Search
Contáctenos

El arte del crimen cibernético

TransUnion
Blog Post04/04/2022
Mitigación de Fraude
imagen que El arte del crimen cibernético

El entusiasmo en torno a las NFTs, las experiencias digitales enriquecidas y los dispositivos conectados a Internet, ponen en evidencia la destreza de los profesionales digitales. Sin embargo, esta racha de creatividad se extiende a los ciberdelincuentes, quienes están desarrollando enfoques muy creativos, sofisticados y a la vanguardia para cometer delitos difíciles de identificar y detectar. El periodo de aceleración digital que estamos viviendo y el "Internet de las cosas" están alimentando las oportunidades para los ladrones y exigen a las empresas que piensen hacia adelante en cómo pueden mejorar ellos mismos y a sus clientes.

el autor: Jamie Bartlett es un galardonado autor y locutor. Él es el autor de The Dark Net y The People Vs Tech. Su proyecto actual es la exitosa serie de podcasts de la BBC, The Missing Cryptoqueen, en la que investiga la multimillonaria estafa de cripto de un esquema Ponzi-piramidal llamado OneCoin.

La creatividad de los criminales

Hace un par de años, navegando por Spotify podías encontrar “Música del corazón” o “Música para el alma”. Ambas eran listas de reproducción altamente populares, aunque la música era terrible. “Música para el alma” contenía 467 canciones arregladas, casi todas de menos de un minuto de duración y compuestas por artistas de los que nadie había oído hablar, pero alguien las escuchaba. Una ingeniosa banda había creado esas listas de reproducción, usando máquinas para generar cada canción (por lo que ellos tenían los derechos de autor), y luego crear miles de cuentas premium para escuchar las canciones de forma aleatoria y en un ciclo de repetición continuo, siempre saltando a la siguiente canción después de 30 segundos y en ese momento el pago de $0,004 dólar por derechos de autor entraba en vigor. Durante meses, miles de cuentas falsas escucharon canciones falsas en listas de reproducción falsas. Lo único real fue el casi millón de dólares que se llevaron. 1

Es difícil no sentir un poco de admiración por la audacia, el ingenio y la perspicacia de los estafadores que están detrás de esta artimaña. Puede que sean inmorales, pero la mayoría de los ciberdelincuentes, ya sea el típico niño encapuchado o un agente de algún gobierno extranjero bien pagado, son tan inteligentes, creativos y motivados como usted. Y ellos no tienen que preocuparse por las leyes de protección de datos ("GDPR").

Hay ejemplos de crímenes cibernéticos creativos y oportunistas por todas partes. ¿Quién fue el primero en descubrir cómo hacer que las criptomonedas funcionen en el comercio electrónico? Traficantes de droga de la Dark Net. Y no había terminado de llegar el Covid-19 cuando los estafadores ya se estaban haciendo pasar por personal de NHS Test and Trace para intentar obtener datos personales, vender pasaportes con vacunas falsas y disparar correos electrónicos ofreciendo paquetes fraudulentos de apoyo económico relacionado al Covid-19. Aunque normalmente ellos tienen habilidades técnicas, su verdadero talento es jugar con las debilidades humanas, especialmente con la pereza y la codicia.

La mayor estafa de criptos en la historia – un esquema Ponzi-piramidal llamado OneCoin estafó a casi un millón de personas con al menos $4.000 millones de euros, sobre todo jugando con el miedo de la gente a perderse "el próximo bitcoin".

Que los ciberdelincuentes seguirán siendo talentosos y oportunistas es un hecho. Lo cual es preocupante porque hay dos tendencias importantes que facilitarán aún más su trabajo y nosotros necesitamos responder.

El internet del todo

Lo primero es que todo se está convirtiendo en un computador, porque todo está utilizando chips y conexiones. La nevera del mañana podrá parecer una nevera, pero en realidad será un computador con una app de nevera. Eso mismo ocurre con un número cada vez mayor de nuestros dispositivos cotidianos: la televisión inteligente, el carro, la mesa de la oficina, la cafetera, la ropa. El especialista en ciberseguridad Bruce Schneier dice que muy pronto decir “voy al Internet” tendrá tanto sentido como enchufar la tostadora y decir “voy a usar la electricidad”. Esto significa que la seguridad informática abarcará toda la seguridad. Los piratas informáticos ya se han adelantado: en 2018 un casino de Estados Unidos fue hackeado a través del termómetro de la pecera que está conectado a internet. Los carros han sido hackeados a través del reproductor de DVD, el sistema de navegación e incluso los computadores integrados en los neumáticos. 2

El internet del todo

Lo segundo es que los computadores seguirán siendo más rápidos e inteligentes. Nadie sabe si la "Ley de Moore" (el número de transistores que caben en un microchip se duplica cada dos años) continuará sin cesar, pero en cualquier caso los computadores mejorarán a la hora de detectar tendencias, discernir patrones y predecir el comportamiento humano. Una vez más, los ciberdelincuentes se han adelantado a detectar la oportunidad.

En un caso reciente, los hackers crearon 250 cuentas bancarias y luego utilizaron el Machine Learning para lavar dinero en las cuentas con etiquetas generadas por la máquina como "comprar un carro" o "regalo para mi padre" . Incluso es posible que, dentro de una década, las máquinas sean mejores para hackear sistemas que los mejores humanos. 4

Crimen totalmente automatizado

No hace falta un doctorado en ingeniería de software para saber lo que va a pasar. La delincuencia se automatizará cada vez más, lo que no difiere de muchas otras industrias. Y cuanto más conectados estemos, más vulnerables seremos.

