Lucha contra los estafadores en línea
Por Paul Kilby
ARTÍCULO DE CUBIERTA| SEPTIEMBRE/OCTOBRE 2021
El 2 de julio, alrededor de las 2 p.m. EE.UU. Eastern Standard Time a principios de este año, los empleados de la compañía de software Kaseya, con sede en Miami, comenzaron a recibir informes de actividades sospechosas. Terceros, clientes y sistemas de monitoreo de Kaseya estaban notando un “comportamiento extraño” en sus sistemas informáticos. Poco sabían que este era el comienzo de lo que pronto se describiría como el mayor ataque de ransomware registrado.
Como medida de precaución, la compañía cerró rápidamente los servidores que ejecutaban su software de monitoreo y gestión remotos, que vende a proveedores de servicios administrados (MSP). (Según Gartner, un MSP ofrece servicios, como red, aplicación, infraestructura y seguridad, a través de soporte continuo y regular y administración activa en las instalaciones de los clientes, en sus centros de datos o en centros de datos de terceros. Ver “Glosario de Gartner“).
Pero el daño se había hecho. Los ejecutivos de Kaseya pronto se dieron cuenta de que eran las últimas víctimas de una oleada de delitos cibernéticos que se ha extendido por todo el mundo a raíz de la pandemia COVID-19.
Y si bien la brecha solo afectó a unos 50 de los 37.000 clientes de Kaseya en todo el mundo, según Voccola, su alcance fue mucho más amplio. La compañía solicitó rápidamente la ayuda de los EE. UU. La Agencia de Ciberseguridad y Seguridad de la Infraestructura del Departamento de Seguridad Nacional, el FBI e incluso la Casa Blanca. Pero unos días más tarde, los medios informaban que el ransomware que corría a través de la red de Kaseya tal vez se había extendido a alrededor de 1.500 empresas, y los hackers exigían unos llamativos 70 millones de dólares para restaurar todos los sistemas a la salud. .
Entre las víctimas se encontraban una cadena de farmacias, una cadena de gasolineras, el ferrocarril estatal y la emisora pública SVT, todas en Suecia, así como empresas de servicios de TI en Alemania y los Países Bajos. El ciberataque también derribó cajas registradoras y máquinas de autoservicio de salida en la cadena de supermercados sueca Coop, obligándola a cerrar más de la mitad de sus 800 tiendas. Incluso cerró los servicios de Internet de un pueblo de Maryland
El ataque Kaseya puede haber sido excepcional en su alcance y la cantidad de rescate exigido, pero no fue un suceso fuera de lo común. Desde el estallido de la pandemia COVID-19 a principios del año pasado, el mundo ha visto aumentos en el cibercrimen y el ciberfraude a medida que el cambio al trabajo a distancia permite mejor estos delitos.
“Todos tenemos que dar un paso atrás y darnos cuenta de que este es el mundo en el que vivimos, y nos está obligando a mirarnos a nosotros mismos también, volviendo a comprometernos con todas las consideraciones posibles que hay”, dice Voccola en su anuncio de YouTube.
La revista Fraud Magazine habló recientemente con Robert Herjavec, tiburón líder en el programa de televisión ganador del premio Emmy de ABC, “Shark Tank” y fundador y CEO de Herjavec Group, una empresa global de ciberseguridad que ofrece servicios de seguridad integrales a organizaciones empresariales, así como a las CFE especializadas en ciberfraude, para obtener su opinión sobre cómo los examinadores de fraude se están acercando a esta amenaza en constante cambio en el mundo post-pandémico.
“El comercio electrónico, la infraestructura digital, la nube, el cambio a la red en línea, el cambio a la red remota, todos sabíamos que este era el futuro”, dice Herjavec en una entrevista por correo electrónico. “Nadie sabía, sin embargo, que el futuro ocurriría en 12 meses. Eso es lo que hizo COVID. Este movimiento ha acelerado nuestro negocio y la industria de la seguridad en general. Cuanta más gente en línea, más seguridad se requiere”.
“Este mundo del cibercrimen ahora está impactando al mundo cotidiano”, dice Patrick Westerhaus, CFE, CEO de Cyber Team Six. “En el pasado, es posible que te hayan robado una tarjeta de crédito o que hayas sido víctima de robo de identidad. Ahora el cibercrimen ha madurado hasta tal punto que afecta a la población en general. Está en todos los medios de comunicación. Ya no son solo incidentes aislados”.
Ataques en la cadena de suministro
De hecho, los cibercriminales y estafadores están mejorando haciendo agujeros en las ciberdefensas y la propagación de malware a través de múltiples organizaciones de un solo golpe a través de los llamados ataques de la cadena de suministro.
