Transacciones seguras en la empresa

Publicado el 02/07/2014, por Jorge Chinea López
Transacciones seguras en la empresa

Uno de los grandes cambios tecnológico que ha supuesto Internet para las empresas, es la posibilidad de poder hacer transacciones y trámites de todo tipo totalmente online desde cualquier sitio y en cualquier momento.

Realizar gestiones con nuestra entidad financiera, realizar los trámites con la Agencia Tributaria (AEAT), realizar compras de bienes o servicios, y un largo etcétera nos permite realizar de todo tipo de trámites o transacciones a través de medios telemáticos. Esto ha supuesto un gran número de ventajas con la reducción de costes, recursos y tiempo que supone respecto de otros procedimientos tradicionales: horarios limitados, perder el tiempo en colas, etc.

Si en los sistemas tradicionales guardábamos ciertas precauciones cuando llevábamos dinero de la empresa en nuestro bolsillo, información sensible sobre alguna compra, etc. este tipo de riesgos se presentan también en los tramites online. Por lo que junto con sus grandes ventajas, también es necesario tener en cuenta que tenemos que realizarlas con las garantías de seguridad adecuadas.

¿Qué tenemos que tener en cuenta?

Para los trámites y las transacciones on-line, desde la perspectiva de la ciberseguridad, hay que considerar dos puntos:

  • servicios sensibles. Dentro de los trámites que realizamos (con la Administración o con otros actores) se encuentran algunos que tienen relación con procesos críticos de nuestra empresa por el tipo de tipo de acciones que se pueden realizar con ellos. Por ejemplo, acceso a la declaración de la renta o liquidación del IVA, realización de operaciones con cuenta bancaria, etc.
  • información sensible. En ocasiones dentro de las trámites que realizamos en Internet podemos estar intercambiando información confidencial o sensible. Por ejemplo, desde un usuario y contraseña para dar acceso a algún servicio hasta algo tan sencillo como los datos sometidos a Ley Orgánica de Protección de Datos (LOPD), pasando por la información financiera.

¿Qué ocurriría si un ciberdelincuente tiene acceso simplemente a datos financieros de nuestra empresa? O ¿si accede a información confidencial o sensible protegida por la LOPD? Las consecuencias pueden ser bastante graves.

¿Cuál es el motivo?

El mundo de la ciberdelincuencia en general, se rige igualmente como el mundo empresarial, por un «modelo económico»: ley de la oferta y demanda. Esto quiere decir que ante el auge de las transacciones y trámites online ha hecho que el mundo de los ciberdelincuentes haya fijado como objetivo este tipo de transacciones, ya que el número de posibles víctimas es cada vez mayor. Además, tenemos que tener en cuenta que en el trasfondo el principal motivo para los ciberdelincuentes es el beneficio económico.

¿Cómo lo consiguen?

En el fondo los mecanismos utilizados por parte de los ciberdelincuentes, no son muy diferentes que los utilizados en el «mundo real»: el engaño o también conocida como ingeniería social.

En el fondo los mecanismos utilizados por parte de los ciberdelincuentes, no son muy diferentes que los utilizados en el «mundo real»: el engaño o también conocida como ingeniería social.

Podemos distinguir tres tipos métodos según la técnica empleada:

  • Bulos o Información falsa. los ciberdelincuentes a través de información falsa, buscan que el usuario de forma voluntaria realice algún tipo de acción. Por ejemplo, envían millones de correos electrónicos con contenido falso generados por redes de ordenadores infectados que suelen ofrecen «grandes chollos» de trabajos o informan de una herencia que está esperando para obtener datos bancarios o solicitan ayuda para poder sacar dinero de su país. También suelen remitir un correo electrónico donde pretenden que el usuario haga clic en un enlace que le redirige a un sitio falso, una vez llegado al sitio falso le solicitará datos financieros o el usuario/contraseña de acceso (esta técnica es conocida como phishing). Aunque tradicionalmente este tipo de información falsa suele llegar a través de correo electrónico, estos métodos actualmente también pueden extrapolarse: a chats, servicios de mensajería instantánea como whatsapp, line, etc.
  • Sitios web fraudulentos o no confiables. Cuando el medio es un portal web. Por un lado podemos encontrarnos con sitios web que pueden ofrecer información que puede resultar útil pero combinada con información fraudulenta para engañar al usuario. Por otro lado, como señalábamos anteriormente puede mostrarse una copia o imitación de una web auténtica y que aparentemente parece fiable, pero sin embargo es utilizada para el robo de nombres de usuario y contraseñas (phishing). Otra técnica que utilizan como plataforma de infección las webs es cuando sirve como punto de propagación de código malicioso entre los usuarios que lo visitan, entre otras actividades delictivas; además en este tipo de casos, en algunas ocasiones podrían permitir la obtención de información en la transacción o en alguno de los servicios de la entidad suplantada.
  • Código malicioso, malware. Esta técnica, que popularmente es conocido como virus, es la más utilizada al tener mayor potencial para poder hacer todo tipo de actividades por parte de un ciberdelincuente: acceso a información, robo de usuarios y contraseñas, ser punto de acceso a procesos y servicios de la empresa, etc. Además también permitiría que desde el equipo infectado pueda ser utilizado para realizar actividades delictivas en terceros, al incluir por ejemplo el ordenador comprometido en una red de ordenadores bajo el control del ciberdelicuente (red de ordenadores zombie): lanzar un ataque coordinado, enviar correos de spam, etc.

La combinación de estos métodos hace que la capacidad de un ciberdelincuente para poder conseguir su objetivo sea mayor. Además, siguiendo la «ley de oferta y demanda» que indicábamos anteriormente, ante el crecimiento del uso de dispositivos móviles en el entorno empresarial, estás técnicas se están adaptando a las nuevas plataformas en algunas de sus características, pero siguiendo en sus fundamentos las técnicas anteriores.

Écu (bouclier)

¿Cómo me puedo proteger?

La industria de la seguridad tiene respuesta para estas amenazas, a través de diferentes herramientas que podríamos considerar básicas, así como de otro grupo más avanzado que nos puede permitir conseguir un mayor nivel de protección. Pero sin duda alguna hay una herramienta fundamental para la protección ante cualquier de las técnicas que utilizan los ciberdelincuentes: el sentido común.