LOS DECÁLOGOS PARA EVITAR SER VÍCTIMA DEL FRAUDE ONLINE, SEGÚN S21SEC

• Como evitar ser víctima de un robo bancario al igual que el presidente galo, Nicolás Sarkozy

• S21sec te ofrece las claves para evitar ser víctima del fraude online tanto si eres una empresa como si eres un particular

La compañía de seguridad digital S21sec, especializada en servicios de seguridad digital y líder en el sector, presenta sus decálogos de medidas para ‘luchar’ contra el fraude online. La experiencia de S21sec en temas de seguridad digital le ha llevado a ofrecer su conocimiento, a través de estos sencillos decálogos, tanto a particulares como a empresas.

A pesar de que todos pensamos que ‘eso no nos pasará a nosotros’ la realidad es que cualquiera podemos ser la próxima víctima. Como se ha visto en la reciente noticia publicada por los medios en la que se refleja el robo sufrido por el presidente galo, Nicolás Sarkozy, a manos de piratas informáticos, todos podemos convertirnos en víctimas, ya seamos empresas o particulares.

Como afirma Xabier Mitxelena, director general de S21sec: “La velocidad con la que evolucionan los riesgos de utilizar Internet es tan rápida que es prácticamente imposible detenerse un momento a reflexionar y mirar hacia atrás. S21sec posee una visión de la evolución de los distintos tipos de fraude online desde sus orígenes en 2005. Esta evolución tan frenética está presente en la Seguridad de la Información, área cada vez más importante en todas las organizaciones, por lo que se exige una adaptación continua a los cambios y modificaciones de los peligros que acechan sin descanso: implica estar disponible online 24 horas al día, 365 días al año”

Hace tiempo que terminó la época, en la que muchos de los ataques eran fruto de la curiosidad y de demostrar la valía de ciertos adolescentes. Hoy, existen bandas de crimen organizado que utilizan todos los recursos y tecnologías presentes en Internet para garantizar su anonimato y cometer todo tipo de fraudes.

El objetivo que subyace en la mayoría de los ataques es siempre un motivo económico, pero muchas veces también se intercalan motivos políticos o relacionados con el espionaje industrial.

Durante la primera mitad de 2008, la unidad S21sec e-crime detectó y solucionó un total de 1.842 casos de phishing, troyanos, redirectores y otras actividades calificadas de fraude online dirigidas a entidades financieras en España.

DECÁLOGO DE MEDIDAS CONTRA EL FRAUDE ONLINE
CONSEJOS PARA LAS ORGANIZACIONES
1. Sea consciente de que la seguridad es un aspecto crítico para su negocio. En nuestros días, el valor fundamental de una compañía son los activos intangibles. Un fallo en el funcionamiento de los sistemas informáticos de la compañía o una pérdida o robo de información pueden suponer un tiempo de inactividad –con las consiguientes pérdidas económicas- o, incluso, la desaparición para un negocio. Además, en determinados sectores, como la banca y el comercio electrónico, es necesario generar confianza en los consumidores y usuarios actuales y potenciales, y sólo un adecuado nivel de seguridad garantiza la credibilidad del negocio.

2. Cuente los recursos destinados a proteger la seguridad de sus sistemas de información como una inversión, no como un gasto. Se trata de mantener la seguridad de un aspecto crítico para su negocio. Por tanto, debe abordarlo como un aspecto global, que debe impregnar todas y cada una de las rutinas y procesos que tengan lugar en la organización.

3. Conozca sus debilidades. Encargue a profesionales especializados un estudio de vulnerabilidades de sus sistemas de información, para conocer en detalle los riesgos a los que está expuesta su organización, tanto externos (atacantes, código malicioso…) como internos (mal uso de la información por parte de empleados o acceso de éstos a información confidencial).

4. Actualice el software, antivirus y cortafuegos de su empresa. Aunque no es suficiente para alcanzar un grado óptimo de seguridad, mantener al día los programas informáticos con parches de seguridad y actualizaciones, antivirus y cortafuegos de la empresa ayudará a mantener a raya a virus, troyanos y otros tipos de código malicioso.

5. Vigile los accesos y el tráfico de información de sus sistemas informáticos. Hoy día, los profesionales especializados pueden monitorizar permanentemente las entradas y salidas a los sistemas de información de una organización y todo el tráfico que se produce dentro de los mismos. Relacionando todos esos datos entre sí, se pueden detectar intentos de acceso fraudulento o extracciones anómalas de información y comprobar si efectivamente se trata de un intento de delito, lo que permite, en caso de que así sea, tomar las medidas oportunas.

6. Manténgase atento a los movimientos sospechosos que puedan producirse en su entorno. Los servicios de vigilancia digital permiten detectar el registro de dominios o sitios web que intenten suplantar el nombre de la organización, copiar su home o utilizar fraudulentamente su marca. Atajar estos movimientos a tiempo puede evitar que la organización sea víctima de un futuro fraude o vea seriamente dañada su credibilidad.

7. Establezca una política clara de acceso a la información. Ya sea a través de un sistema de claves o de cualquier otro, defina claramente quién puede acceder a cada información y en qué condiciones. De esta forma, podrá controlar mejor la seguridad de sus activos digitales.

8. Ponga en marcha un plan de formación interna en materia de seguridad. Todos los miembros de la organización, así como clientes, proveedores y todo aquel que tenga acceso a los sistemas de información deben recibir formación en materia de seguridad e implicarse en la tarea de mantenerla, desde el director general hasta el último trabajador.

