Antecedentes

Desde hace algunas semanas esta pandemia que estamos viviendo ha cambiado literalmente nuestras vidas y la forma de trabajar no ha sido la excepción.

En base a un gran esfuerzo de los distintos equipos de TI (Tecnología de la Información), las empresas han podido, de una manera u otra, sortear diferentes obstáculos centrados en el trabajo presencial y tener hoy a casi todo su equipo bajo la modalidad de “home office”.

De esta forma y en tiempo record, pequeñas, medianas o grandes empresas han puesto su foco en “seguir funcionando” y la realidad es que la gran mayoría no contaban con un Plan de Contingencia formalmente diagramado y probado a no ser las grandes compañías o aquellas reguladas dentro del sector financiero donde la normativa así lo establece.

Es real que ante este inusual desafío y un escenario de total incertidumbre a raíz del Covid 19 se podría involuntariamente bajar la guardia o implementar políticas de trabajo que pudiesen hacer a los usuarios y a sus compañías más vulnerables a la hora de sufrir un ataque informático.

En este orden, desafortunadamente, los delincuentes intentan sacar partido de estos escenarios de desastre para aprovechar fallas en las protecciones explotando lo que se denominan las técnicas de ingeniería social sobre diferentes aspectos emocionales manipulando fácilmente a las personas ante el miedo reinante. 

Tipos de ataques

Actualmente, estamos viendo dos grados de ataques, siendo el primero de ellos considerado de bajo nivel donde se recibe un correo falso genérico, sin un objetivo definido aparente, intentando hacerse pasar por una entidad que brinda información sobre el Covid 19, (por ejemplo OMS o MSP) y pretender que los usuarios inmersos en el estado actual de shock, a través de un click, ingresen a un enlace o abran archivos que luego infectarán los sistemas y robarán información. 

Otro nivel de ataques apunta a compañías específicas presentando alertas falsas de coronavirus u orientación que parece provenir de un referente de la propia empresa y allí utilizar su rostro o su nombre, que nos es familiar, para inducir al usuario a ingresar con un click o también a abrir un archivo adjunto, que en teoría parecía confiable, y que pueda infectar también los sistemas, mecanismo este que suele tener para los hackers una tasa de éxito mucho mayor.

Un condimento importante a incorporar a esta problemática de teletrabajo radica en que el nivel de controles y protecciones de seguridad de la empresa a menudo no se extiende a las redes domésticas.  

Posibles medidas a tomar

Algunos consejos sencillos pero efectivos para protegerse de este tipo de estafas de “phishing” emergentes radican fundamentalmente en mantener informado a todo el personal que trabaja a distancia y advertirle mediante comunicados o conferencias este tipo de riesgos latentes creando los canales de comunicación adecuados para disipar dudas al respecto.

Otro aspecto importante es que cada usuario debe tomarlo como un desafío personal ya que los riesgos para los datos y la información de la empresa también se extienden a sus redes personales, y es por allí donde a veces los hackers sacan partido.

Por último, en muchos casos, las empresas deberán considerar cambios en la red o la seguridad para igualar las protecciones de seguridad dentro y fuera de la oficina. 

Para mantener la información a salvo y aprovechar el mismo esquema de seguridad la mayoría de las compañías utilizan una red privada virtual (VPN por sus siglas en inglés) para, de esta manera, establecer una conexión encriptada.

Otra opción puede ser tomar el control de la computadora de la oficina desde la casa utilizando un software de escritorio remoto para lo cual existen varias opciones disponibles y efectivas.

Entendemos que una combinación de ambas puede otorgar buenos resultados en estos momentos, pero siempre bajo la constante vigilancia, organización y supervisión del departamento de sistemas de información de la empresa.

Comunicación 2020/047  del Banco Central del Uruguay

Ante este escenario, el Banco Central del Uruguay no ha sido ajeno y emitió la semana pasada una comunicación de alerta a usuarios del sistema financiero sobre prácticas seguras para prevenirse de fraudes electrónicos.

De forma similar a lo descripto precedentemente, en este caso se exhorta a los usuarios a prestar especial atención ante llamadas o correos electrónicos enviados, aparentemente, por instituciones de intermediación financiera que soliciten la confirmación de datos personales o contraseñas, recordando que esto no es una práctica habitual de este tipo de instituciones.

El BCU recuerda a los usuarios que conforme al Art 17 de la Ley 19.731 están obligados a no responder a intentos de comunicación por medios y formas no acordadas previamente con la institución financiera en cuestión, estando también vedada la divulgación de su código de identificación personal (PIN) bajo ninguna circunstancia ni a través de ningún medio.

Finalmente ante cualquier duda se recomienda consultar directamente con el banco por los canales tradicionales.

Por más información contacte a nuestro departamento de consultoria a través del e-mail [email protected] 

Ver comunicación 2020/047