“Hackers” ya no necesitan vulnerar sistemas de seguridad: Ahora apuntan a trabajadores de los mismos bancos

En Perú desde el año pasado han resonado más los casos de cibercrimenes, aquellos que no solo involucran fraude digital, estafas con inteligencia artificial y otras modalidades para robar dinero de ciudadanos, sino también el filtrado de datos sensibles de clientes de bancos y entidades similares (Véase el caso de Interbank, el de Inkafarma, el evento reciente de supuesto filtrado de información del Banco de la Nacion, etc.).

Si bien algunas entidades no afirma ni niegan que se haya dado este filtrado de datos, y comunica más que no se ha vulnerado la seguridad digital de sus sistemas (esto supone la ruptura de una barrera tecnológica, un “hackeo”, un acceso no autorizado) o que los datos no suponen acceso directos a cuentas en bancos y demases, un informe de Marsh McLennan sugiere que los cibercriminales no dejan este rastro y no sueltan alarmas digitales.

“En los últimos años, las pérdidas por ciberataques basados en el sector retail se han incrementado significativamente a nivel global, principalmente a través del engaño a las personas, es decir, ataques de ingeniería social. Esta modalidad no requiere malware sofisticado, ni brechas técnicas, basta con una llamada falsa al área de soporte o un correo que aparenta ser de un superior para abrir la puerta a la violación del sistema”, afirma el la empresa líder global en riesgo, estrategia y personas.

Ochoc de cada diez ciberataques apuntan al factor humano, señala el informe de Marsh McLennan. “Esta forma de operar es cada vez más común en América Latina y ha ayudado a comprometer a grandes compañías de múltiples sectores, aprovechando el error humano con una precisión alarmante”, añade.

Perú no es la excepción. Si bien en el país también tiene que lidiar con la extorsión y trabajadores de bancos que pueden estar coludidos con delincuentes, también en el país se reportan filtrados de datos que, en varias ocasiones no nacen de una vulneración de sistemas de seguridad de las entidades.

“Esta técnica ha sido perfeccionada por grupos cibercriminales altamente sofisticados como Scattered Spider, cuyo accionar ha afectado a importantes empresas del sector retail en Estados Unidos y el Reino Unido. Lo que hace especialmente peligroso a este grupo es su combinación de habilidades técnicas avanzadas, con un alto dominio de la manipulación psicológica”, explica Marsh McLennan.

Si bien se habla del caso extranjero, este sería el modelo para los cibercriminales en Latinoamérica, que operarían con técnicas dirigidas a persuadir a trabajadores y colaboradores de las mismas empresas, para tener acceso a datos internos sin necesidad de vulnerar una barrera tecnológica.

“Scattered Spider ha demostrado una capacidad inusual para suplantar identidades en llamadas a servicios de soporte, accediendo a sistemas críticos sin levantar sospechas, ni activar alertas automáticas. Sus ataques han generado interrupciones operativas prolongadas, pérdidas económicas millonarias y caídas significativas en el valor de las acciones de empresas afectadas, evidenciando su alto nivel de impacto”, añade.

Es así que lo que preocupa es que “ya no se trata de un grupo aislado, sino de diversas bandas criminales en el mundo están adoptando este enfoque, elevando el nivel de exposición para las empresas en América Latina”.

“Lo llamativo es que no se requiere romper barreras tecnológicas; el acceso se obtiene persuadiendo directamente a las personas. Más del 80% de los ciberataques que analizamos en los últimos 3 años en la región, incluyó algún componente de ingeniería social y, en prácticamente todos los casos, los atacantes lograron ingresar sin activar una alerta automatizada o que no fue analizada de manera oportuna. Eso nos dice mucho sobre el tipo de amenaza que enfrentamos”, afirma Edson Villar, Líder Regional de Consultoría en Riesgos Cibernéticos de Marsh McLennan.

Así, frente a este panorama, la respuesta no puede limitarse a invertir en nuevas herramientas tecnológicas. Desde Marsh, se recomienda adoptar una estrategia integral de gestión del riesgo cibernético, que combine prevención, monitoreo y respuesta activa. Esto incluye entrenamientos constantes para todo el personal, protocolos de verificación más estrictos, ejercicios de simulación realista y una cultura organizacional alineada con la seguridad.

• Capacitar regularmente al personal para detectar y reportar ataques de ingeniería social, incluyendo simulaciones de correos y llamadas.
• Implementar un programa de ciberinteligencia para detectar y actuar frente a posibles exposiciones de información.
• Mantener actualizado y probado un plan de respuesta ante ciberincidentes frente a los principales escenarios de ciberataque que puede enfrentar la organización.

“Lo más peligroso de este tipo de ataques es que muchas veces se subestiman. En muchos casos, no hay un software malicioso, ni pantallas negras, en el vector inicial, solo un clic mal dado o una llamada mal respondida. Por eso, las empresas que están mejor preparadas no son necesariamente las que más invierten en tecnología, sino las que entienden que la seguridad empieza en la conducta diaria de sus colaboradores”, alerta Villar