9. Deje la seguridad de la organización en manos de profesionales. Sólo los expertos podrán analizar sus necesidades y ofrecerle lo que más le conviene, protegiendo sus sistemas de información y liberando al personal interno de esa tarea.

10. Instaure una verdadera cultura de la seguridad en su organización. Implíquese, implique a todos los miembros de su equipo, trate la seguridad como un aspecto estratégico para su negocio y déjela en manos de expertos. Si, a pesar de todo, su empresa es víctima de un delito, póngalo en conocimiento de los profesionales y de las autoridades y ellos actuarán para minimizar en lo posible el impacto de ese ataque.

CONSEJOS PARA LOS PARTICULARES
1. Acceda siempre a la web de su banco o a los portales de comercio electrónico desde un ordenador de su confianza. No realice transacciones electrónicas, en especial aquellas que impliquen la introducción de claves privadas, a través de un ordenador de uso público.

2. Mantenga el navegador y el antivirus actualizados y con los últimos parches de seguridad instalados. De esta forma, estará más protegido ante cualquier código malicioso que busca introducirse en su ordenador para capturar las claves cuando usted las introduce.

3. Manténgase informado de las últimas novedades en materia de seguridad informática. Lea también las recomendaciones y avisos de seguridad que su banco o caja publica a través de su web.

4. No facilite nunca sus claves personales a terceros por teléfono, fax o por correo electrónico. Su banco nunca le contactará por estas vías para pedirle este tipo de información.

5. Desconfíe de los correos electrónicos que le soliciten sus claves con urgencia. Suelen utilizar argumentos como la detección de un posible fraude, problemas técnicos o concursos, y amenazan con cerrar o bloquear su cuenta si no envía sus claves por correo o las introduce en una web a la que se accede a través de un enlace adjunto. Si sospecha, contacte directamente con su banco o caja.

6. Acceda a su banco o a los portales de comercio electrónico tecleando siempre la dirección URL en el navegador. No acceda a estos sitios web a través de enlaces proporcionados por terceros: pueden conducirle a una copia de la web auténtica creada para capturar sus claves.

7. Cuando se disponga a realizar transacciones electrónicas, asegúrese de que la web utiliza un protocolo seguro. Esto puede comprobarse fácilmente observando si la URL comienza por https://, donde la “s” indica que se trata de un sitio seguro. También debe aparecer un candado en la parte inferior derecha de la pantalla. Dado que algunos delincuentes falsifican este símbolo, es conveniente comprobar su autenticidad haciendo doble clic sobre él: de esta forma, aparecerá la autoridad certificadora de la seguridad del sitio.

8. Compruebe regularmente los movimientos de su cuenta bancaria. De esta forma podrá saber si se ha producido alguna transacción que usted no ha ordenado y actuar en consecuencia.

9. Si en algún momento sospecha que se encuentra ante un caso de phishing, o que usted ha sido víctima de un delito de este tipo, contacte con su entidad bancaria. Ellos se encargarán de minimizar el impacto del ataque y de tomar las medidas oportunas para atajar el ataque a tiempo.

10. Actúe en todo momento con sentido común: sea cauto. Ante la más mínima sospecha, contacte con su proveedor de servicios financieros. Ellos resolverán sus dudas.

DECÁLOGO DE PROTECCIÓN CONTRA FUGAS DE INFORMACIÓN
1. Definir los niveles de clasificación de la información dentro de una empresa (sensible, confidencial, top secret...) y aplicar estos niveles a toda información ya sea digital o en papel.

2. Establecer en la política de seguridad de la empresa buenas prácticas relacionadas (tiempo para acceder a lo imprimido, mesas limpias de documentos, destrucción de información importante (papel, copias de seguridad, etc).

3. Acceder a la información importante sólo desde dispositivos y redes autorizadas (evitar cibercafés, ordenadores de casa, redes públicas wireless, etc).

4. Utilizar el 'need to know', es decir, evitar el acceso a la información si realmente no existe una necesidad.

5. Monitorizar el acceso y uso de la información importante (herramientas de gestión de logs y herramientas DLP: Data Loss Prevention).

6. Monitorizar la información que existe en Internet sobre la organización

7. Establecer sesiones de formación dentro de la organización para los empleados en temas de concienciación tests anuales (ingeniería social, clasificación de la información...).

8. Conocer las últimas técnicas utilizadas en delitos de ciberespionaje o conseguir un asesoramiento por parte de empresas especializadas.

9. Establecer capas de seguridad a todos los niveles (perímetro, puesto de usuario, salida...) para evitar posibles intrusiones tanto externas como internas.

10. Realizar tests de intrusión tanto externos como internos para conocer los riesgos existentes.

Sobre S21sec
S21sec, compañía española especializada en servicios de seguridad digital y líder en el sector, fue fundada en el año 2000 y cuenta con más de 230 expertos certificados. La investigación y desarrollo han constituido un objetivo prioritario en la estrategia de S21sec desde sus inicios. Esto le ha llevado a crear el primer centro de I+D+i especializado en seguridad digital de toda Europa. S21sec opera con el 90% de las entidades financieras y 26 de las grandes empresas que cotizan en el IBEX 35. Con oficinas en Pamplona, San Sebastián, Madrid, Barcelona, Sevilla, León, Murcia, Londres, México D.F. y información en www.s21sec.com.