La gravedad de este tipo de brecha se hizo evidente el año pasado cuando los hackers insertaron malware en el software de SolarWinds, con sede en Texas, difundiendo el código malicioso a sus clientes y dejando hasta 18.000 clientes vulnerables.
(Ver presentación SEC 8K de SolarWinds, diciembre. 14, 2020.)
Los servicios de inteligencia rusos que se creía que habían llevado a cabo la violación utilizaron el malware para obtener acceso a las redes de varias agencias federales de Estados Unidos.
Los expertos están particularmente preocupados por el último robo cibernético en Kaseya, no solo porque fue otro ataque destructivo y generalizado en la cadena de suministro, sino que esta vez los criminales utilizaron sofisticadas técnicas de hacking comparables a las que despliegan los estados-nación. .
El software Kaseya VSA era un objetivo ideal para los cibercriminales, ya que la compañía lo vendió a los MSP, que las pequeñas y medianas empresas pagan para atender sus necesidades de TI. Al infectar el software VSA, una filial de la organización cibercriminal REvil pudo exigir rescate a un mayor alcance de víctimas.
No importa cuán fuertes sean sus defensas, las organizaciones que forman parte de una cadena de suministro siguen siendo vulnerables, ya que los estafadores buscan explotar el eslabón más débil en medio de una red de empresas que realizan negocios regularmente entre sí.
“La mayoría de las brechas corporativas a gran escala recientemente han llegado a través de proveedores y terceros”, dice Herjavec. “A medida que las empresas han reforzado sus defensas, a menudo han pasado por alto a los muchos terceros que interactúan regularmente con ellas. Muchos de estos terceros son más pequeños con seguridad limitada. El desafío es ¿cómo hacer cumplir su estándar corporativo en un tercero que puede no tener los mismos recursos o políticas?”
Herjavec fue un orador principal en la 32a Conferencia Anual sobre Fraude Global de ACFE.
(Ver “Cibercrimen en la era de COVID-19“, por Paul Kilby, Noticias de la Conferencia de Fraude, 22 de junio.)
Vulnerabilidades post-COVID
Los ciberfraudadores y otros criminales ahora tienen un espacio de ataque más grande. En el pasado, las organizaciones mantenían en gran medida sus datos y empleados en un lugar fácilmente defendible. Pero todo eso cambió a medida que la propagación de COVID-19 obligó a los empleados a trabajar desde casa, donde trabajan en computadoras portátiles menos protegidas y en múltiples ubicaciones.
“La cantidad de fraude reportado que pasa por estos canales es significativa, especialmente de bancos y grandes empresas”, dice Westerhaus. “Y solo va a empeorar debido a los modelos de trabajo híbridos y remotos que se han expandido significativamente como resultado de la pandemia”.
El movimiento hacia un lugar de trabajo más fragmentado también ha ido de la mano con una mayor interconectividad, el llamado Internet de las cosas. Todo, desde refrigeradores hasta sistemas de seguridad para el hogar y otros dispositivos en la casa, están cada vez más conectados a Internet y entre sí, lo que amplía los posibles puntos de entrada para los estafadores.
Amy Chang es jefa de desarrollo de negocios en la compañía de seguros y seguridad cibernética Resilience y ex directora ejecutiva de ciberseguridad global en JPMorgan Chase. Ella dice: “[el Internet de las cosas] introduce todas estas capas adicionales de vulnerabilidad y si no tienes una comprensión y conciencia completa de tu entorno tecnológico, puede hacer que sea muy fácil para los actores de amenazas entrar”.
La comodidad triunfa sobre la seguridad
Las empresas tratan de complacer a los clientes priorizando típicamente la conveniencia de la tecnología sobre lo que pueden ser molestas protecciones de seguridad. “Esto es tremendamente arriesgado, pero nadie pensó en esa línea porque la conveniencia siempre superó a la seguridad”, dice Walt Manning, CFE, CEO del Techno-Crime Institute, una futura firma de investigación y consultoría de investigaciones.
Sin embargo, es probable que las empresas comerciales comiencen a repensar esas prioridades a medida que se den cuenta de que no se trata de si, sino de cuándo los ciberfraudadores intentarán asaltar sus defensas. “Desde una perspectiva empresarial, no creo que se pueda disociar más el negocio del aspecto de seguridad del cliente”, dice Westerhaus.
“Las organizaciones, hasta cierto punto, se han tomado en serio proteger a los empleados y las empresas, pero proteger a los clientes no se ve como una ventaja competitiva”, dice. “Siempre ha sido una idea tardía. Ese ya no puede ser el caso”. De hecho, las organizaciones se están preparando para otro salto en la actividad fraudulenta, particularmente en el ciberespacio, y parecen estar tomando algunas medidas defensivas, según el último informe de evaluación comparativa de la ACFE. (Ver The Next Normal: Preparing for a Post-Pandemic Fraud Landscape, y “Las organizaciones se preparan para otro aumento en el fraude“, en ACFE News.)
