El factor humano y la seguridad

phishingSegún Deloitte, la principal amenaza para la seguridad de la información en las entidades financieras es el factor humano, por encima de la tecnología. En el denominado «Estudio de Seguridad Global» realizado por la consultora, concluyeron que los ataques internos, el phishing y el pharming son las principales amenazas para las entidades financieras en materia de seguridad, por lo que sugieren que la formación y concienciación en materia de seguridad es la solución para evitar las amenazas provocadas por el comportamiento humano, que sin embargo solo representa el 15% del total del presupuesto de seguridad de las entidades.

En realidad, nada sorprendente. Algo parecido decíamos aquí con respecto a los contenidos de pago: «Lo preocupante son los propios usuarios, que vienen demostrando una preocupante (a los ojos de la industria) tendencia a no vigilar debidamente el uso EXCLUSIVAMENTE PERSONAL de sus cuentas de acceso». Como siempre, el factor humano.

El número de ataques informáticos internos dirigidos contra las principales entidades financieras mundiales ha aumentado respecto al numero de ataques externos a lo largo del último año según el estudio de Seguridad Global 2005 realizado por Deloitte. El 35% de los encuestados confirmó haber sufrido ataques desde dentro de sus propias organizaciones en el último año (14% en el 2004), frente al 26% que aseguraron que la mayoría de ataques procedía desde el exterior (23% el año anterior). En concreto, algo menos de un tercio (28%) de los encuestados manifestó haber incumplido la normativa sobre seguridad en los últimos 12 meses, en comparación con el 83% registrado en 2004.

Los ataques de phishing y pharming (que consisten en engañar a la gente para que revele información delicada utilizando páginas web y direcciones de correo electrónico falsas) se sumaron a las principales amenazas en materia de seguridad a las que se enfrentaron las entidades financieras el año pasado, y que mostraban además, que el factor humano es el eslabón más débil de la cadena de seguridad.

El cambio en la tendencia de los ataques externos a los internos y la táctica que aprovecha el comportamiento humano frente a las lagunas jurídicas tecnológicas, puede explicarse, según Deloitte, debido a la mejora en la utilización de las tecnologías de seguridad de la información, en particular por el uso cada vez mayor de las soluciones antivirus (98% frente al 87% en 2004), las Redes Privadas Virtuales (79% frente al 75%) y la filtración y el control de contenidos (76% frente al 60% en 2004).

Según el estudio, la formación y concienciación en materia de seguridad aún deben llegar a las agendas de los Directores de Seguridad de la Información, ya que apenas la mitad (46%) de los encuestados han programado iniciativas de formación y concienciación para el próximo año. Estas dos cuestiones se hallan a la cola de la lista de iniciativas en materia de seguridad, a mucha distancia del cumplimiento de las normativas (74%) y de la información y evaluación (61%).

Estas conclusiones concuerdan con los futuros planes de inversión en seguridad de las entidades financieras, en los que la mayor partida se dirige a herramientas de seguridad (64%), frente a un escaso 15% destinado a la concienciación y formación de los empleados. Son muy pocas las entidades financieras que disponen de planes para concienciar sobre los problemas de seguridad a los clientes.

Otras conclusiones principales del estudio:

• Aunque casi la mitad (48%) de los encuestados considera que la falta de concienciación de los empleados es uno de los desafíos principales, las medidas de formación y concienciación en materia de seguridad aplicadas en los últimos 12 meses disminuyeron del 77% registrado en el anterior estudio al 65% de este año.

• Casi las tres cuartas partes (74%) de los encuestados optan por externalizar al menos una función de TI, pero (27%) no controlan mediante evaluaciones regulares el cumplimiento de los requisitos de seguridad por parte del proveedor externo de este servicio.

• Aunque el 86% de las entidades que cuentan con un Director de Seguridad de la Información señalaba que esta función rinde cuentas directamente al consejo o a los altos directivos, sólo un tercio de las entidades entrevistadas cree que la seguridad ha sido reconocida como un área crítica de negocio a este nivel.

• Los plazos y presupuestos poco realistas (56%) encabezaban la lista de razones comunes de los encuestados para los incumplimientos de proyectos de seguridad, seguidos por los problemas de integración debido a un diseño y a una arquitectura iniciales mediocres (48%) y a la falta de implicación por parte de los empresarios (34%).

Phishing: España es el séptimo país más afectado del mundo (EEUU, el primero)

phishingSegún el «Internet Security Intelligence Briefing», de VeriSign y otros estudios, los ataques de phishing se lanzan principalmente desde 37 países. España ocupa el séptimo puesto en el ranking de países atacados y USA el primero con el 44% de los ataques.
Según S21sec, en España el Phishing seguirá aumentando debido a la mejora continua de la calidad y técnica de los ataques. Además, la tendencia apunta hacia un aumento del público objetivo de estos ataques para alcanzar así a organizaciones más pequeñas y menos protegidas e incluso a entidades no financieras.

El daño que se produce tanto a consumidores como a entidades, es importante, y entre otros, encontramos: robo de identidad, pérdidas financieras, fraude en tarjetas de crédito e impacto en la imagen de marca, lo que provoca la pérdida de confianza del consumidor en la entidad y en el uso de servicios a través de Internet.
En estos casos es importante el descubrimiento temprano del ataque de Phishing, incluso antes de que tenga lugar y el servicio de respuesta se activa cuando se ha producido el ataque. Según S21sec, durante la realización de sus servicios Antiphishing se ha detectado y localizado a personas, organizaciones o foros que negocian con la información conseguida a través de ataques de Phishing; en la actualidad incluso parecen existir en el mercado tarifas de precios establecidos para el tráfico con información robada por estos procedimientos.

Buzones trampa

Para la detección se utilizan motores que monitorizan múltiples foros, chat, y que revisan múltiples fuentes de spam y correo, y se emplean buzones trampa para ser los primeros en tener conocimiento de los ataques.
Finalmente, se lleva a cabo el cierre del sitio web fraudulento sin realizar ataques de denegación de servicio u otros no legales, al darse casos en los que el sitio web en el que reside el ataque es totalmente legal, pero ha sido «secuestrado» por la organización delictiva. VeriSign gestiona millones de dominios en todo el mundo y el Root A de Internet, y cuenta con una extensa y cuidada red de contactos en ISPs, registradores de dominios y organizaciones gubernamentales en los 5 continentes, lo que le permite llegar hasta el cierre del sitio web en tiempos récord de respuesta y mediante medios y mecanismos totalmente legales.