Robando datos físicos en un mundo digital

El segundo artículo de nuestra nueva serie de ciberseguridad, Ransomware, brechas y más: Evolución de las ciberamenazas en la era pandémica. Analiza cómo los actores de amenazas están encontrando nuevas maneras de robar información, incluso rastreando la frecuencia con la que vas al gimnasio.

Por más difícil que haya sido la pandemia para las empresas, la mayoría ha logrado seguir prestando servicios críticos a sus clientes. Muchos, sin embargo, también vieron aumentar su nivel de ciber riesgo exponencialmente casi de la noche a la mañana. Por más hábiles que fueran los cibercriminales en el robo de información sensible antes de la pandemia, su trabajo se volvió mucho más fácil ahora que los ejecutivos y sus colaboradores comenzaron a trabajar en sus hogares. Muchos, estaban utilizando tecnología personal para el trabajo, rodeados de dispositivos conectados a redes inseguras, y su entorno físico - que a menudo contiene numerosa información personal - se mostraban en videollamadas. De hecho, no pasó mucho tiempo antes de que llegaran informes de llamadas virtuales infiltradas por individuos que querían interrumpir las reuniones por diversión, o peor aún: robar información que pudieran usar contra ese negocio.

Muchas organizaciones cambiaron sus políticas para apoyar a los colaboradores, a quienes se les había enviado a trabajar a sus casas para evitar la propagación del coronavirus. Se concedieron mayores permisos para hacer su propio soporte técnico, lo que les permitió conectarse a redes domésticas, impresoras y otros dispositivos. Pero a pesar de estas medidas, la falta de conocimientos técnicos de los empleados y la limitada conciencia de cómo utilizar la tecnología de forma segura en modalidad remota, han dado lugar a un aumento en el número de filtraciones de datos debido a la transferencia insegura de información confidencial tanto a la nube como a las direcciones de correo electrónico personales.

En muchos sentidos, las empresas nunca han estado tan expuestas a un incidente de seguridad como lo están ahora. No sólo las personas que utilizan computadoras personales y teléfonos móviles para acceder a la información de la empresa, sino que la gran cantidad de dispositivos en los hogares (termostatos conectados a Internet, asistentes de voz, luces y persianas) pueden ser atacados a través de la red doméstica por ciberdelincuentes, para luego abrirse camino hacia los datos personales y corporativos.

Esta convergencia de la seguridad física con la ciberseguridad es una de las tres amenazas organizacionales emergentes que se deben tener en cuenta a medida que nos acercamos a un futuro post-pandémico. Las otras dos amenazas, que están cubiertas en la primera y tercera entrega de nuestra nueva serie de ciberseguridad, son la privacidad y protección de datos, y el panorama de amenazas en constante evolución. Cuantas más empresas conozcan las ciberamenazas que pueden paralizar su negocio, mejor podrán protegerse.

Mantener los datos físicos seguros

Desde hace muchos años, los líderes empresariales se han centrado en proteger las redes de su organización de los ataques tradicionales: correos electrónicos con phishing, descargas de malware, etc. Han pasado mucho menos tiempo pensando en cómo los espacios físicos y los dispositivos también podrían ser objetivos de ataque. Un estudio del 2020 encontró que algunos ciber-criminales han recurrido a la revisión de contenedores de basura de empresas de impuestos, para robar información relacionada de sus clientes, que luego podrían ser utilizadas para otro tipo de ataque a las personas. Buscar papeles en la basura parecer anticuado, pero con más personas trabajando desde casa y tal vez imprimiendo documentos en lugar de leerlos en pantalla, los datos altamente sensibles se arrojan a la basura, y los ciber- criminales harán lo que puedan para encontrarlos.

La gran cantidad de dispositivos físicos que las personas tienen en sus hogares y que están conectados a Internet también están vulnerables a un ataque. Por ejemplo, existen numerosos informes criminales dirigidos a cámaras de seguridad y timbres inteligentes con video, para ver el interior de una habitación, realizar un seguimiento de quién va y viene a la casa de alguien, o incluso hablándole a las personas que están dentro de un edificio para hacerle amenazas y pedir pagos de extorsión. Una empresa que fabrica timbres con video recibió una demanda colectiva de usuarios que dijeron que fueron aterrorizados verbalmente por criminales que irrumpieron en sus sistemas de cámaras.

