1) Grooming: en un entorno de pandemia, familias encerradas en sus
hogares, hiperconectados, en donde los niños y adolescentes han estado mas en
línea que en la normalidad (muchas veces sin control por parte de los padres que
debían trabajar conectados y no prestaban atención a las acciones de los
niños/adolescentes), ha provocado que delincuentes pervertidos mayores, se hagan
pasar por menores para engañarlos y tener la posibilidad de obtener fotos de
ellos sin saber que del otro lado había una persona lujuriosa. Se han visto
casos en el uso de Redes Sociales, Video Conferencias en los colegios, Juegos de
computadora y celular (cuando son en equipos y ellos están conectados al mismo
tiempo) entre otros. Sería de agrado que las mismas redes sociales contaran con
procesos de concientización y validación de las personas. Tanto se habla de AI
(Inteligencia Artificial) y no se logra aún bloquear automáticamente a un perfil
de un mayor que se contacta con menores, como en Facebook, Instagram, TikTok y
otras redes.
2) Vishing: han crecido las llamadas a las personas con el fin de
ofrecerle un beneficio monetario y en el camino que las personas que reciben las
llamadas brinden sus datos bancarios. Recién a mitad de año las entidades
financieras empezaron las campañas de protección, pero no siempre llegan a todo
sus clientes y siguen recibiendo llamadas de inescrupulosos estafadores, que al
ingresar a la cuenta del banco, si no tienen dinero le generan un crédito y lo
extraen el dinero. Muchas de estas actividades se observaron con personal que está en
prisión y que llaman usando celulares brindados para que se conecten con sus
familias. ¿No se podría haber brindado un dispositivo y que solo pueda llamar a
un número celular autorizado? ¿No podría agregarse en la llamada un mensaje que
diga que es de una persona detenida al que lo recibe? ¿Tan lejos está la
tecnología para proteger a los ciudadanos?
3) Phishing: creció exponencialmente los casos de phishing con el fin de
engañar a las personas para que accedan a un sitio Web falso y terminen
colocando sus datos bancarios u otra índole. Si bien, varias plataformas
protegen al usuario colocando ese correo en la bandeja de correo no deseado, las
medidas de protección siguen estando lejos. El usuario abre el correo, y en el
90% de los casos termina accediendo al sitio Web al menos para ver de que se
trata. ¿Por que sigue estando en línea el sitio? De nuevo, hablamos todo el
tiempo en tecnología de AI, cuando empezaremos a proteger mas proactivamente a
los usuarios, ya que las conductas de las personas hay que trabajarlas, la
concientización lleva tiempo y no llega siempre a tiempo a todos.
4) Ransomware: este año, como en el 2016 con el malware WannaCry, hubo un
cambio de paradigma. Ahora los ciberdelincuentes no solo atacan a compañías, sino
que además roban la información y la cifran. El pago de rescate de la misma es
para que el dueño del dato pueda accederla nuevamente (que esto se resuelve
rápido si tiene backups diarios y según lo que requiera los procesos de
negocio), pero también para que no publique su contenido en la DeepWeb. ¿Qué
tanto podemos confiar en un delincuente al pagar?¿Cómo sabemos si dentro de 30
días no nos vuelve a contactar otra vez para amenazarnos de su publicación? Este
año compañías grandes, medianas y pequeñas han sido víctimas de este tipo de
comportamiento que exponen los datos o bien dejan muestras de las
vulnerabilidades de la empresa, como pasó con Garmin (como para dar un ejemplo) que estuvo un par de días
fuera de línea. ¿Las organizaciones, ya sean publicas y privadas, cuando van a
tomar en serio los aspectos de Seguridad de la Información? No solo que son
expuestas por problemas de seguridad, si no que en muchos casos, contienen datos
de personas y estos logran ser expuestas por un ciberdelincuente.
5) Ingenieria Social: este año, el engaño ha sido el vector de casi todas
las amenazas, en donde el mundo hiperconectado ha confiado en la tecnología y en
muchos casos los ciberdelincuentes han logrados sus objetivos. Si uno usa las
diferentes plataformas que hoy viven en Internet, aproximadamente el 10%
contiene recomendaciones y cuidados de uso (sobre todo las entidades financieras
-recién en los últimos meses empezaron a ser mas frecuente-) provocando que
muchos usuarios, que desconocen de estas amenazas, sean víctimas. Así como
cuando recorremos una ruta, tenemos carteles que nos indican paso nivel, cruce
peligroso, animales sueltos, etc, ¿no es posible colocar carteles o alertas en
ciertos ámbitos? Un formulario que pide nuestros datos, no puede llevar una
leyenda, "Verifique que somos la entidad Bancaria ACME, No ingrese estos datos
en otro formulario", "Uds ha ingresado a Facebook, asegúrese de que todos sus
contactos sean perfiles válidos", etc.
6) Aplicaciones inseguras: con la pandemia, organizaciones publicaron
rápidamente sitios Web, carritos de compra, aplicaciones móviles con fallos de
seguridad, con el fin de estar cerca del usuario, pero sin validar aspectos de
Seguridad de la Información. Era necesario, pero hacer las cosas bien y mal
llevan el mismo tiempo, y un control de seguridad puede estar en el desarrollo a
medida que el mismo se lleva a cabo.
Se habla mucho de la Seguridad de la Información, pero este año hemos visto de todo,
y se hace muy poco en realidad, sobre todo desde los que publican servicios y plataformas.
Este año, pandemia de por medio, la Seguridad de la Información tiene varias materias pendientes,
sobre todo en ser exigido en el uso de las tecnologías, no alcanza solo el Plug
& Play o el Bring your own device (trae tu propio dispositivo), debería incluir
"Security of the required application" (Tu aplicación requiere Seguridad).
Y seguramente podríamos hablar de otras cosas que han sucedido, y el año aún no termina de sorprendernos....
Hoy es un día más para muchos, pero debemos empezar a cuidar nuestros datos, accesos
y nuestra información.
Feliz día para aquellos que luchan por la Seguridad de la Información día a día.
Hasta la próxima.