Los equipos antifraude que conforman los departamentos de las empresas tienen una media de 15 empleados, destaca un estudio de Experian con motivo del Día Mundial de la Seguridad de la Información.

El Día Mundial de la de la Seguridad de la Información, que se celebra el 30 de noviembre, sirve para «reflexionar sobre las vulnerabilidades a las que organizaciones y empleados se exponen debido al uso indebido que los ciberdelincuentes hacen de la tecnología», explican en Experian, compañía tecnológica especializada en servicios crediticios, analítica avanzada y data.

En Europa, los ciberataques más comunes a las organizaciones son el robo de datos,  de identidad y de cuentas corrientes, según el informe EMEA Fraud Report 2019, realizado por la consultora Forrester para Experian.

En España, el 62% de las empresas considera el robo de datos como el ataque más frecuente. Además, el 41% de las organizaciones se han visto afectadas por el fraude interno, provocado por empleados o distribuidores.

El 40% de las compañías que operan en España considera el robo de identidad un problema importante al que se debe prestar atención.

El 36% considera que el impacto del fraude recae directamente en los controles de seguridad y en las auditorías internas. Para el 32% de las empresas, el fraude se vincula directamente con la pérdida de clientes y  dalñoreputacional. Y la medida para contrarrestar el impacto es apoyarse en el departamento de Customer Experience, según el 29%.

En España el 67% de las compañías tiene previsto invertir en tecnologías antifraude, como machine learning (máquinas capaces de aprender), inteligencia artificial o métricas de comportamiento. Además, el 46% contempla externalizar estos servicios a través de consultoría y servicios de terceros. Los equipos antifraude que conforman los departamentos de las empresas tienen una media de 15 empleados.

Educando en ciberseguridad con Fortnite

El Instituto Nacional de Ciberseguridad (Incibe) potencia su labor de divulgación sobre estas actividades utlizando el famoso juego Fortnite. Desde Internet Segura for Kids (IS4K), ofrece pautas para que los menores puedan jugar de forma segura y responsable, dirigidas fundamentalmente a padres y educadores.

A través de Protege tu Empresa, el Incibe recomienda medidas básicas de seguridad, como el control de acceso a la información, la realización de copias de seguridad, el almacenamiento en la ‘nube’ (cloud), o la reutilización de soportes y equipos. El Incibe ofrece un análisis específico del Deep Web, o Internet profundo, y del contenido oculto en los buscadores tradicionales

Debido a la gran cantidad de información personal y empresarial que se gestiona, los navegadores web son un objetivo potencial para los ciberdelincuentes. Por ello, es crucial para las organizaciones aplicar de medidas de seguridad y privacidad que reduzcan al mínimo la exposición, tanto de los usuarios, como de la propia compañía.

Uno de los aspectos fundamentales para mantener un adecuado nivel de seguridad son las actualizaciones automáticas y el correcto almacenamiento de las contraseñas, subrayan en el Incibe.

Necesidad de concienciación

Para el consejero delegado de PrivacyCloud, Sergio Maldonado, fechas como el Día Internacional de la Seguridad de la Información son «muy importantes para concienciar a los usuarios sobre un mejor uso de las herramientas disponibles para proteger la privacidad de sus datos al navegar por Internet».

«Al conocer en profundidad a qué riesgos se exponen y sus derechos en relación al tratamiento de sus datos por las empresas, podrán retomar el control de su información personal y garantizar una mayor seguridad», argumenta.

Porque muchos usuarios de Internet no toman las medidas necesarias a la hora de navegar, comprar productos ‘online’ o descargar una aplicación, exponiendo sus datos e información sin conocer las consecuencias.

El conocimiento de los datos por parte del usuario es crucial para garantizar una mayor seguridad de su información. Por ello, debe verificar las políticas de privacidad, ya que el 83% de las páginas web más visitadas cuenta con políticas de privacidad abusivas para el usuario.

«Con el objetivo de que los usuarios cedan sus datos a empresas terceras con su conocimiento, es recomendable leer con detenimiento las políticas de privacidad, verificando la información sobre la compañía o servicio que el usuario desea contratar y si sus referencias son fiables», señalan en PrivacyCloud.

Sus expertos también recomiendan que los usuarios lean las ‘cookies’ que aparecen al acceder a diferentes páginas web antes de aceptarlas, ya que tienen como objetivo realizar el seguimiento de los usuarios y de los diferentes sitios en los que navega. El 99% de las webs analizadas por la compañía incumplen la obligación de permitir que el usuario rechace directamente las ‘cookies’ con la misma sencillez con las que se aceptan. Además, en un 9% de las webs, la cesión de datos tras aceptar las cookies es «como un peaje de acceso», ya que hay que proporcionar esa información para poder entrar en esas páginas.

Para proteger la privacidad de los datos el usuario debe conocer el acceso que tienen las aplicaciones a sus datos. Por ello, es recomendable revisar de forma periódica el acceso que tienen las aplicaciones descargadas y ratificar que las condiciones que figuran son las que fueron aceptadas previamente.

No todos los usuarios conocen el Reglamento General de Protección de Datos (RGPD), cuyo objetivo es proteger a las personas en materia del tratamiento de su información personal y la libre circulación de datos.

Por ello, la compañía recomienda a las empresas que detallen qué datos tienen de los usuarios, para qué los recopilan y con quién los comparten. Y a los usuarios les pide que se informen sobre sus derechos así como de saber que debe exigir cómo se realizará el tratamiento de sus datos.

PrivacyCloud recomienda a los os usuarios utilizar gestores de datos personales para revisar, mediante un escaneo, si las aplicaciones descargadas en el teléfono respetan su privacidad.

Cuidado con los servicios de comunicación enriquecida

Ya son varias compañías telefónicas que han implementado los servicios de comunicación enriquecida (RCS), con los que se espera sustituir los servicios de mensajería y llamada actuales. RCS es una tecnología basada en los protocolos de Internet SIP y HTTP que permite implementar llamadas grupales, videollamadas o intercambio de archivos. Desde que Google anunció sus planes para impulsar RCS en junio, ya son 67 países los que han desplegado esta tecnología de forma activa y dos países que están todavía probando este sistema.

Un estudio realizado por SRLabs analizó los riesgos de seguridad en los despliegues de RCS. Durante la investigación descubrieron algunos fallos que permitían a los ‘hackers’ hacerse con el control de las cuentas de los usuarios.

El cliente más extendido de RCS, Mensajes de Android, no incluye un dominio y certificados de validación lo suficientemente seguros, lo que permite a los ciberdelincuentes interceptar y manipular las comunicaciones a través de la suplantación de identidad de sistema de nombre de dominio (DNS).

Al no validar efectivamente la identidad del usuario, se pueden llevar a cabo suplantación de identidad en llamada, fraude o seguimiento de los usuarios «sin equipos sofisticados ni información adicional sobre el objetivo», indican desde la compañía de ciberseguridad. Además, dependiendo de la configuración de la red, los atacantes pueden hasta interceptar los códigos OTP enviados por SMS, que sirven para validar compras ‘online’, entre otras tareas.

Todas estas vulnerabilidades se pueden mitigar si las compañías empiezan a emplear mejoras en la seguridad de esta tecnología como la autenticación utilizando un elemento seguro, aplicando la limitación de velocidad, usar códigos de verificación de OTP más fuertes o reforzar las cadenas de confianza, señalan en SRLabs.