pago. El administrador de cuenta paga la factura a la nueva cuenta bancaria del proveedor.

Un mes después, el proveedor envía un aviso de pago retrasado. El motivo: el pago nunca fue recibido. Luego de hacer una llamada telefónica, su administrador de cuenta se entera de que el pago de $10,000 se desvió a la cuenta bancaria de un ladrón.

Ese es el tipo de fraude digital actual de “ingeniería social” o “social engineering” como se le conoce en inglés. A medida que las empresas y los departamentos de TI se vuelven más sofisticados para reconocer las estafas, los ladrones mejoran más sus métodos. Cada vez más, también emplean tácticas de ingeniería social para atacar a sus posibles víctimas. Se estima que el 43 % de las violaciones documentadas en 2017 se atribuyeron a alguna forma de ataque de ingeniería social. Dado que se espera que el 75 % de la población mundial proyectada sean usuarios de Internet para el año 2021, los hackers tienen una gran oportunidad.

Tal oportunidad tiene un costo considerable para los negocios, se estima que para el 2021 el costo de los daños de la ciberdelincuencia será de $6 billones de dólares anuales. El costo de una infiltración financiera en el 2017 ya se promedió entre $1.1 y 3.8 millones.

A la hora de atacar un negocio, los ladrones no discriminan. Ninguna industria es inmune, y si bien el tipo de ataque varía, la mayoría de las industrias son atacadas con el mismo fervor. Los bancos, las organizaciones de atención médica, las empresas de software, incluso los gobiernos locales han sido blancos. El objetivo es el mismo: obtener acceso a sistemas o información de la empresa para obtener ganancias financieras.


El imitador

Los estafadores de ingeniería social utilizan varios métodos. En el pasado los ataques de phishing (suplantación de identidad) utilizaban una dirección de correo electrónico aleatoria, pero los ladrones de hoy están encontrando formas de acceder a los sistemas de correo electrónico y enviar solicitudes desde dichos sistemas. Para el destinatario, estas solicitudes parecen legítimas, y hay poca evidencia aparente para identificar que se trata de un fraude. Desde el lado del remitente, los usuarios rara vez se dan cuenta de que está ocurriendo algo inusual, una vez que se encuentran en el sistema de correo electrónico, los ladrones pueden implementar instrucciones dentro de la bandeja de entrada de un usuario individual que redirige los correos de respuesta.

Una vez en la cuenta de un usuario de correo electrónico, los ladrones cibernéticos pueden copiar y falsificar plantillas de facturas, y redirigir los fondos de los proveedores a sus propias manos. En un caso, un empleado recibió un aviso falso desde la cuenta de correo electrónico de un proveedor. El proveedor explicaba que la empresa había cambiado y ahora necesitaba que los pagos se depositaran automáticamente en una cuenta bancaria diferente. La factura que acompañaba a la solicitud era idéntica a la factura que se recibía normalmente, por lo que la transferencia bancaria por $ 500,000 se realizó sin sospecha alguna.

Sin embargo, no todos los ladrones procuran obtener pagos cuantiosos. Si bien los ladrones pueden redirigir pagos copiosos, a menudo los ciber-delincuentes persiguen sumas de dinero en pequeños incrementos, generalmente menores a $ 1,000 para no requerir una autorización especial. Una factura fraudulenta enviada al departamento de contabilidad de un usuario por $ 900, sin el conocimiento del usuario, puede pasar desapercibida por el equipo de contabilidad.

Si bien la cantidad parece insignificante, si se multiplica por 100 empresas, el monto total es significativo. Estas estafas de facturación que pasan desapercibidas brindan a los ladrones sumas considerables. Las facturas de servicios públicos, en particular, tienden a ser el blanco de los ciber-delincuentes porque los cargos recurrentes mensuales rara vez se sospechan como intentos de falsificación.

