¿Cómo trabajar de manera segura desde casa?

La asistente del director general, quien desde que inició la pandemia está trabajando desde casa, recibe un correo electrónico que parece provenir de la cuenta de su jefe, tiene un estilo de redacción semejante al de su jefe y el mensaje le da la instrucción de disparar una transferencia. Una situación totalmente normal, salvo que al final el dinero no llegó a donde se esperaba, sino a las cuentas de cibercriminales.

¡Esta historia puede ser la tuya, la mía, la de nosotros si no prevenimos y tomamos acciones! Y sí, puede sonar como una historia de película, pero esto sucede casi todos los días, y sí en México también ha ocurrido.

Y para muestra un botón, la Unidad de Inteligencia Financiera (UIF) descubrió en 2020 una red criminal liderada por nigerianos, sí, leíste bien, ¡nigerianos involucrados entre otros delitos en el fraude y narcomenudeo! quienes amenazaban a mexicanos de escasos recursos y les obligaban a realizar depósitos. Se habló de cantidades millonarias. Estas personas utilizaban diferentes técnicas para hackear cuentas.

Estos son solo unos ejemplos de la realidad a la que nos enfrentamos. Si en una oficina, donde suponemos contamos con los controles de seguridad mínimos existen riesgos, imaginemos ahora que trasladamos la oficina a nuestro hogar en un ambiente donde el trabajo remoto incluye medidas más austeras, en el mejor de los casos.

¿Por qué es importante la ciberseguridad cuando trabajamos de manera remota?

Puede ser obvio para algunos, pero la importancia de implementar medidas de seguridad cuando estamos trabajando desde casa es fundamental, no solo porque si caemos en la trampa de algún ciberdelincuente existirá seguramente un impacto en nuestro trabajo, sino porque estas acciones también pueden acarrearnos problemas en nuestra esfera familiar, por ello debemos prevenir.

Si bien la mayoría de personas que trabajan desde sus hogares utilizan tecnologías de acceso remoto que les proporciona su organización, es imperativo que mantengan buenos hábitos de higiene digital y sigan normas y mejores prácticas con el fin de minimizar riesgos.

En un escenario habitual de teletrabajo nos encontramos con el hogar del trabajador como su punto de interconexión con la organización, donde existen dispositivos de comunicación que no son de su propiedad y que además se desarrollan y comercializan para uso doméstico, lo cual se traduce en un reto importante para su seguridad. Algunas de las principales amenazas para estos esquemas incluyen explotar las vulnerabilidades de estos dispositivos y engañar a los usuarios para robar sus credenciales o infectarlos con malware.

Por otro lado, -y por supuesto no es novedad- pero es importante reiterar que la pandemia ha impactado todos los ámbitos de nuestras vidas, pero no ha frenado al cibercrimen, el cual se ha aprovechado en más de una forma de esta situación, de manera que “bombardean” a teletrabajadores con malware además de buscar engañarlos a través de diferentes técnicas de ingeniería social, principalmente a través de vehículos como el phishing y una modalidad peculiar que se le denomina “email corporativo comprometido” o “BEC”.

¿Qué riesgos existen?

Por supuesto existen muchos riesgos y estos no son los únicos, y de hecho hemos ya compartido de algunos de ellos, pero es importante tenerlos presentes:

  • Pérdida o robo de equipos, es mucho más fácil que se roben los equipos de cómputo en nuestro hogar que en nuestra oficina, y por lo tanto la información ahí almacenada.
  • Ataques de man-in-the-middle (MITM) los cuales permiten que la información que se transmite pueda ser interceptada e incluso modificada de forma clandestina.
  • Infección de dispositivos con malware con todo lo que ello implica dadas las variantes.
  • Secuestro de información o ransomware.

Y en este post particularmente, queremos hacer énfasis en los ataques tipo BEC, esa amenaza que acecha constantemente a las personas que trabajamos desde casa.

