BLOG

El coste de la ciberdelincuencia en nuestro bienestar emocional

Miniatura de Ian Lauth
Ian Lauth
Publicado el 10 de octubre de 2022

No me importa un comino mi reputación.

Joan Jett & the Blackhearts tuvieron el lujo de cantar esas letras antes de la era moderna de Internet, cuando la contracultura era subversiva, genial y vanguardista.

Hoy en día, la contracultura es la corriente dominante. Y nuestra reputación online lo es todo. Nuestras personalidades digitales están deliberadamente seleccionadas, son muy visibles y están estrictamente controladas a medida que nos casamos cada vez más con los dispositivos que tenemos en el bolsillo.

Entonces, cuando las cuentas son pirateadas debido al credential stuffing y los actores maliciosos se aprovechan, los resultados pueden ser devastadores a un nivel muy personal.

Pánico, vergüenza y bochorno.

Son sentimientos reales que resultan de cosas que ocurren en nuestro mundo digital.

Esto es especialmente cierto en el caso de la apropiación de cuentas en las redes sociales, que el Centro de Recursos contra el Robo de Identidad (ITRC) ha denominado una “epidemia de apropiación de cuentas”.

Según el ITRC , que en 2021 tuvo casi 15 000 víctimas de delitos de identidad que se comunicaron con ellos para recibir servicios de apoyo (un récord en sí mismo), hubo un aumento del 1044 % en las apropiaciones de cuentas de redes sociales de 2020 a 2021. Una estadística sorprendente

Como seguimiento, el ITRC realizó una encuesta a víctimas de apropiación de cuentas de redes sociales y descubrió que el 66 % informó haber experimentado fuertes reacciones emocionales al perder el control de su cuenta de redes sociales: El 92% se sintió violado, el 83% preocupado y ansioso, el 78% enojado, el 77% vulnerable y el 7% suicida.

En el espíritu del Día Mundial de la Salud Mental , estas son estadísticas importantes a tener en cuenta dentro del ámbito de la ciberseguridad. Y si bien para algunos puede resultar fácil considerar el robo de identidad en las redes sociales como un mero inconveniente, estas cifras demuestran cuán estrechamente vinculada está la reputación en línea de una persona con su bienestar emocional.

Tomemos como ejemplo a un par de amigos míos, Trevor y Stacey, cuyas cuentas de redes sociales fueron hackeadas presumiblemente por el mismo ataque de credential stuffing en julio de 2022. Ninguno había configurado su autenticación de dos factores.

Ambos amigos son profesionales exitosos que eran activos en las redes sociales y uno de ellos resultó ser un entusiasta moderado de las criptomonedas.

Los malos actores publicaron en sus historias de Instagram un mensaje no tan sutil sobre involucrarse en un esquema de minería de bitcoin. Era una captura de pantalla de la pantalla de bloqueo de un iPhone que incluía una foto de su perfil (en el caso de Trevor, una foto de él y su esposa de su perfil) y mostraba un mensaje de texto falso de BofA, seguido de una captura de pantalla de su supuesta cuenta bancaria:

Si bien no hace falta ser un experto en ciberseguridad para reconocer que se trata de una estafa, podría resultar una táctica de phishing eficaz, ya que proviene de la cuenta real de la fuente confiable dentro de un ecosistema social que no es conocido por el abuso.

Intrigado por la sofisticación de estos atacantes (y porque nunca dejaré pasar la oportunidad de hablar directamente con nuestros homólogos de sombrero negro), respondí a la historia para ver cuán efectivo era su mensaje:

Lo sé, lo sé. Soy un buen amigo, ¿verdad?

Fue una experiencia terrible para ambos individuos. Trevor pudo utilizar el proceso de verificación de reconocimiento facial de Instagram, que escanea tu rostro y lo compara con su infinita biblioteca de fotos etiquetadas. Pudo recuperar el acceso en 27 horas y configurar su autenticación de dos factores.

Stacey, por otro lado, abandonó las redes sociales por completo. La experiencia fue demasiado vergonzosa y le generó tanta ansiedad que simplemente se levantó y se fue. Decidió que todo eso de tener una personalidad en el ámbito digital no era para ella.

Esto no es inusual. Un estudio de 2020 sugiere que el 28% de los consumidores dejarán de usar un sitio web si su cuenta fue pirateada.

Pánico, vergüenza y bochorno.

No es el tipo de sentimientos que queremos que tengan los usuarios finales cuando confían en nuestros productos. Y aunque este ejemplo puede ser específico de las redes sociales, el sentimiento es algo que todos podemos compartir.

Ya sea que se trate de redes sociales, tecnología financiera, comercio electrónico o cualquier otra organización con una base de usuarios explotable, el credential stuffing es un juego del gato y el ratón que llegó para quedarse y con un impacto sorprendente.

Según Javelin Strategy and Research en su Estudio de fraude de identidad de 2021 , el fraude de apropiación de cuentas (ATO) resultó en más de $6 mil millones en pérdidas totales en 2020. Las empresas crean nuevas defensas, los piratas informáticos desarrollan herramientas para eludir estas salvaguardas y el ciclo continúa.

¿Cómo pueden entonces las empresas contraatacar ?

En un informe reciente de Aite Group , se entrevistó a ejecutivos de riesgo de instituciones financieras, prestamistas de tecnología financiera y empresas de comercio electrónico para conocer cómo se están protegiendo del creciente volumen de ataques ATO.

Entre las conclusiones clave:

  • La mayoría de los consumidores utilizan los mismos nombres de usuario y contraseñas en todos los sitios web, una vulnerabilidad que explotan las redes de delincuencia organizada.
  • La superficie de ataque disponible sigue ampliándose, lo que hace más compleja la detección y la mitigación.
  • Las organizaciones necesitan una solución que saque partido del análisis de datos en tiempo real para seguirle el ritmo a los ataques automatizados y bloquear las actividades malintencionadas antes de que afecten al negocio.
  • Las empresas con defensas resistentes verán cómo disminuye el volumen de ataques a medida que los delincuentes vayan centrando sus ataques en objetivos más fáciles.

Más allá de las obvias consecuencias de los ataques ATO, es importante recordar que estos crímenes tienen un impacto humano real.

Detener el fraude no se trata sólo de ahorrar dinero. Es igualmente fundamental prevenir el tipo de trauma humano que corroe subrepticiamente las fibras fundamentales de un futuro digital más ideal. Al igual que en el mundo físico, lo que deseamos requiere seguridad, protección y confianza.