Antes de que existiera Elizabeth Holmes o el Festival Fyre, estaba el príncipe nigeriano. Durante décadas, este estafador digital se ha filtrado a través de filtros de correo no deseado para ofrecerle una oportunidad única en la vida: Estimado amado, escribe: Soy un real rebelde que viene a usted con una increíble oportunidad de inversión. Señor, dice, ¿sabía que tiene millones de dólares sin reclamar en una cuenta de Western Union? Puedo ayudarte a sacarlo. Todo lo que necesita es un pequeño adelanto en efectivo o un número de cuenta bancaria para completar la transferencia bancaria. Entonces, estas riquezas inesperadas son tuyas.
La mayoría de la gente sabe esto por lo que es: una estafa. También conocido como el 419 fraude, el príncipe nigeriano es una variación de los siglos de antigüedad Prisionero español estafa, una estafa de tarifas anticipadas que surgió después de la Revolución Francesa, donde la gente enviaba cartas escritas a mano solicitando ayuda para un noble (inexistente) encarcelado falsamente. Si bien está estrechamente relacionado con Internet temprano, el príncipe nigeriano se globalizó por primera vez en la década de 1980 cuando los estafadores de África Occidental comenzaron a enviar cartas fraudulentas a todo el mundo. Hoy, parece más como un línea final que una amenaza real, pero al príncipe nigeriano todavía se le paga: en 2018, la estafa trajo más de $ 700,000
Pero los estafadores también están utilizando la psicología fundamental del fraude 419 de formas más innovadoras y peligrosas. "Todos solíamos reírnos (del príncipe nigeriano) hace 15 o 20 años", dice Armen Najarian, el jefe de identidad de Agari. Pero "ese príncipe nigeriano ha crecido, ha ido a la universidad, ha aprendido una o dos cosas y ha encontrado una nueva carrera lucrativa". Lo que una vez pareció una grift simple y aislada se ha convertido en una amenaz a de billones de dólares.
Ingeniería social
El 419 flimflam es quizás el ejemplo más conocido de ingeniería social, una gama de estrategias que los estafadores usan para manipular a sus objetivos para que compartan información personal o confidencial y permitan un mayor ataque.
Jacob Dorval, director global del grupo adversario en SecureWorks, lidera un equipo de hackers éticos que simulan ataques para identificar puntos débiles en el protocolo de seguridad de un cliente. Él dice que la mayoría de los ataques de ingeniería social comienzan con una forma de phishing: un correo electrónico, una llamada telefónica o incluso una interacción en persona con una fuente aparentemente confiable que realmente busca sus datos privados.
"En este momento, un ejemplo perfecto sería el coronavirus", dice Dorval. Un pirata informático podría crear una falsa advertencia de salud pública y hacer circular la página falsificada a los empleados de una empresa objetivo. "Tal vez aparece con una réplica exacta de su página de recursos humanos y dice que debe iniciar sesión para ver el aviso. O tal vez es solo un enlace que dice, haga clic aquí ", dice. "No le parecería anormal de ninguna manera, pero en el momento en que abra ese archivo, podría lanzar actividad maliciosa".
En lugar de pedir dinero, como el príncipe nigeriano, los estafadores ahora buscan información personal. Y donde el príncipe nigeriano a menudo estaba satisfecho con unas pocas transferencias electrónicas, acceder a sus contraseñas e identificadores personales es solo el primer paso en un plan mucho más amplio.
En este momento, el FBI está preocupado por compromiso de correo electrónico comercial, o BEC, que implica apuntar a un empleado con acceso a la infraestructura financiera de su empresa y engañarlos para que transfieran dinero a los estafadores.
Una variación de esto se llama la "estafa del CEO", donde un estafador falsifica al CEO de una empresa y exige que se envíe una factura de inmediato. Si el subordinado sigue las órdenes, habrá transferido involuntariamente los fondos a los estafadores. (Algunos van aún más lejos: entre 2015 y 2017, los estafadores haciéndose pasar por el ministro de defensa de Francia Jean-Yves Le Drian en llamadas de Skype elaboradas, hizo $ 90 millones).