Incluso hay sitios web que transmiten imágenes en tiempo real para que todos vean a personas en oficinas, gimnasios, tiendas, casas y patios traseros, tomadas por cámaras de video sin protección. Los propietarios de negocios y terceros que instalan estas cámaras no tienen idea de que están siendo vigilados: solo configuran la cámara y no actualizan las configuraciones de seguridad ni cambian las contraseñas que podrían protegerlas de miradas indiscretas. Es una historia similar con otros dispositivos: los criminales irrumpen en un termostato inteligente o un asistente activado por voz para entrar en una red doméstica donde pueden acceder a todo tipo de información importante.

También es posible que los ciber-criminales aprendan sobre el entorno físico de alguien a partir de sus datos digitales. En un caso famoso, las ubicaciones de bases militares secretas fueron reveladas al público después de que una compañía de dispositivos inteligentes publicará un mapa de calor de dónde estaban corriendo sus usuarios. Resultó que el personal militar utilizaba dispositivos de seguimiento de ejercicios mientras corrían alrededor de sus bases, lo que luego creó una frontera para que todos lo vieran.

Más datos, más privados, más valor

Puede que no pienses que los actores de amenazas encontrarían algo útil en una cámara de un gimnasio, pero la información que buscan hoy en día es mucho más amplia y sofisticada que lo que buscaban hace sólo unos años. En un momento, los ciberdelincuentes frecuentemente apuntaban a los números de tarjetas de crédito, que controlaban los mercados ilegales de la dark web. Ahora, los mercados han cambiado a un modelo aún más lucrativo: la ciber-extorsión.

Los ciber-criminales están chantajeando a los empleados y vendiendo su información en la dark web. A través de la ingeniería social: la información, como nombres, organizaciones y roles, es robada y utilizada para obligar a las víctimas a llevar a cabo actividades a discreción del atacante. Los actores de amenazas con acceso a cuentas de inicio de sesión de empleados están obligando al personal a robar datos de su empleador o proporcionar información confidencial que se puede utilizar en otros ataques. En muchos casos, los atacantes detendrán estas actividades nefastas a cambio de una cuota considerable. Pero no siempre.

En un ejemplo bien conocido que tuvo lugar en 2020, los atacantes utilizaron la ingeniería social con un grupo de empleados en una importante empresa de redes sociales, chantajeándolos para extorsionar con US$180.000 a usuarios de alto perfil a través de diversas estafas y mensajes antes de que la operación fuera cerrada. También el año pasado, a un ejecutivo de una fábrica de automóviles se le ofreció US$1 millón para instalar un malware en la red de la compañía, pero se negó.

El chantaje cibernético y la extorsión es la principal razón por la que las amenazas internas han aumentado 47% desde 2018. Este riesgo elevado, junto con un entorno de trabajo remoto inseguro, está permitiendo a los criminales obtener conocimiento de las actividades personales de una víctima, incluyendo cualquier deuda de juego o condiciones de salud. Algunos incluso están tomando fotos o videos comprometedores de sus víctimas, luego amenazan con publicar imágenes de un acto sexual a menos que se proporcione dinero u otros servicios. La policía informó que los llamados correos electrónicos de “sextorsión” crecieron un 44% en 2018, un número que sólo ha subido desde entonces.

Todo esto hace que sea fácil para los actores de amenazas atacar a sus víctimas. Si tienen su ojo puesto, por ejemplo, en el CEO de una empresa que tiene información sensible del cliente -tal vez es un negocio de atención médica o un gran despacho de abogados- simplemente pueden encontrar un sitio web que muestre imágenes en tiempo real de la cámara desprotegida del gimnasio en la que el CEO hace ejercicio para ver cuándo la persona no está en casa. A continuación, pueden entrar físicamente en la casa del ejecutivo o entrar digitalmente sin ser notados. Si un blanco de ataque es un timbre conectado a Internet, los ciber-criminales podrían ver con qué frecuencia la persona sale de casa y durante cuánto tiempo. Un termostato inteligente podría revelar datos de temperatura, que también podrían indicar si alguien está o no en casa, ya que las habitaciones a menudo se ponen más frías cuando sus habitantes no están presentes.

