Marca, negocio y fraude

El phishing y el fraude se asocian con mayor frecuencia (y lamentablemente) a las industrias financieras y bancarias.  

Fraude es simplemente otra palabra para engaño, trampa, estafa y artimaña. Y esos son exactamente los medios por los cuales los atacantes obtienen credenciales de usuarios corporativos todos los días. A través de phishing y de malware depositado en los activos corporativos por el simple acto de navegar. Ah, ya sé, no se permite que los usuarios corporativos naveguen en ese tipo de sitios. ¿Pero les permitimos navegar por la BBC? ¿Newsweek? ¿El New York Times? ¿Qué tal MSN? Todos fueron víctimas recientes de malvertising , donde los malos usan sitios de primer nivel para distribuir anuncios en línea cargados de malware a través de empresas de publicidad en línea. Ah, y tienes un software antivirus ejecutándose, por supuesto. Pero solo el 25% del malware del mundo real es detectado por los antivirus según los Cinco hábitos del malware altamente exitoso . Seguramente habrás tenido múltiples sesiones de “concienciación sobre seguridad” con tus empleados para enseñarles a reconocer las señales de un intento de phishing. Y, sin embargo, casi el 50% de las víctimas abren ese correo electrónico y hacen clic en el enlace dentro de la primera hora de recibirlo .

Ahora bien, no olvidemos que las personas acceden a sus instituciones financieras, donde los malos recurren en gran medida al phishing y al malware, desde el lugar de trabajo. Una investigación de IDC indica que entre el 30 y el 40% del tiempo de acceso a Internet en el lugar de trabajo se dedica a actividades no relacionadas con el trabajo. Esa puede ser la razón por la que nuestro SOC F5 descubrió que los intentos de phishing eran significativamente mayores durante la semana que los fines de semana, siendo el lunes un día muy popular para realizar phishing. Si un empleado está haciendo operaciones bancarias el lunes por la mañana y es víctima de un ataque de phishing destinado a robar sus credenciales financieras, es probable que los malos también obtengan las corporativas. Porque los antivirus no detectan todo y las personas siguen siendo víctimas de ataques de phishing. Esas credenciales corporativas son tan vendibles en el mercado abierto como cualquier otra, es decir, muy...

Luego están los empleados que acceden a los activos corporativos a través de una VPN SSL u otro portal “protegido” desde fuera de las paredes corporativas. Al malware que se encuentra actualmente en sus navegadores realmente no le importa si está obteniendo credenciales corporativas o de consumidores. Todos ellos tienen algún valor para el atacante, y ya que hicieron todo el esfuerzo para infectar ese dispositivo, ¿por qué no aprovechar todo lo que puedan?

La realidad es que el “fraude” no es algo exclusivo del sector financiero y bancario. Oh, ellos son los más afectados y sufren el impacto más inmediato porque los malos van detrás del dinero que se les ha pedido que administren para el resto de nosotros. Pero si recordamos algunas de las “grandes” violaciones de los últimos años, la mayoría de ellas apuntan a una única causa raíz: el robo de credenciales.

Credenciales que pueden haber sido robadas a través de phishing o malware directamente o a través de troyanos que lograron eludir los sistemas de detección tradicionales y brindaron a los malos una entrada fácil a su red. A partir de ahí, los datos suelen ser el objetivo. Datos tanto de clientes como corporativos. Lo siguiente que sabes es ¡bam! Estás en la portada de la revista “Adivina quién no protegió tus datos esta semana*”.

Los costos de resolver esa brecha van mucho más allá de lo técnico y operativo.

Impactos en la marca y el negocio

Ah, y por supuesto, hay costos de recuperación y limpieza. Los recursos se reasignan para erradicar cada instancia de malware y puertas traseras derivadas de esa única expedición de phishing exitosa. Los escritorios se borran y se reinstalan para eliminar aquellos que ingresaron mediante descargas automáticas o publicidad maliciosa.  Se produce una pérdida significativa de productividad en las unidades de TI y de negocios, lo que afecta sus resultados finales.

Y luego es cuando se produce el impacto de la marca. Los Twitter están llenos de sentimientos de enojo. Su marca, hasta ahora impecable, se ha convertido en un meme burlón que se propaga más rápido que el primer resfriado invernal en una escuela primaria.

Una vez que los escritorios estén limpios y se hayan implementado protecciones más fuertes, las consecuencias de una violación seguirán dañando la reputación de su marca y usted tendrá que abordar ese problema. Según un estudio reciente, más de la mitad (57%) de las organizaciones admiten que los incidentes de seguridad tuvieron un impacto negativo en su reputación, costando a las pequeñas y medianas empresas más de $8000 y a las empresas más de $200 000. Parte de esos costos provienen de la contratación de agencias externas para ayudar a gestionar la abrumadora demanda de respuestas, respuestas a preguntas y asesoramiento sobre cómo proceder. Parte de esto proviene de los costos incurridos para satisfacer las expectativas de los consumidores de brindar protección contra el robo de identidad (63%), servicios de monitoreo de crédito (58%) y compensación en forma de efectivo, productos o servicios (67%).

Parte de ello se debe a la pérdida de clientes, porque resulta que la marca es un factor importante en las decisiones de compra de los consumidores. Generalmente el precio se considera el factor número uno, pero resulta que las consideraciones sobre el precio son relativas a la reputación de la marca . Los consumidores pagarán más por una marca con buena reputación, lo que hace imperativo que después de una violación su marca sea reparada lo antes posible.

Pero el daño no se limita a los consumidores, aunque ese suele ser el primer lugar donde miramos. Resulta que el reclutamiento también se ve afectado. Atraer el talento adecuado requiere dinero, y el informe Employer Branding Global Trends señaló que las buenas marcas empleadoras experimentaron una tarifa de contratación 22% más baja. Eso suponiendo que puedas interesar al talento desde el principio. La misma encuesta encontró que el 45% de los potenciales empleados colocan la percepción que otras personas tienen de la empresa para la que trabajan en su lista de “importantes” cuando se trata de elegir un nuevo trabajo. La marca influye en si las personas quieren o no trabajar para una organización, por lo que las infracciones pueden afectar negativamente su capacidad de atraer (y potencialmente retener) el talento que necesita para tener éxito hoy.

Abordar el fraude web

La buena noticia es que existen herramientas que abordan las amenazas del phishing y el malware. Muchos de ellos. El problema es que generalmente se los clasifica como “antifraude” y se los menciona en el contexto de las finanzas, la banca y otras industrias basadas en el dinero . Pero las soluciones no son exclusivas de las finanzas y la banca; no hay nada mágico en la forma en que esas industrias interactúan con los clientes que haga que la lucha contra el fraude sólo sea aplicable para protegerlos, porque en realidad se trata de detener el fraude web : el uso de aplicaciones y tecnologías web para engañar, estafar y coaccionar a las personas para que entreguen sus credenciales. 

Lo que hacen las soluciones contra el fraude web es buscar y prevenir el robo de credenciales que en última instancia ayudan a los atacantes a violar la seguridad. No importa si buscan dinero o datos; una vez que recopilan credenciales, recopilan cualquier credencial, ya sean corporativas o de consumidores. Si los empleados acceden a recursos corporativos mediante una máquina comprometida, los malhechores obtienen las credenciales corporativas junto con todo lo demás. Y eso debería ser una preocupación para las empresas de cualquier industria.

* No es una publicación real, pero después de la serie de infracciones de los últimos años, parece que es necesaria, ¿no es así?