Una estrategia similar llamada compromiso de correo electrónico del proveedor, o VEC, también está en aumento, con Agari prediciendo que será el tipo de ataque número uno en 2020. En un escenario típico, un estafador creará una factura que se ve idéntica a la del vendedor real, salvo la información de la cuenta bancaria. Cuando la empresa emite el pago, una vez más termina en la cuenta del estafador.
En el pasado, tales contras eran un juego de números. Cuantas más personas atacaran a un charlatán, más probabilidades tenían de encontrar una víctima. Eso sigue siendo cierto, pero los ataques de hoy también son más sofisticados. "El príncipe nigeriano, eso fue efectivamente spam", dice Najarian. "No había nada a medida al respecto". Ahora, las estafas son tan personalizadas que incluso los empleados más cuidadosos o escépticos están en riesgo. "Simplemente se necesita un pequeño error", dice Dorval.
La frase "Ciberseguridad" puede evocar anillos internacionales de piratas informáticos equipados con maquinaria de vanguardia como se muestra en muchas películas. Pero el fraude no tiene que ser de alta tecnología para tener éxito, ya que la ingeniería social se basa principalmente en la debilidad humana. "Las personas son el eslabón más débil cuando se trata de seguridad", dice Dorval. Algunas personas pueden estar en mayor riesgo que otras: los millennials realmente informan tasas más altas de fraude que los estadounidenses mayores, según la Comisión Federal de Comercio, pero cualquiera podría ser presa del juego de poder de una estafa de CEO o el encanto o una estafa romántica. ¿Por qué entrar cuando puedes engañar a alguien para que abra la puerta?
No importa el objetivo, la ingeniería social exitosa puede tener serias repercusiones. Juniper Research, que pronostica las tendencias en tecnología digital, estima las pérdidas comerciales derivadas del impacto del delito cibernético $ 3 billones en todo el mundo en 2019. Nadie está a salvo de las consecuencias. Recientemente, Moody's rebajó la calificación de Equifax por una violación épica de datos, marcando el primera vez Se ha rebajado el crédito de una empresa por un problema de ciberseguridad que afectó a cientos de millones de personas. Y, como agente del FBI Michael Sohn de la División Cibernética de Los Ángeles le dijo a Wired, "(W) cuando una pequeña empresa es estafada con $ 200,000 o $ 500,00 que acaba de terminar, ya no están en el negocio".
Defiéndete
Del mismo modo que no necesita tecnología sofisticada para llevar a cabo una estafa de ingeniería social, no necesita esquemas locos para combatirlo. La autenticación multifactor, que requiere uno o más niveles de identificación más allá de una contraseña, es un buen primer paso para combatir el fraude, dice Lukasz Olejnik, un investigador y asesor independiente en ciberseguridad. También se asegura de que sus contraseñas sean diferentes para cada cuenta, de modo que si se infringe una, las otras no caigan como fichas de dominó. Pero no los mantenga en un Post-It: un administrador de contraseñas digital es igual de fácil y mucho más seguro.
Aún así, muchas compañías también están recurriendo a la inteligencia artificial para mejorar sus procesos de detección de fraude en un esfuerzo por mantener a los humanos fuera del proceso por completo. Según Agari, las organizaciones con respuestas de phishing automáticas detectan 44 veces más mensajes maliciosos que los empleados. Y eso es importante, porque Agari informa que el 60 por ciento de los incidentes reportados por los empleados son falsos positivos de todos modos. Es probable que los beneficios de la IA también aparezcan en su correo electrónico personal, ya que, según los informes, la plataforma mejorada de aprendizaje automático de Gmail bloquea el 99.9 por ciento de spam.
La única estrategia de prevención que no funciona es la vergüenza, dice Olejnik. Cualquiera puede ser presa de un esquema de ingeniería social, por lo tanto, castigar, disparar o incluso demandando los empleados que lo hacen no solo son injustos, no abordan el problema más grande. Si bien la gerencia puede sentir que han tomado una posición, son tan vulnerables como siempre lo fueron.
El príncipe nigeriano puede no ser tan exitoso como lo fue antes, pero sigue siendo la metáfora perfecta para una amenaza en constante evolución. El fraude "generalmente es una cuestión de cuándo va a suceder, no si va a suceder", dice Dorval, ya sea que la realeza esté involucrada o no.