En el webinar: Robo de identidades ¡que no te engañen! Organizado por Certicámara S.A., en conjunto con el Grupo de Emergencias Cibernéticas de Colombia COLCERT, la firma Valimail, y apoyado por DigiCert,Inc. se evidenciaron los principales riesgos que impactan directamente la identidad digital de personas, directivos y empleados de cualquier empresa, a través de sus canales de comunicación más comunes, como los correos electrónicos y sitios web. De acuerdo con el ingeniero Wilson Prieto, Coordinador de COLCERT; el punto de partida para prevenir lo anterior, es tener una ciber-higiene tanto en los hogares como en las empresas, donde se garantice una navegación segura y la implementación de mejores prácticas de conexión a Internet al interior de las organizaciones.
Así mismo, Prieto destacó que en lo corrido del año, de los incidentes cibernéticos gestionados por el COLCERT, el 11.7% corresponden a phishing. Sin embargo, la mayoría de los ataques se pueden minimizar con la implementación de algunos hábitos que van, desde realizar copias de seguridad de la información de los dispositivos electrónicos, mejorar la seguridad de las cuentas con contraseñas complejas y cambiarlas periódicamente, hasta desactivar la opción de geolocalización de los dispositivos, verificar que todas las páginas que se visiten cuenten con un Certificado de servidor seguro SSL avanzado y tener un antivirus actualizado.
“Frente a este panorama de phishing, sería conveniente preguntarse: ¿ha ingresado recientemente a su bandeja de entrada y ha visto un correo electrónico extraño? Bueno, sería conveniente ser más cauteloso, ya que un fraude común está ganando cada vez más fuerza en América Latina” afirmó Dean Coclin, Director Senior de Desarrollo de Negocios en Digicert. “Los hackers están evolucionando sus niveles de piratería y sofisticación de estafas. Por lo tanto, hoy la web tiene una serie de vulnerabilidades de autenticación y seguridad que la dejan abierta para el cualquier ataque”, agregó el ejecutivo.
Finalmente, durante la sesión se destacaron algunos tips para identificar correos falsos como: revisar el dominio del cual procede el mensaje, revisar errores en el cuerpo del mensaje, la importancia de validar la información con la fuente original o con una entidad competente y verificar si se está solicitando información sensible de datos, que generen una máxima alerta sobre posibles ciberataques para el robo de la información de cuentas personales y corporativas.
“Los ciberataques a correos electrónicos pueden durar alrededor de 12 minutos”
Para Gabriel Murcia, experto en seguridad de Correo Electrónico de la empresa Valimail, se debe tener muy en cuenta la importancia que ha ganado el uso del correo electrónico, en especial durante la coyuntura ocasionada por la pandemia, siendo el principal canal de comunicación y de identidad digital de las organizaciones. Precisamente, la emergencia sanitaria también ha impulsado los ataques de phishing en el mundo y se ha registrado un aumento del 4 mil por ciento para los meses de abril y mayo de 2020.
De acuerdo con datos de Valimail, el 96% de esos ciberataques comienzan con un simple correo electrónico, el 68% de estos, provienen de cuentas nuevas o que no se han visto antes y cada ataque cibernético puede durar alrededor de 12 minutos.
Ahora bien, para vulnerar a las empresas, se destaca el ataque de phishing conocido como BEC (Business Email Compromise) siendo el más rentable para los ciberatacantes, al tratarse de una estafa por transferencias electrónicas. Al respecto, según reporte del FBI en 2019, los ciberataques de este tipo registraron transacciones por robo cibernético, con montos cercanos a los 1.8 billones de dólares en Estados Unidos. En el caso colombiano estos robos oscilan entre 120 millones y 3 mil millones de pesos, dependiendo del tamaño de la empresa y el tipo de ataque por phishing.
Para Gabriel Murcia, el llamado a las empresas está dirigido a la necesidad de blindarse de ciberataques, que van desde la suplantación del dominio exacto, la falsificación del dominio o la suplantación de contactos de las organizaciones. En este sentido la recomendación principal es proteger los dominios de las compañías con estándares como: DMARC (autenticación de mensajes e informes y conformidad basada en dominios) o Bimi (autenticación de logo corporativo), servicio que será introducido al mercado por Digicert y Valimail y que las empresas podrán adquirir a través de Certicámara en Colombia.
Finalmente, Murcia también enfatizó que con la puesta en marcha de algunas medidas como: la implementación de mejores prácticas de seguridad de correo electrónico, poseer y divulgar una política de seguridad de correo electrónico, fortalecer los procedimientos para el restablecimiento de contraseñas y establecer procesos robustos de pagos; se puede contrarrestar el phishing corporativo y garantizar la confianza en la identidad digital de las compañías.
Los sitios web y los correos electrónicos corporativos pueden firmarse, cifrarse y certificarse.
Según David Kummers, experto en Transformación Digital de Certicámara S.A., es de vital importancia asegurar la identidad digital corporativa con sitios web que brinden seguridad, confianza y cifrado de la información, a través de la implementación de certificados de servidor seguro SSL, en especial si es de nivel avanzado denominado – Certificado SSL de Validación Extendida – que incluye un identificador visual que propende garantizar la confianza en los entornos digitales.
De igual manera, para evitar los ataques por phishing en el uso del correo electrónico corporativo, y fortalecer la integridad y confidencialidad de los mensajes, es posible incorporar firmas digitales, con mecanismos que ya existen en el mercado, como por ejemplo los certificados S/MIME, que protegen la identidad digital y corporativa de la información. Finalmente, para garantizar la entrega de correos con validez jurídica y probatoria, se pueden utilizan plataformas de correo electrónico certificado que se integran fácilmente con las cuentas de correo corporativas.
Ante lo expuesto anteriormente, el mensaje final para las empresas es que elijan aliados tecnológicos que brinden asesoría especializada y experiencia comprobada.