Un poquito de contexto

  • Statista señala que a finales de febrero de 2020 se registraron los primeros casos de coronavirus (COVID-19) en México y que, según fuentes oficiales, el 30 de julio de ese mismo año la cifra ya había superado los 408,000 casos. Como resultado de dicho brote y según una encuesta llevada a cabo en el país en junio de 2020, casi tres cuartas parte de los entrevistados en línea (un 72%) trabajaron en casa en algún momento durante los tres meses previos al sondeo. Únicamente un 27% de los encuestados no mudaron su oficina a su hogar durante el periodo de confinamiento. Esta situación por supuesto que también abrió los ojos a muchas organizaciones en el sentido de los ahorros que pueden tener y han mantenido la mayoría de sus colaboradores en estos esquemas de trabajo remoto.
  • Las detecciones de estos ataques tipo BEC se han venido incrementando año con año, y particularmente desde que llevamos el trabajo a casa y de que los estafadores consideran que los teletrabajadores están más expuestos a ingeniería social.
  • El ransomware, del cual ya hemos compartido en otras entradas, también se ha incrementado en los últimos años, sobre todo con nuevas variantes y modalidades de extorsión.
  • El FBI emitió su informe anual Internet Crime Report que en el último año se ha detectado una evolución significativa de los casos de Business Email Compromise (BEC) y de Email Account Compromise (EAC). Los destinos de las transferencias fraudulentas suelen ser bancos asiáticos, principalmente en China y Hong Kong , pero Inglaterra, Turquía ¡y México! también están siendo identificados como nuevos destinos para esas transacciones.
  • Microsoft reportó que en 2020 las estafas de soporte técnico de sus clientes en Latinoamérica reportaban llamadas telefónicas no solicitadas y mensajes de computadoras de estafadores que se hacían pasar por la empresa. Tan solo en Colombia, Brasil y México estuvieron entre los 20 principales países a nivel mundial que reportaron quejas de estafa de soporte técnico de la empresas. Y este es solo un ejemplo que nos encontramos comúnmente en cualquier organización ¿A ti no te ha sucedido? Aquí una referencia que te puede ser de ayuda específicamente para este caso.

¿Pero… qué es eso del BEC?

Este tipo de ataque se caracteriza porque en primer instancia los ciberdelincuentes buscan tomar control de cuentas de directivos o de personas que tienen la facultad de autorizar transacciones financieras, con el fin de re-direccionar el dinero de esas operaciones a sus arcas.

A diferencia de los correos de phishing donde se busca engañar a los usuarios con un contexto diferente, por ejemplo el típico correo electrónico de «paga tus impuestos porque soy el SAT», o «introduce tu contraseña porque soy tu banco y necesito verificar que no tengas problemas de seguridad», en los ataques tipo BEC los correos electrónicos son dirigidos y diseñados con mensajes personalizados premeditadamente para que la víctima caiga en la trampa. Esto supone que hay un análisis previo del cibercriminal al respecto de cómo trabaja la organización, si cuenta con esquemas de trabajo remoto o cuáles empleados trabajan de forma remota y serán un objetivo más sencillo de alcanzar por la ausencia de controles, por ejemplo. Por ello, estos ataques tienen altas posibilidades de tener éxito.

¿Cómo hacen todo esto?

El mecanismo puede ser no tan complejo para un ciberatacante, ya que se hace de un arsenal de malware y usa diferentes técnicas que le ayudarán a pasar desapercibido, y así evadir los controles de seguridad de la organización y finalmente robar las preciadas credenciales de correo electrónico de sus objetivos. Hay incluso algunos cibercriminales que hacen uso de inteligencia artificial para analizar el comportamiento y los hábitos de una persona, por ejemplo sus horarios de conexión, sus horarios de mayor actividad en el uso del correo electrónico o estilos de redacción de la víctima, de manera que los mensajes logran ser aún mas convincentes. Hay incluso grupos de «chicos malos» más organizados que tiene la capacidad de desarrollar herramientas para automatizar campañas masivas de spear-phishing, personalizando los correos electrónicos con el resultado de su análisis predictivo, de manera que su modelo es escalable y con un gran retorno de su inversión ya que logran alcanzar a muchísimas víctimas fácilmente.

Lo que asusta -y mucho-, es que la inteligencia artificial ya está siendo utilizada para falsificar vídeos y audios de directivos para realizar fraudes. Imagina que recibes una llamada que parece ser de tu jefe, y que te da una instrucción y después de ejecutarla te das cuenta de que fuiste engañado por un software que suplantó su voz, o que estuvieras en una videollamada conversando con quien crees que es él, pero realmente quien te da la instrucción es otra persona que simplemente se aprovecha de la magia del Deep Fake. Es un hecho, en lugar de recibir correos electrónicos, en el corto plazo, el grueso de ciberataques de este tipo estarán caracterizados por llamadas telefónicas o videollamadas.