Este es un escenario al que muchas empresas podrían enfrentarse dentro de poco. Los correos electrónicos de phishing seguirán inundando las bandejas de entrada de los clientes, pero serán mucho más personalizados. Un malware con IA escaneará la red en busca de toda la información disponible públicamente sobre el personal de una empresa para construir perfiles: contactos principales, calendario, publicaciones sociales, grupos de amistad, tipo de personalidad. Si Julie va siempre al mismo restaurante los jueves, nuestro malware de IA le enviaría un correo electrónico el miércoles por la noche pidiéndole que "haga clic aquí" y confirme la reserva. También podría imitar con exactitud el estilo y el tono del gerente del restaurante, y tal vez añadir algunos detalles sobre su última visita. La IA podría incluso llamarla por teléfono, utilizando el último software de imitación de voz y todos los empleados tendrían su propia trampa generada por la máquina, altamente personalizada, con sólo pulsar un botón.

¿Es tan difícil de creer? No es más extraño que alguien te dijera hace veinte años que un día los delincuentes piratearían los servidores de las empresas a través de peceras. En cualquier caso, los ejemplos concretos importan menos que la forma en que esta dinámica general -más conectividad, máquinas más inteligentes y hackers ingeniosos- transformará la ciberseguridad. Pero no es un consejo para desesperarse. Hay muchas cosas que podemos hacer.

Mantenerse delante en la carrera de las armas cibernéticas

En primer lugar, el viejo refrán sigue vigente: el ser humano suele ser el eslabón débil. Hacer las cosas bien (no usar las mismas contraseñas o no hacer clic en enlaces dudosos, todo lo que has oído mil veces antes) seguirá siendo útil. Pero en un mundo de falsificación perfecta por parte de las máquinas, el reto será saber que estás hablando con quien crees que es. Un poco de paranoia será esencial, e incluso debería ser fomentada por los jefes: ¿El director general llama por teléfono el viernes a las 5 de la tarde para procesar urgentemente una factura inusual? Compruébelo en persona. ¿Su banco le envía un correo electrónico pidiéndole que "haga clic aquí" para verificar algunos datos? Vaya a su página web y llámelos directamente.

En segundo lugar, el perfil de riesgo podría cambiar. A medida que la ciberdelincuencia se automatiza, los ataques se dirigirán menos a una empresa y más a un punto débil. Las máquinas escanearán los puertos, los tipos de software, los dispositivos con acceso a Internet, los foros de la Dark Net en busca de cuentas de correo electrónico corporativas, es decir, cualquier punto de entrada que pueda ser explotado automáticamente.

Las pequeñas empresas a veces se imaginan que están bajo el radar criminal, pero los sistemas automatizados no funcionan así. En una prueba reciente, los investigadores pusieron en línea una empresa financiera falsa y esperaron. Al cabo de dos horas, la encontró un robot de piratería automatizado. Quince segundos más tarde había encontrado y explotado todos los puntos débiles, había escaneado la red, robado y compartido nombres de usuario y contraseñas, y había creado nuevas cuentas de usuario para que las utilizaran sus creadores. Esto es especialmente relevante ahora, ya que muchas empresas que antes estaban desconectadas se han visto obligadas a conectarse durante el COVID-19, y otras han implementado el trabajo desde casa, con todos los problemas de seguridad que ello conlleva.

Por último, esté preparado. Aunque lo haga todo bien, puede que lo pirateen. A medida que salgan a la luz más historias de terror -que lo harán-, la mayoría de la gente entenderá que es imposible impedirlo todo. Pero no aceptarán que una empresa no se tome el asunto en serio. Los consumidores esperan cada vez más que acceder a productos y servicios digitales sea una experiencia conveniente y fluida, pero también que las empresas tengan (y demuestren que tienen) medidas sólidas para detectar y detener el fraude, formas precisas de comprobar que las personas son quienes dicen ser, que utilicen los datos de los consumidores de forma responsable y que tengan también buenas soluciones de respaldo. Sin esto, cuando ocurra lo inevitable, los clientes lo culparán a usted y no a los delincuentes que están detrás. En un mundo en el que los datos de los usuarios son más importantes que nunca, ése es el último lugar en el que se quiere estar.


1 https://qz.com/1212330/a-bulgarian-scheme-scammed-spotify-for-1-million-without-breaking-a-single-law/
2 Bruce Schneier, Click Here to Kill Everyone, p1
3 https://www.techrepublic.com/article/how-artificial-intelligence-is-unleashing-a-new-type-of-cybercrime/
4 Bruce Schneier, Click Here to Kill Everyone, p85
5 https://teiss.co.uk/threats/cyber-criminals-ai-tools-large-scale-scams/


Exoneración de responsabilidad: La información divulgada en este blog, era precisa en el momento de la publicación inicial. No garantizamos la exactitud o integridad de la información proporcionada. El contenido publicado en el blog de TransUnion® tiene fines educativos o de interés general, para detalles completos de cualquier producto señalado, visite transunion.co. Este sitio se rige por la política de privacidad de TransUnion® que encuentra en nuestra página web.
© Copyright 2022 TransUnion LLC. Todos los derechos reservados.