Estrategias de prevención
Si bien los ladrones cibernéticos son cada vez más sofisticados en sus tácticas de ingeniería social, las empresas están comenzando a incursionar en la creación de barreras para los ladrones. Algunos de los procesos de prevención implementados incluyen:

  • Procesos de verificación: un proceso que involucra a múltiples personas y varios pasos para confirmar cualquier cambio o modificación en los pagos o facturas puede frustrar los intentos de redirigir los pagos. Las empresas pueden designar a una persona de contacto tanto del proveedor como del usuario, así como a alguien dentro de la institución financiera que normalmente realice las transferencias electrónicas. Sin embargo, los ladrones cibernéticos se están volviendo expertos en falsificar incluso el proceso de verificación. El proceso de verificación de una empresa incluía una llamada del banco para verificar que la información solicitada provenía de ellos, los ladrones, haciéndose pasar por funcionarios del banco, llamaban a la empresa.
  • Conocimiento del sistema bancario: entender cómo funciona el sistema antifraude de su banco. La mayoría de las instituciones financieras tienen sus propios procesos para frustrar el delito cibernético. Instruya a los empleados sobre cuáles son esos procesos y cómo identificar anomalías.
  • Alertas contra phishing en los sistemas de correo electrónico: un complemento de correo electrónico que permite informar fácilmente sobre correos electrónicos sospechosos. El departamento de TI puede analizar el correo electrónico, disminuyendo el riesgo de responder a un correo electrónico falso.
  • Los empleados deben estar capacitados sobre lo que deben buscar: errores gramaticales u ortográficos, información faltante o incorrecta, pequeños cambios en las plantillas de factura, direcciones de correo electrónico incorrectas asociadas con el nombre de usuario o diferencias en el idioma utilizado o en la firma del usuario. Particularmente dentro del departamento de contabilidad, se debe instruir a los empleados a ser más escépticos con las personas que llaman. Debe existir un proceso de verificación para que todos los proveedores y los bancos tengan la seguridad de que la persona que llama es legítima.
  • Intervención rápida: cómo responder cuando hay una infiltración. Ante cualquier tipo de incidente cibernético sospechoso, los empleados deben saber a quién involucrar y cuándo. Si un empleado ha sido víctima de un intento de infiltración financiera, cuanto antes lo informe, mejor. Tenga un proceso de respuesta en caso de infiltración para informar y responder que incluya llamar a TI y alertar a las instituciones financieras.

Ventajas y desventajas de la cobertura
Desde el punto de vista de la cobertura, la ingeniería social está causando su propio conjunto de problemas. La mayoría de las pólizas cibernéticas cubren los detalles de: investigaciones forenses, abogados de privacidad de datos y cualquier investigación relacionada requerida por la ley. Lo que no cubren: la pérdida monetaria.

Sin una póliza contra crimen, la mayoría de las empresas no podrían recuperar la pérdida financiera. El detonante de una póliza contra crimen varía según el lenguaje de dicha póliza, pero en general se puede cubrir la pérdida financiera de la ingeniería social. Sin embargo, sin ambas pólizas, o sin una póliza que conlleve endosos ante la ciberdelincuencia, las empresas podrían no quedar sin ningún recurso para recuperar los fondos robados.

Algunas aseguradoras están respondiendo a las carencias de las coberturas con endosos que cubren una cierta cantidad de los fondos transferidos ilegalmente. Sin embargo, calificar para tales endosos puede ser difícil. Es posible que los clientes tengan que demostrar que solicitaron su proceso de verificación para recibir el pago. A menudo, incluso con el endoso, si el asegurado no realizó el proceso de verificación o no puede probarlo, la cobertura no se activará. Además, podría ocurrir que los desencadenantes de la cobertura aplicaran únicamente a los empleados autorizados para tomar decisiones de transferencia de dinero o valores y no a todos los empleados.

Al buscar la protección de un seguro contra robo por ingeniería social, asegúrese de que cualquier póliza o endoso cubra la pérdida de ingresos comerciales, gastos adicionales, gastos de recuperación de datos, gastos de extorsión cibernética, respuesta a violaciones de datos y costos de gestión de crisis, así como pérdida por fraude financiero causado por ingeniería social.

A medida que aumentan los robos sofisticados de ingeniería social, las empresas deben advertir que sus propias prácticas podrían hacerlos vulnerables ante los ataques. Saber cómo los ladrones cibernéticos están violando los sistemas es el primer paso. Luego, las empresas deben establecer procesos robustos de verificación, instruir a los empleados sobre dichos procesos y gestionar activamente la prevención de los intentos de ingeniería social. A medida que los ladrones se vuelven más sofisticados en sus ataques, tener la cobertura adecuada y los procedimientos adecuados puede ayudar a reducir el riesgo de pérdida.


Acerca del autor. . .
Perla Alvarez es una especialista en reclamos en el área de Cyber y Tecnología del equipo de seguros de XL Catlin. Puede ser contactada por correo electrónico escribiendo a perla.alvarez@xlcatlin.com o al 1 212 915 6826.

© 2018 AXA SA or its affiliates
AXA XL is the P&C and specialty risk division of AXA.