Deep-fake que muestra a la estrella de fútbol David Beckham hablando con fluidez en nueve idiomas, solo uno de los cuales realmente habla, es una versión del código desarrollado en el Technical Universidad de Munich, en Alemania.

¿Puedo ser un objetivo o solo los altos directivos?

En primera instancia, el tradicional BEC puede intentar engañarte a través de la suplantación de identidad de tu jefe si tú puedes ejecutar una operación, sin embargo recientemente los delincuentes han estado buscando objetivos al alcance de la mano y las víctimas tienden a contar con correos electrónicos fáciles de buscar o de adivinar.

¡Entonces, todos debemos estar atentos!

Recomendaciones para teletrabajadores

Estas recomendaciones no son exclusivas para prevenir BEC y además nos ayudarán a protegernos de otras amenazas. Es importante subrayar que, aunque no nos encontremos en la oficina, siempre debemos velar por la seguridad y privacidad de los datos que estamos gestionando cuando realizamos nuestro trabajo.

Para emplear algunas de estas recomendaciones puedes apoyarte del personal técnico de tu organización o de tu proveedor de servicios de internet. Si requieres apoyo adicional, contáctanos y con todo gusto te echamos una mano.

  1. Configuración de los dispositivos de conexión a Internet:
    • Habilita el protocolo de seguridad WiFi WPA3, o si no está disponible habilita WPA2.
    • Configura una red de invitados que permita separar entre dispositivos confiables y no confiables.
    • Si están disponibles, habilita módulos de firewall y filtrado de contenido. Debes restringir el acceso a la red interna para dispositivos externos no autorizados.
    • Modifica contraseñas administrativas incluidas en la configuración de fábrica a algo único.
    • Modifica el nombre predeterminado de tu red WiFi.
    • Evita difundir el nombre de tu red WiFi.
    • Inhabilita puertos y servicios de red que no sean necesarios para tus actividades laborales.
  2. Configuración de equipos de trabajo:
    • Utiliza contraseñas seguras, así como llaveros de contraseñas para gestionarlas.
    • Habilita el bloqueo de sesión.
    • Asegúrate de que los equipos que utilizas para tus labores, incluyendo dispositivos móviles, cuenten con una protección contra malware.
    • El sistema operativo y las aplicaciones deben mantenerse al día con las actualizaciones de seguridad.
    • Solo utiliza software oficial y licenciado.
    • Evita instalar aplicaciones que requieran permisos que puedan poner en riesgo la información sensible, así como el uso de dispositivos móviles a los que se ha realizado “jailbreak”.
    • Cifra las unidades de disco de los equipos de cómputo y dispositivos móviles donde se almacene información de la organización.
    • Respalda periódicamente.
  3. Métodos de conexión:
    • Accede de manera remota a los recursos y sistemas de información de tu organización a través de VPN o escritorios virtualizados.
    • Habilita el doble factor de autenticación.
  4. Servicios de videoconferencia
    • Utiliza las aplicaciones definidas para este fin en la organización, que se mantengan actualizadas y que se controlen los accesos a las reuniones con contraseñas.
    • Establece salas de espera para verificar la identidad de cada participante invitado, y compartir los enlaces de acceso únicamente con personal de confianza y estrictamente necesario.
    • Cuidar tu privacidad cuando te conectes en una videoconferencia y mantén un comportamiento adecuado al utilizar la cámara y el micrófono. Si requieres grabar una sesión, notifica previamente a todos los participantes.
    • En caso de que se comparta la pantalla no muestres información sensible o confidencial.
  5. Documentos y espacio de trabajo
    • Usa un espacio dedicado exclusivamente para el trabajo que cumpla con las condiciones adecuadas de privacidad.
    • Almacena documentos sensibles bajo condiciones de seguridad físicas y ambientales adecuadas.
    • Si requieres desechar información de forma permanente, emplea un procedimiento irreversible como es la trituración.

¡Éxito!

Provehito in altum
Por: Juan Pablo Carsi