'Ha habido estafas millonarias con un phishing básico' (Forensics&Security)

Los avances en las tecnologías han intensificado la sofisticación de los ataques a dispositivos digitales. La mayoría de las actividades de transacciones comerciales y personales se realizan de forma electrónica, en las que las transacciones se realizan a través de correos electrónicos y los datos confidenciales se guardan en libretas de direcciones personales y discos duros. La identificación, preservación, recopilación, análisis y presentación de informes sobre las pruebas encontradas en dichos dispositivos se denominan análisis forense informático, un mercado que según la firma de investigación Marketsandmarkes crecerá una media anual del 15,9% hasta 2022, cuando se espera que genere 9.680 millones de dólares. Forensics&Security es una compañía gallega que dedica mucho tiempo a hacer “mucho forense en incidentes de seguridad”. Nos lo cuenta Pilar Vila, CEO y con-fundadora de la compañía junto con Ignacio Díaz, CTO, y Jaime Vila, que ocupa el cargo de CIO.

Este contenido salió publicado en el número de Abril de 2021 de la revista IT Digital Secutity. Descárgatela.

Explica Pilar que entre otras cosas su compañía realizan las tareas de respuesta al incidente y el forense posterior para investigar cómo se produjo el incidente, “porque a la empresa le interesa saber cómo entraron para ver sus puntos débiles, si siguen dentro y si exfiltraron datos”. Insiste Pilar Vila en que lo principal es saber si hubo exfiltración de datos porque ahora “extorsionan mucho”; extorsionar está de moda entre los ciberdelincuentes, quienes desde hace un tiempo han dado una vuelta de tuerca a sus demandas amenazando con publicar la información robada, lo que no sólo puede generar un duro impacto de cada al cumplimiento de GDRP, pero también en las estrategias empresariales al quedar sus planes o investigaciones a disposición de quien las quiera ver. De forma que saber a ciencia cierta si ha habido una exfiltración de datos se convierte en algo fundamental.

“Llevamos tiempo haciendo respuesta ante incidentes, pero no tanto como tenemos ahora”, dice Pilar Vila, añadiendo que desde que empezó el COVID los incidentes y las estafas se han disparado, así como asuntos de competencia desleal a nivel empresarial. El teletrabaja ha reducido el control sobre los empleados y eso ha hecho que este tipo de asuntos se haya disparado. “Siempre hemos llevado mucha competencia desleal en empresa. Quizá el 90% de nuestras peticiones de empresas es competencia desleal, casi siempre de un empleado de dentro, normalmente de confianza porque son los que tienen capacidad de hacer gestiones y tratar con determinados clientes”, asegura la CEO de Forensics&Security.

La compañía empezó estudiando estafas de cinco ceros, e incluso seos, “pero empezamos a ver estafas a pymes, a empresas pequeñas que a lo mejor tienen facturas de 20.000 euros, y a veces con un phishing o, dependiendo de cómo se tenga el servidor de correo, mediante el control de las comunicaciones; el caso es que “ha habido estafas millonarias con un phishing básico, y la persona que pagaba no se ha dado cuenta”, asegura Pilar Vila, añadiendo que el COVID ha impactado de forma total en nuestra forma de vida, en nuestra forma de trabajo, “y eso esta generando una gran cantidad de problemas”.

Tiene mucho que ver la falta de cultura en tecnología, acrecentada cuando se trata de seguridad. Salir en las noticias es uno de los mayores impulsores de un mercado que crece a pesar de las crisis. Hace años que se espera un cambio de actitud por parte de las empresas, sobre todo pymes, sin que tengan que sufrir un incidente de seguridad porque, como asegura Pilar Vila. “los clientes que tenemos sensibilizados son los que han pasado por el incidente”.

Hay que ver la seguridad como una inversión, y no como un gasto, porque a veces es que la salva a la empresa de un cierre. “Hay que empezar a separar presupuesto para seguridad”, aconseja la CEO de Forensics&Security que reconoce que cuando el negocio de los clientes empieza a crecer “quieren hacer auditoría de sus sistemas para ver si sería fácil o no exfiltrar datos de sus sistemas”.

La micro pyme es, asegura, un mundo aparte. Explica Pilar Vila que estas empresas muy pequeñas buscan la supervivencia en su economía y la informática la colocan en el último lugar, lo que es un error porque tienen menos capacidad para soportar un impacto. “Para mí lo importante es contar con una informática robusta y un departamento financiero fuerte. El marketing puede traerte clientes, pero tienes que poder soportarlos, y para eso necesitas tecnología y finanzas, o contar con una empresa informática que tenga un buen servicio”, dice Pila Vila. Y a la falta de concienciación se une el problema de no saber distinguir un buen técnico de otro que no lo es; “creemos que un técnico tiene que saber de todo, incluida la seguridad. Ir tanto a la supervivencia al final nos perjudica”.