Mientras que los encuestados esperan ver un crecimiento en los riesgos de fraude en la mayoría de las categorías, el ciberfraude y la ingeniería social son las categorías de riesgo que se espera que aumenten, con más del 80% de los encuestados anticipando un crecimiento en estas dos áreas.
Y tal vez reflejando el aumento de los riesgos de fraude cibernético, el 38% de las organizaciones encuestadas aumentaron sus presupuestos para la tecnología antifraude en el año fiscal 2021 en comparación con los años prepandémicos.
“Su resiliencia a la ciberseguridad es clave porque va a ser un objetivo pase lo que pase, especialmente la industria financiera”, dice Carmi Moser, especialista principal en riesgos del regulador de la industria financiera FINRA. “Realmente deberíamos ser conscientes de la resiliencia de la respuesta y los aspectos de protección de datos”.
[Ver información adicional sobre: “Controles cibernéticos y preparación para infracciones”.]
Negocio de ciberfraude
El negocio del ciberfraude ha crecido en tamaño y sofisticación a lo largo de los años y aún más durante la pandemia COVID-19. El solitario hacker encapuchado que lleva una máscara de Guy Fawkes en un cuarto oscuro puede ser un estereotipo favorito, pero está muy lejos de la realidad de las empresas cibercriminales de hoy en día.
Todo un ecosistema está ahora disponible para los estafadores que buscan oportunidades en el ciberespacio. “Ransomware como servicio” o “Malware como servicio” (más conocido como RaaS y MaaS) son nuevos nombres para las empresas que venden software malicioso, contraseñas y otros servicios en los mercados de darknet.
Y de alguna manera, esto solo ha hecho que sea más fácil para los estafadores llevar a cabo su comercio. “En los viejos tiempos, se necesitaba un esfuerzo para ser un criminal de cuello blanco; realmente lo hizo”, dice Westerhaus, que anteriormente trabajó como gerente senior en la división de Delitos Cibernéticos del FBI. “Pero si quieres ser un criminal de cuello blanco hoy, solo sé un cibercriminal. Si puedes descargar software, puedes ser un cibercriminal”.
Hackers sofisticados, corredores y estafadores cotidianos ponen en común sus habilidades para llevar a cabo ataques que pueden traer miles, si no millones de dólares. De hecho, el ciberfraude se ha vuelto altamente lucrativo a medida que los estafadores fijan cada vez más su mirada en empresas multinacionales de alto valor, en lo que se ha conocido como “caza de caza mayor” o BGH.
JBS Foods USA dijo en junio que había pagado el equivalente a 11 millones de dólares a lo que el FBI describió como uno de los grupos cibercriminales más especializados y sofisticados del mundo.
El grupo que infectó el software de Kaseya estableció un rescate de 70 millones de dólares en bitcoin para liberar a todos del malware, aunque también se informa pidió hasta 5 millones de dólares a organizaciones individuales.
Y aunque el FBI ha devuelto parte del rescate pagado, como en el caso del Oleoducto Colonial, hay mucho en juego para las empresas que bajan la guardia.
“Es interesante: la gente no está tan preocupada por perder dinero per se, pero está preocupada por su negocio”, dice Herjavec. “El costo de una violación va mucho más allá del rescate pagado: es tiempo de inactividad, integridad y pérdida de la marca, y pérdida de fe de los consumidores y socios”.
El rescate cibernético promedio pagado por las medianas empresas fue de 170.404 dólares, pero la factura promedio para rectificar este tipo de ataque fue de 1,85 millones de dólares después de contabilizar las oportunidades perdidas, el tiempo de inactividad y otros costos, según una encuesta reciente del grupo de software de seguridad Sophos.
Los foros criminales en línea, que han existido durante muchos años, fueron desarrollados por primera vez por estafadores, como Brett Johnson, que contó su historia de cibercrimen en la 32a Conferencia Anual de Fraude Global de ACFE.
“Es todo un sistema”, dice David Utzke, Sr., Ph.D., CFE, profesor asociado en la Universidad de Tecnología Avanzada. “Esa es la verdadera amenaza porque ahora se parecen más a una red corporativa”.
Amy Boawn, CFE, es experta en temas de fusión de fraude para el equipo de ciberdefensa de la firma de consultoría Booz Allen Hamilton. Ella aboga por un esfuerzo de colaboración similar entre las organizaciones que tratan de prevenir el fraude cibernético.
