Mónica Krześniak-Sajewicz, Interia: ¿Cómo están cambiando las amenazas relacionadas con la ciberdelincuencia, los métodos de ataque y los objetivos de estos ataques en comparación con hace tres o cinco años?
Małgorzata Domagała, Vicepresidenta, Directora de Productos y Soluciones de Mastercard para Polonia, República Checa y Eslovaquia: – El cambio es significativo. Hace algunos años, el principal objetivo de los ataques era la infraestructura: ordenadores, servidores, redes, y los usuarios se centraban principalmente en asegurar la capa técnica. Actualmente, predominan los ataques basados en la manipulación, o ingeniería social. Esto afecta tanto a empresas como a usuarios individuales. Los mecanismos son idénticos: provocar emociones fuertes, presión y una sensación de urgencia para que la víctima actúe de forma impulsiva, no racional. Vemos cada vez más escenarios que construyen un riesgo aparente para incitar a tomar una decisión rápida.
¿En qué áreas son más visibles estas manipulaciones? ¿Cómo suele verse esto en la práctica?
– Con mayor frecuencia se utilizan situaciones muy probables y que afectan a muchas personas, como mensajes sobre supuestos pagos pendientes de un paquete, falta de pago de la electricidad u otros servicios. También son populares los falsos incentivos de inversión o los comunicados sobre amenazas a los fondos de la cuenta. Un elemento clave es generar prisa y presión. Es importante destacar que la calidad de estos fraudes está aumentando: los mensajes están cada vez mejor redactados y estilizados, incluso cuando son creados por grupos que operan fuera de Europa. La inteligencia artificial permite la producción masiva de este tipo de contenido e intentos. La semana pasada, por ejemplo, se revelaron “granjas” enteras de teléfonos utilizados para realizar cientos de manipulaciones de algoritmos en Internet; en años anteriores, se desmantelaron bandas que utilizaban teléfonos para manipular a los clientes y suplantar identidades robadas. Dado que casi todos los dispositivos están conectados a la red hoy en día, la falta de precaución puede hacer que el ordenador de un usuario sea utilizado como parte de la infraestructura criminal. La inteligencia artificial también apoya la creación de *deepfakes* de voz realistas, que pueden sonar como una persona cercana, por ejemplo, un niño pidiendo una transferencia, ya que una muestra de voz de 3 a 10 segundos es suficiente para crear un *deepfake* básico.
Precisamente, los *deepfakes* también afectan a la imagen y al movimiento facial, y es muy fácil manipular un vídeo falso con una persona o un discurso fabricado utilizando su voz real. ¿Esto afecta a las herramientas de verificación de identidad, especialmente aquellas que tienen un elemento de autorización con el uso de la voz o el rostro?
– Sí, es una carrera armamentista constante. Los ataques se vuelven cada vez más sofisticados, pero al mismo tiempo se desarrollan tecnologías de protección. Los sistemas modernos pueden detectar identidades sintéticas y comportamientos antinaturales característicos de los bots. El ser humano es naturalmente “imperfecto”, y esta irregularidad ayuda a los sistemas a detectar identidades sintéticas, demasiado perfectas. A nivel de acciones cotidianas, es especialmente importante aplicar principios básicos de seguridad: confianza limitada, verificación de la información en la fuente, contactar con un ser querido a través de otro canal si la conversación genera dudas y utilizar una contraseña familiar para confirmar la identidad, pero que no sea fácil de adivinar, es decir, no debería ser, por ejemplo, el nombre de la mascota o la ciudad en la que vivimos.
– Como curiosidad, puedo dar el ejemplo de uno de nuestros colegas de Estados Unidos que trabaja en el área de innovación. Contó la historia de cómo se utilizó su voz grabada durante una conferencia. Estaba resfriado y tenía ronquera. Los delincuentes utilizaron una breve muestra de esta grabación, crearon una voz *deepfake* y llamaron a su madre haciéndose pasar por él.
– Le pidieron que transfiriera dinero, explicando que “había perdido la cartera” y necesitaba fondos. La madre no estaba segura, así que empezó a hacerle una pregunta sobre la contraseña que tenían previamente establecida en la familia: “¿Qué comiste para el almuerzo?”. El *deepfake* no pudo responder: esa interacción no estaba prevista en el guion preparado. El delincuente intentó volver a su historia sobre la falta de dinero y la situación de emergencia, pero no pudo superar la prueba. Después de varios intentos, colgó. Esto demuestra que incluso un *deepfake* muy realista puede “fracasar” con una pregunta sencilla e inesperada que no está en el guion del ataque.
