Una de las cosas que más insisto en las formaciones de ciberseguridad que hago a directivos y jefes de departamentos está en el uso de procedimientos. Una cosa que no necesita de tecnologías caras ni especialistas en seguridad informatica. Simples estratagemas de ir paso a paso y comprobarlo todo.
El “Spear Phishing” está de moda ya desde hace tiempo. Intentar que una empresa pague la factura de su proveedor al delincuente, o que la nómina no vaya al trabajador sino que se ingrese al “malo” está a la orden del día.
No se ha de pagar “al número de cuenta que esta al final del PDF de la factura” (o en el cuerpo del mensaje). Ni aunque el email venga “realmente” del proveedor.
Tampoco sirve fiarse de un “certificado bancario de propiedad del número de cuenta”. Esto se falsifica. Ni tan siquiera si va acompañado de una llamada telefónica “del proveedor”.
Todo esto puede falsificarse, alterarse, simularse, …. Y depende de cómo se haga, o a quien hayan comprometido, no hay herramientas que lo detecten automáticamente.
Pero si por el contrario se crea un “procedimiento” entre el proveedor y el cliente, o entre el departamento de RRHH y el trabajador, se puede evitar muchísimas de estas cosas… Y a un coste casi de 0€.
Pongamos un ejemplo en que han comprometido el email del proveedor (de los más difíciles de detectar):
Un “proveedor” envía una factura por email. Puede que la primera factura sea correcta, pero el “malo” la vuelve a enviar alterada con alguna escusa. El cliente la paga al número de cuenta que hay en el email o en el PDF adjunto; no en el número de cuenta que ya tiene previamente registrado. O se le pide que cambie el número de cuenta de pago, adjuntando el certificado del banco correspondiente. Hasta conozco casos que el “malo” ha llamado al “pagador” para confirmar y dar veracidad a los datos nuevos…
Difícil de detectar para un software o sistema de ciberseguridad en estos casos…. Y hasta para un humano que verifica el remitente del correo!
Pero hagamos un simple procedimiento pactado entre PROVEEDOR/CLIENTE:
Con esto evitamos la situación que al proveedor le hayan comprometido el correo y puedan alterarle los datos que envía con él; Pueden usarlo para cambiar el número de cuenta, o enviar “certificados bancarios” falsos. Y como el que llama es el cliente, al número de teléfono REAL que ya tiene, el proveedor podrá confirmar si hay cambios reales…. O hay algo turbio en estos cambios.
Usar el mismo medio (el email) puede resultar inútil si los “malos” interceptan el correo. Y si el que llama es el que ha alterado los datos, poco sirve como prueba de veracidad.