“El sector bancario y la industria de servicios financieros [por ejemplo] tienen foros a los que pueden ir, pero en general no hacen un trabajo lo suficientemente bueno en el intercambio de información”, dice Boawn. “Cuanta más información se pueda compartir sobre qué tipo de estafas hay y las tácticas que se están tirando, más podremos detener el fraude cibernético”.
Repensar las investigaciones
La tecnología en constante evolución y el alcance global del ciberfraude pueden requerir un replanteamiento de cómo se llevan a cabo las investigaciones, argumenta Manning, quien ayudó a crear uno de los primeros equipos forenses digitales en el Departamento de Policía de Dallas en la década de 1980″. Este es un momento crítico para las investigaciones”, dice. Incluso lo llamaría un punto de inflexión. Las viejas formas de hacer las cosas, aisulando las investigaciones, particularmente en la aplicación de la ley, donde hay jurisdicciones geográficas y legales, ese modelo a escala global con esta tecnología ya no funciona”.
Los equipos de investigación pueden necesitar ser más grandes dado el número de expertos requeridos en casos de fraude cibernético, dice Manning. Prevé investigaciones cibernéticas que adopten lo que él llama el modelo “Hollywood”, como cómo un director o un productor podría contratar especialistas en cinematografía, casting, trajes y efectos especiales para hacer una sola película.
“Necesitaremos un nuevo tipo de filosofía de gestión de investigaciones y una persona con el conocimiento y la experiencia para poder coordinar todos los diferentes esfuerzos de los diversos miembros del equipo como nunca antes lo habíamos hecho”, dice. “[Pero] a medida que la investigación se vuelve más grande, más cara y lleva mucho tiempo, podemos llegar a un punto en el que muchas organizaciones dirán que se detengan. El costo y el tiempo de estas investigaciones no valen el daño que sufrimos por el fraude”.
Prevención y detección temprana
Esas circunstancias hacen que la prevención sea uno de los principios clave del fundador y presidente de ACFE, el Dr. Joseph T. Wells, CFE, CPA – particularmente importante.
Westerhaus dice que la clave para la prevención es entender la cadena de eventos involucrados en un delito cibernético y el lapso de tiempo a menudo largo entre la piratería y el crimen en sí, ya sea robo, extorsión o algún otro tipo de fraude. Todo el proceso puede tomar semanas, meses o incluso años, dice.
“La gente piensa que solo porque alguien hackea una computadora o entrega malware que en ese segundo su cuenta es explotada”, dice. “Pero no sucede de esa manera”.
Los hackers sofisticados con doctorado pueden explotar computadoras y crear ransomware, pero no tienen idea de cómo cometer un delito, dice Westerhaus. Como cualquier mercado, los hackers deben anunciarse a los estafadores cotidianos que compran acceso y el malware para explotar organizaciones como siempre lo han hecho.
El truco es mantenerse por delante del usuario final que lleva a cabo el crimen. Y eso se hace identificando cualquier dato robado y/o vulnerable y evitando que sea hackeado o llegue a manos de estafadores en primer lugar.
“El punto educativo que hay que hacer a las CFE es entender que el cibercrimen es todo un negocio, y hay todo un ciclo que continúa de principio a fin”, dice Westerhaus. “En realidad se puede evitar que un cliente tenga una mala experiencia anulando el trabajo que el hacker ha hecho antes de que llegue a los estafadores”.
Herjavec tiene una visión similar sobre la mejor manera de proteger a las organizaciones que luchan por mantenerse al día con las nuevas tecnologías y, en última instancia, puede ser incapaz de evitar que los cibercriminales incumplan sus defensas.”Estamos luchando la guerra de hoy con las herramientas de ayer y los hackers están en constante evolución”. – Robert Herjavec
“Estamos luchando la guerra de hoy con las herramientas de ayer y los hackers están en constante evolución”, dice. “Creo que uno de los objetivos clave para los líderes de seguridad debe ser alejarse de una mentalidad de prevención y centrarse en la detección temprana”.
Sin embargo, mientras que los hackers han encontrado formas nuevas y sofisticadas de superar las medidas de seguridad, la prevención y detección del fraude cibernético a menudo se asemeja a las investigaciones de fraude del pasado. “Mi filosofía es que el ciberespacio es solo una herramienta que facilita los crímenes que siempre existieron”, dice Westerhaus.
“Los nuevos estafadores no son buenos creando código y hackeando. Simplemente son buenos para estar en Internet”, dice. “Si entiendes cómo interactúa la gente en Internet, entonces entiendes al estafador de hoy y mañana”.
Paul Kilby es editor en jefe de Fraud Magazine. Póngase en contacto con él en pkilby@acfe.com
Fuente. https://www.fraud-magazine.com/cover-article.aspx?id=4295015767