Pasemos a los pagos con tarjeta. ¿Los ciberdelincuentes se centran en usuarios de países específicos? ¿Y cómo es la seguridad de los pagos en línea, especialmente en tiendas extranjeras fuera de la UE?
– En esta área, la normativa europea beneficia a los clientes y protege sus finanzas (siempre y cuando los clientes se preocupen por su identidad y su seguridad). La obligación de la autenticación de dos factores aumenta la seguridad de las transacciones, aunque a veces los clientes individuales lo perciben como engorroso. El sistema bancario polaco es uno de los más seguros de Europa, y las instituciones de pago y los bancos invierten mucho en la educación de los usuarios. Los problemas suelen empezar al comprar en tiendas extranjeras, donde los estándares de seguridad pueden ser variados. Por eso es tan importante la tokenización de los pagos. En este tipo de transacción, no se proporciona el número de la tarjeta, sino un token asignado al dispositivo y a la persona, e incluso a una transacción específica. Incluso si los datos son robados de la tienda, el token es una seguridad que no da al delincuente acceso real a la tarjeta. Soluciones como Click to Pay y las carteras Apple Pay o Google Pay funcionan de esta manera, en las que cada combinación tarjeta-cartera (o tarjeta-dispositivo) tiene un token separado.
¿Y qué puede hacer un usuario para proteger su tarjeta, tanto física como contra el robo de datos?
– Es importante establecer límites de transacción para diferentes tipos de operaciones: en línea, físicas y retiros de cajeros automáticos. En los bancos polacos, se pueden cambiar inmediatamente, por lo que es fácil, por ejemplo, desactivar los retiros de cajeros automáticos y activarlos solo según sea necesario. Una buena solución es tener una tarjeta separada para compras en línea, con límites bajos y variables. Es importante evitar introducir los datos de la tarjeta en tiendas en las que no confiamos y utilizar billeteras digitales como Click to Pay. Cada vez más teléfonos y ordenadores también permiten enmascarar la dirección de correo electrónico al crear cuentas en tiendas, lo que es una protección adicional. También son clave las contraseñas seguras y únicas, así como el uso de gestores de contraseñas, ya que los delincuentes suelen aprovechar la repetitividad de las contraseñas.
¿Se puede dar una idea de la magnitud del fenómeno? ¿Con qué frecuencia se producen ciberataques?
– En promedio, cada 39 segundos se produce un ciberataque en el mundo, tanto a empresas como a usuarios individuales. Las grandes organizaciones son atacadas aún con mayor frecuencia. Se estima que el valor global de las pérdidas derivadas de la ciberdelincuencia asciende a unos 10,5 billones de dólares al año, lo que la sitúa en la tercera economía más grande del mundo. Es importante destacar que los delincuentes siguen utilizando con gusto métodos de manipulación sencillos, ya que son fáciles de escalar. La manipulación del usuario a menudo permite eludir todas las protecciones técnicas. Por lo tanto, a menudo el eslabón más débil en la lucha contra los ciberdelincuentes sigue siendo el ser humano. Sin embargo, como muestran los resultados de nuestra encuesta, realizada entre expertos responsables de la ciberseguridad en grandes, medianas y pequeñas empresas polacas, el enfoque de la formación de los empleados en las organizaciones es variado y depende en gran medida del tamaño de la empresa. El 64% de las grandes empresas, que también son más conscientes de las amenazas, forman a sus empleados al menos una vez al año. En cambio, en la mitad de las pequeñas organizaciones nunca se ha realizado este tipo de formación. Mientras tanto, como muestran los resultados de nuestra encuesta, ya la mitad (50%) de las grandes empresas y una de cada cuatro pequeñas empresas (25%) han sufrido un ciberataque.
¿Sabemos cuántos de estos intentos tienen éxito? ¿Y desde ese punto de vista, es más rentable para los ciberdelincuentes atacar a empresas o a particulares?
– Los datos estadísticos se refieren a los incidentes denunciados, por lo que la escala real es probablemente mayor, ya que muchas personas no denuncian los fraudes por vergüenza. A veces, alguien es engañado más de una vez. Desde el punto de vista de los delincuentes, lo que cuenta es la masividad y la facilidad del objetivo, por lo que los ataques a los individuos son frecuentes. Las grandes empresas son, por supuesto, atacadas intensamente, pero el usuario medio, menos consciente de las amenazas, sigue siendo un objetivo atractivo.
Entrevistó Mónica Krześniak-Sajewicz