Añade esta directiva que estamos en un punto donde la tecnología se ha especializado tanto que no es posible controlarlo todo; “Nosotros, siendo de la rama de la ciberseguridad hay algunas cosas que hacemos, pero otras no”. En el tema de la profesionalización y la especialización, hay cursos, másteres y certificaciones “que te pueden dar una aproximación, un acercamiento a este mundo para que comiences también a cacharrear, porque también es mucho de investigación propia. Añade por último que el profesional tiene mucha responsabilidad en su aprendizaje”.

Un caso de uso

Cuando un cliente sufre un incidente de seguridad Forensics&Security va a sus oficinas y se le hace un informe, recomendándole que ponga una denuncia. Normalmente ahí acaba todo, porque, como explica Pilar Vila, “llegamos aciertas direcciones IP que normalmente son de fuera y ahí suele acabar todo”.

En lo que se refiere a temas periciales y cuando se trata de competencia desleal, normalmente se inicia con una sospecha y lo que hace Forensics&Security es ir, acompañado de un notario, a la empresa del cliente, donde se recoge todo el equipo, que se traslada a la notaría, donde se dejan los originales depositados tras hacer una copia exacta de los mismos. La clave, explica Pilar Vila, es mantener la cadena de custodia para por si hay que ir a un juicio.

Los expertos de Forensics&Security estudian las pruebas y elaboran un informe que determina si ha habido competencia desleal. “Se intenta ser muy garantista en los procesos penales”, apunta Pilar Vila.

También se puede intervenir en temas relacionados con despidos, en casos relacionados con un bajo rendimiento del empleado, para lo que puede tener que demostrarse que estaba todo el día metido en YouTube o leyendo el periódico.

En temas relacionados con conflictos con las empresas, para lo cual puede tener que estudiar el equipo del trabajador, o el WhatsApp, el correo electrónico, etc.

Dice Pilar Vila que casuísticas para aplicar la tecnología pericial hay muchas, pero que lo más habitual en empresas es competencia desleal y estafas, y en particulares temas de separaciones de pareja y despidos. Respecto a las estafas, cuando una empresa paga pero el dinero no llega porque ha sido interceptado, el llamado fraude al CEO, se tiene que saber de quién es la culpa, quién tiene la responsabilidad cuando el dinero se queda en manos de los ciberdelincuentes.

Mercado en ciernes

Además de la pandemia, la mayor visibilidad que se da en los medios de comunicación está impulsando el mercado de análisis forense. Marketsandmarkets menciona también su informe Digital Forensics Market que se espera que el uso masivo de dispositivos de IoT incrementará la demanda de soluciones y servicios de forénsica digital, que además tendrá nuevas oportunidades de mercado en verticales regulados y por el incremento del uso de criptodivisas. Entre los retos menciona la falta de planificación de este tipo de actividades entre las empresas y una “inadecuada” experiencia técnica entre los investigadores digitales.

Apunta Pilar Vila que ha habido un cambio cultural, que los usuarios ya saben que cuando sufren un incidente se puede hacer algo más, que hay opciones, y que eso está impulsando este mercado. “Sabe que hay profesionales a los que puede acudir, pero que aún funcionamos por reacción, no somos proactivos”, señada. Lo habitual, asegura, es que les llamen cuando algo ha pasado, pero que una vez que se realiza la respuesta al incidente pidas más cosas, y es cuando Forensics&Security; “nos están pidiendo mucho testing y mucho análisis de vulnerabilidades porque quieren saber cómo están y cómo mejorar, y eso antes no pasaba”, dice la directiva, aclarando que esta proactividad se da más en pymes de cierto tamaño y que la micro pyme sigue sin dar el paso.

Preguntamos a Pilar Vila qué impacto tienen tecnologías como EDR (Endpoint, Detection and Response), o NDT (Network Detection and Response), en el mercado de analítica forense. “En una respuesta ante incidentes nosotros tenemos que desplegar el EDR para ir levantando equipos”, dice pilar Vila.

Las soluciones EDR llegaron al mercado hace unos años para añadir inteligencia a los antivirus tradicionales, que si bien siguen teniendo cierto valor para la protección del endpoint, no son suficientes. Estas soluciones se van imponiendo, pero no tan rápido como se esperaba. Entiende Pilar Vila que la capacidad económica de la pyme es un factor importante para no tener un EDR, “hay determinadas empresas que no se pueden permitir no tener un EDR, al menos en sus servidores”.

Como consultora ¿qué recomendaciones son las que hacéis para que la empresa sea segura? “Depende del nivel de la empresa”, dice la CEO de Forensics&Security, añadiendo que mínimo sería contar con antivirus y EDRs en los servidores, o tener regulados a los empleados mediante un documento sobre el uso de medios de la empresa; “y de ahí, para arriba”.