La combinación de todos estos datos facilita a los ciberdelincuentes el envío de correos electrónicos que parecen reales, que incluyen información altamente personal que solo un amigo o colega cercano conocería, y de esta forma, por ejemplo, se puede engañar a los destinatarios para que hagan clic en un enlace de phishing. Esto podría conducir a un ataque de ransomware, en el que los atacantes bloquean un ordenador y luego obligan a su propietario o usuario a pagar grandes sumas para recuperar el acceso. Además, cuanto más completa sea la imagen que un actor de amenazas tiene de un individuo, más valor tiene esa información en el mercado negro. (Las tarjetas de crédito caducan o se bloquean; los datos personales nunca desaparecen).

Proteja los dispositivos de sus colaboradores

Si los datos confidenciales son robados y la información del cliente termina en la dark web, su organización podría ser demandada y considerada responsable de daños y perjuicios. Es por eso, que es importante que se asuma que cada dato, ya sea recopilado en el mundo físico o digital, es susceptible a un ataque.

Una forma de proteger su negocio es enviar un equipo de expertos en ciberseguridad a los hogares de sus colaboradores que pueden ser objetivos (ejecutivos C-Level, miembros del directorio, científicos de datos y otros que puedan tener acceso a información confidencial) para realizar una revisión de seguridad, asegurando que los dispositivos se actualicen correctamente, segmentando la red doméstica y validando que está accediendo de forma segura a la red corporativa. También es importante actualizar cualquier otro parche de seguridad en software relacionado con computadoras, especialmente con programas que pueden tener años de antigüedad.

La educación de los empleados sigue siendo una protección vital para la organización actual. Explicar al personal que tirar un pedazo de papel con datos privados puede ser peligroso, o cómo el entorno de alguien en un video podría revelar información confidencial, o cómo las publicaciones en las redes sociales pueden contener detalles que los atacantes pueden querer, son imprescindibles. También inculcar la idea de que la información privada se puede hacer pública fácilmente, y que a menudo se mantiene pública para siempre (lo que se publica en internet no se puede borrar).

Así es importante asegurarse de que su empresa pueda prevenir, detectar y responder a incidentes de ciberseguridad, tanto en los espacios físicos como digitales, especialmente ahora que muchos de sus colaboradores pueden estar trabajando desde casa. Certificar que los dispositivos personales de sus ejecutivos y personal clave estén protegidos, que sus perfiles y cuentas en línea estén adecuadamente protegidas y que sus hogares estén protegidos contra cualquier tipo de ciber amenazas y también física.
Un equipo externo de detección y respuesta puede hacer que su organización entienda dónde y cómo se producen los ataques, le puede ayudar a desarrollar los métodos más eficaces para proteger su negocio y responder rápidamente en caso de que se produzca un ataque para evitar que no produzca ningún daño.

Los ciber-criminales son cada vez más inteligentes, y hoy tienen más herramientas con las que trabajar. Las empresas que entienden todas las formas en que los ciber-criminales pueden vulnerar su negocio, y tomen las medidas de control apropiadas para mantener sus datos seguros, serán las que mejor se protejan.

En el siguiente y último artículo de nuestra serie de ciberseguridad, Cuatro tipos de brechas de ciberseguridad que necesita conocer, veremos las cuatro principales formas en que se producen las brechas hoy en día.

Contactos

Nicolás Corrado
Partner Leader, Cyber and Strategic Risk

Carolina Pizarro
Director, Cyber Risk

Juan Pablo Gonzalez
Senior Manager, Risk Advisory

Agradecimientos

Adrian Cheek
Manager, Threat Intelligence & Threat Hunting, Deloitte Cyber Intelligence Centre

Hélène Deschamps Marquis
Partner and National Leader, Data Privacy and Cyber Security Law Practice

Beth Dewitt
Partner and National Leader, Data Protection and Privacy and Board Director