Por Josh Shaul, Vicepresidente de Productos de Seguridad Web de Akamai
Es un problema enorme las violaciones de datos al consumidor. Hemos visto más de mil millones de discos robados en lo que va de año, lo cual no tiene precedentes. En los grandes ataques que aparecen en las noticias, por ejemplo, en los principales minoristas, los piratas informáticos suelen robar nombres de usuario y contraseñas. El propósito final es ganar dinero, la mayoría de las veces mediante la compra fraudulenta de bienes que pueden venderse en el mercado negro. Y el fraude potencial no se limita a la empresa violada, sino que se extiende a otras empresas en línea.
Así es como se desarrolla: los hackers no roban contraseñas reales. Obtienen versiones criptográficas, o hash, de ellas, representadas como un grupo de 1s y 0s. No pueden trabajar al revés para determinar la contraseña real, pero los algoritmos de hash que usan las organizaciones para proteger sus contraseñas son bien conocidos. Así que pueden adivinar las contraseñas (y qué información adicional puede haberse agregado a la contraseña antes de incluirla) y luego ejecutarlas con el mismo algoritmo, y algunas veces obtienen una coincidencia, el mismo grupo de 1s y 0s.
A continuación, aprovechan el hecho de que la mayoría de nosotros reutilizamos los nombres de usuario o las contraseñas (o pequeñas variaciones en ellos) en todas las cuentas. Los atacantes comienzan con un gran número de nombres de usuario y contraseñas. Van de un sitio Web a otro, de forma sigilosa y distribuida, con la intención de validar las credenciales. Van al sitio de un minorista importante y encuentran una docena de cuentas que funcionan allí, luego a un sitio bancario y encuentran las cuentas que funcionan allí. Luego a un sitio de comercio electrónico, y así sucesivamente.
Estas credenciales validadas son valiosas. Los estafadores reales, generalmente personas diferentes, compran las credenciales y acceden a las cuentas para ganar dinero. En los casos más dañinos para los individuos, los estafadores acceden no solo a cuentas minoristas, sino también a cuentas bancarias en línea o personales. Las cuentas de correo electrónico pueden ser las claves del reino porque, por ejemplo, las contraseñas en línea de varias cuentas generalmente se pueden restablecer por correo electrónico.
En resumen, este es un gran problema porque los atacantes y los estafadores son inteligentes, astutos, organizados y automatizados. Las grandes violaciones de datos son su materia prima.
¿Qué hay de diferente en la brecha de Equifax? Los datos robados en la violación de la empresa Equifax pueden alimentar el proceso que acabo de describir, pero eso es solo el comienzo del problema. Se robó información personal profunda, no sólo nombres de usuario y contraseñas, sino también nombres, direcciones y fechas de nacimiento y, lo más importante, números de seguridad social. Con ese nivel de información, los estafadores pueden ir directamente a intentar registrarse para obtener nuevas cuentas: una nueva cuenta bancaria, un nuevo préstamo, un nuevo servicio de préstamo de día de pago, así como nuevas cuentas para comprar bienes y servicios. Hay potencial para una ola de robo de identidad como nunca hemos visto.
La brecha mayor más análoga fue probablemente la de la Oficina de Administración de Personal hace unos años. La información personal profunda sobre 21.5 millones de empleados federales y contratistas fue robada. Curiosamente, no sabemos mucho sobre el alcance del robo de identidad que se produjo. No veo estadísticas al respecto porque es el tipo de cosas que las organizaciones comprometidas no están obligadas a publicar. Pero muchas de las personas afectadas probablemente se inscribieron en los servicios de monitoreo de crédito, incluido Equifax, para reducir sus riesgos. Ahora muchos han completado el círculo y han visto cómo roban sus datos nuevamente.
¿Cuáles son las implicaciones para las empresas? Todas las organizaciones que prestan servicios a los consumidores en línea desean proteger a esos clientes y evitar ser parte, sin quererlo, de transacciones fraudulentas. Esas transacciones tienen costos directos en términos de bienes, servicios y dinero robados, además de costos administrativos para eliminar el daño y restaurar las cuentas de los clientes. La exposición financiera es enorme.
A raíz de la violación de Equifax, las empresas enfrentan un nuevo nivel de preocupaciones de seguridad específicamente en relación con el robo de identidad. ¿Cómo protege a su empresa y a sus clientes cuando su información personal ya no es privada? ¿Y cuándo los delincuentes conocen los puntos de datos que ha estado utilizando para validar las identidades de los clientes?
Los estafadores pueden escribir software que intente abrir millones de cuentas nuevas en miles de empresas diferentes. Si solo un pequeño porcentaje tiene éxito, todavía están tomando mucho dinero. También pueden intentar abrir o cambiar cuentas a la antigua usanza, llamando al centro de llamadas de la compañía y proporcionando toda la información correcta. Ese es un problema más difícil de resolver y requiere más autenticación, pero también es una propuesta mucho más costosa para los atacantes. Aun así, donde el pago parece lo suficientemente alto, se tomarán la molestia de poner a las personas que suenan auténticas en el teléfono. ¿Cuántas personas de atención al cliente están en sintonía con las pequeñas señales de que pueden estar hablando con un estafador, o incluso se les ha pedido que lo piensen?
Los CEO y CIO en organizaciones que brindan servicios basados en Internet que pueden afectar las finanzas de las personas realmente necesitan estar pensando mucho en cómo pueden asegurarse de que los datos que se filtraron no se estén utilizando para convertir a sus organizaciones en vehículos de robo de identidad mediante préstamos originarios, proporcionar beneficios o reembolsos de impuestos, o realizar ventas a personas que no deberían obtener esas cosas.
¿Qué deben hacer las empresas para protegerse y proteger a sus clientes?
Desde la violación de Equifax, cualquier empresa orientada al consumidor en línea debe ser más cautelosa con respecto a las nuevas cuentas y los cambios de cuenta y contraseña, incluso los iniciados por personas por teléfono. Los pasos de autenticación adicionales pueden estar en orden, y los consumidores inteligentes los reconocerán más como precaución que como inconveniente.
La mayoría de las empresas deberían saber cuándo están siendo atacadas por piratas informáticos que intentan adivinar nombres de usuario y contraseñas. Incluso a pequeña escala, puede observarlos si sabe lo que está buscando. También deberían mejorar en distinguir a los humanos de los robots. ¿Es el fallo de inicio de sesión un error de escritura humana o un bot? ¿La entidad que se está registrando para una nueva cuenta en línea es una persona real o un bot con la información robada de alguien?
Si es un bot, ¿se está comportando correctamente? Algunos bots que quieras en tu sitio Web. Por ejemplo, los clientes usan Mint o Yodlee como agregadores de información financiera y les otorgan permiso a esos servicios para acceder a sus cuentas. Y si el bot no se comporta correctamente, ¿puede mostrarle rápidamente la puerta o conducirlo a un laberinto en el que se confunde y su personal de seguridad puede diagnosticar lo que está haciendo?
Más fundamentalmente, muchas empresas necesitan una capa adicional de seguridad que envuelva sus entornos en línea. Esta envoltura no necesita saber cuáles son todos sus activos. Debe ser minucioso para ver quién llega a su dirección y para reconocer las amenazas más recientes.