Blog y Anécdotas
Comparto con ustedes Tips y Anécdotas de temas varios.
Ciberseguridad, más que temas técnicos.
Hablemos de situaciones reales.
Artículo creado por: Vielsa Gómez
Para: Blog CiberSnack de TVN
Link de referencia TVN
Cuando escuchamos la palabra ciberseguridad lo más probable es que pensemos en Hackers con abrigos negros sentados frente a un computador, en equipo tecnológicos parecidos a los de la NASA. Este pensamiento depende del ámbito en donde lo escuches, la empresa o en forma individual.
Para conocer un poco más sobre este término y lo que abarca, en este primer post vamos a abordar conceptos técnicos y explicar un caso real.
- ¿Qué es la seguridad de la información? Busca proteger el uso no autorizado de la información, es decir el acceso indebido, la divulgación de información confidencial, la destrucción de datos y la interrupción al acceso de la información. En otras palabras, su enfoque consiste en asegurar la confidencialidad, integridad, disponibilidad y autenticación de los datos, sin importar en dónde se encuentre o guarde la información (información digital, información en papel).
- ¿Qué es la ciberseguridad? Para definir la ciberseguridad utilizaremos la definición de ISACA (Asociación de Auditoría y Control de Sistemas de Información). La ciberseguridad es la protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados.
Las definiciones son muy similares, veamos sus diferencias: la seguridad de la información es la orquesta, el término principal del cual se derivan otras disciplinas, toma en consideración toda la información generada sin excluir su ubicación (física y digital). B, hace referencia a la protección de los activos de información que se encuentran guardados en los sistemas interconectados.
El Teletrabajo tiene muchas ventajas para las empresas y sus colaboradores, sin embargo es necesario estar preparados con políticas y herramientas para que sea efectivo, seguro y eficiente. El coronavirus a creado la necesidad de que muchas empresas que no tenían este esquema como parte de sus beneficios tengan que implementar el trabajo a distancia para evitar contagios. Las emergencias crean oportunidades, ahora las empresas tienen la oportunidad de crear políticas, procedimientos e implementar herramientas para ofrecer este beneficio a sus colaboradores y generar ahorros operativos.
Para que el teletrabajo genere resultados adecuados, es necesario capacitar a su personal en técnicas adecuadas de Teletrabajo, como gestión del tiempo y planificación, la productividad no debe verse afectada por no estar en una oficina. El Teletrabajo es necesario en este momento, pero tome el tiempo de crear políticas aunque sean básicas, crear planes de comunicación y planificar las actividades semanales de su equipo y el seguimiento de las mismas con el fin de garantizar la productividad.
La seguridad de la información y de sus sistemas es importante, recuerde que su equipo de tecnología debe revisar detenidamente los accesos remotos a sus sistemas para garantizar la seguridad de la empresa y sus colaboradores.
Luego de conocer los términos técnicos, vamos a explicar con una situación real que es la Seguridad de la Información.
Son las 01:00 p.m. y mientras Daniel se encontraba en su hora de almuerzo recibe una llamada, no acostumbra contestar mientras almuerza, la llamada era insistente y de un número desconocido, por los primeros dígitos de la llamada supo que el operador de telecomunicaciones de la llamada es el mismo que él utiliza. No logro contestar la llamada, al día siguiente a la misma hora recibe nuevamente la misma llamada, esta vez sí logra contestar, para su sorpresa le informan que le llaman de la empresa que le ofrece su línea telefónica y le indican que fue acreedor a un premio, lo invitan a visitar las redes sociales del proveedor y le explican detalladamente sobre la promoción. Mientras Daniel atiende la llamada accede a la red social del proveedor y descubre para su sorpresa, que sí, existe una promoción como la indicada en la llamada, el agente telefónico continúa ofreciéndole las indicaciones para hacer efectivo su premio, le ofrece el nombre y número telefónico directo de la gerente de la sucursal más cercana a él y un código que debe proporcionar para hacer efectivo su premio, además le informa que le estará enviando a su correo electrónico una serie de documentos que necesita imprima, firme y los entregue en la sucursal, anexando su documento de identidad y otros datos personales. Como Daniel ve la promoción en las redes sociales del proveedor y cree en los datos indicados por el agente, procede a coordinar día y hora para hacer entrega de los datos solicitados y recibir su premio.
Llega el día de recibir el premio, Daniel se acerca a la sucursal y una joven muy amable lo recibe en la entrada de la sucursal con una tablet en mano y un vestuario similar al de los colaboradores de la empresa, le solicita el código y los documentos y le entrega un cheque del premio. A la mañana siguiente, se dirige muy emocionado a depositar el cheque al banco, la cajera llama a su supervisor y le informan a Daniel que necesitan conversar con él en la oficina de la gerente, la gerente del banco le notifica que el cheque es falso y que han estado recibiendo personas con el mismo cheque durante los últimos 2 meses, le recomiendan interponer una denuncia si proporcionó algún tipo de información.
Él procede a llamar a su empresa de telefonía celular y le informan que sí existe la campaña de premios, pero que él no ha sido acreedor a ningún premio, además que no solicitan la información indicada. La siguiente acción a realizar por Daniel es anteponer la denuncia, pues sus datos pueden ser utilizados de forma fraudulenta, causando diversas consecuencias.
Esta es una de las tantas técnicas que utilizan los ciberdelincuentes para obtener información que puedan utilizar para sus estafas. En este caso se hizo uso de una llamada telefónica en el que por medio de la manipulación lograron que el afectado realizará la acción de entregar copias de documentos e información confidencial. Este tipo de ataque cibernético se llama “Ingeniería Social”, esta técnica hace referencia en que las personas son los sistemas que más fácilmente pueden ser vulnerados, gracias a las emociones. Un cibercriminal que utiliza la ingeniería social, crea historias que juegan con las emociones de los individuos.
Cómo vemos en este caso el delincuente logró obtener documentos físicos. No todos los ciberataques buscan obtener información digital, por esto es importante estar atentos y comprender el ámbito de la seguridad de la información que abarca la ciberseguridad.