ATAQUES COMO LOS SUFRIDOS POR EL INSTITUT MUNICIPAL DE INFORMATICA DE BARCELONA (IMI) O LA EMPRESA ANIMSA DE NAVARRA, DEJA AL DESCUBIERTO LA EFICACIA DE LOS ATAQUES Y LOS RIESGOS QUE PUEDEN COMPORTAR UNA CIBERSEGURIDAD DEFICIENTE O VULNERABLE.
Esta semana ha salido en los medios que el Institut Municipal de Informática órgano dependiente del Ayuntamiento de Barcelona ha sufrido un ataque mediante ingeniería social con la técnica no por conocida menos efectiva de la suplantación de facturas de proveedores legítimos por otras aparentemente también legitimas pero con el número de cuenta corriente bancaria cambiado a favor de otra, a nombre de una “mula†como se conoce en el argot a los titulares de cuentas corrientes que sirven para este tipo de estafas. Una vez la víctima realiza el pago en la cuenta de la mula, en el convencimiento que esta pagando a su proveedor, el dinero desaparece en cuestión de minutos, y a medida que pasan las horas, van efectuándose transacciones a terceras entidades de otros países, haciendo prácticamente imposible el rastreo y recuperación del capital si han pasado unos días desde el fraude.
A nuestro lector, seguro que le ha llamado la atención que la banca permita abrir cuentas corrientes y hacer disposiciones de fondos libremente y no pueda actuar contra estos colaboradores necesarios para este tipo de fraudes, máxime cuando es la máxima responsable de la identificación de su cliente real en virtud de la normativa sobre prevención de blanqueo de capitales y financiación del terrorismo. Pero a efectos prácticos, se siguen abriendo cuentas muy sospechosas, incluso de forma telemática, con insolventes o jubilados que por un porcentaje de la transacción se apuntan a colaborar en el fraude.
Entendemos que, a las entidades financieras, tan hábiles a la hora de clasificar los clientes cuando se trata de solvencia patrimonial, le seria extremadamente sencillo establecer reglas de disposición de fondos para ciertos tipos de cuentas (es extremadamente sospechoso que, a un jubilado con la pensión mínima, repentinamente en un corto periodo del tiempo le ingresen cantidades enormes de dinero y los trasfiera en cuestión de minutos a entidades de fuera del país...raro, muy raro ¿no?)
Pero no sólo la banca tiene algo que decir en este asunto, la verdad es que la actual legislación necesita urgentemente una nueva tipificación del ilícito penal, esta nueva legislación deberá obligar a los diferentes operadores, por un lado, a mejorar lo que se entiende por el “deber de autoprotecciónâ€, haciendo que la ciberseguridad sea una materia de especial atención en todas las empresas y organizaciones evitando mediante medidas técnicas, organizativas y jurídicas la victimización. Y, por otro lado, no es menos importante, el cambio legislativo en la rigurosidad de la aplicación de las medidas de supervisión y control bancario, y la posible retroacción de las transacciones fraudulentas durante un tiempo razonable, que permita a las fuerzas de seguridad solicitar el bloqueo de fondos cautelar mientras se tramita la solicitud al juzgado de instrucción correspondiente.
Con sólo este par de medidas, numerosas transacciones quedarían anuladas, identificados los estafadores y desarticulados los sistemas de enriquecimiento de estas tramas internacionales de delincuentes.
Todo ello respecto al phishing, cosa diferente ya diría a nuestro parecer algo más compleja de evitar son los ataques con ransomware, especialmente los ataques de clic cero, es decir aquellos que no necesitan ninguna acción de la víctima.
Recientemente hemos visto en los medios de comunicación como una entidad pública de Navarra (ANIMSA), que presta servicios informáticos a ciento setenta y nueve entidades públicas de esa comunidad autónoma, ha sufrido un ataque desde dos servidores (Hive y Cobalt Strike) ubicados en Letonia que ha tenido cómo consecuencia la encriptación de todos los sistemas de la entidad.
Al parecer, en este ataque no se ha pedido ningún tipo de rescate en bitcoins, como es muy habitual en este tipo de delitos, sino que se trataría de un ataque puro seguramente conectado con la triste situación de Ucrania en estos momentos y la voluntad de Rusia de dar respuesta a las sanciones occidentales atacando a cualquier administración vulnerable de la otra parte del “Telón de Acero†como se diría en otras épocas que pensábamos olvidadas.No nos cansaremos de recomendar el seguimiento y observación de las directrices y sugerencias que las entidades públicas como son INCIBE para empresas y particulares y CCN para administraciones públicas en cuanto a la planificación y ejecución de un plan de ciberseguridad integral. En resumen, la ciberseguridad es una asignatura pendiente de forma permanente, ya sabemos que la seguridad absoluta no existe, pero eso no quita que dentro de nuestra agenda u hoja de ruta empresarial incluyamos la necesidad de construir un sistema robusto de ciberseguridad desde un punto de vista integral, personas, organización y máquinas.En ATGROUP tenemos la firma vocación de acompañaros en todo este proceso, ajustarlo a vuestras necesidades e incluso ayudaros a gestionar las crisis, defendiendo los intereses de nuestros clientes con todas las herramienta legales y tecnológicas que en cada momento se puedan disponer.
Os seguiremos informando.
Un cordial saludo.