Ingeniería social vs Atención al cliente
Cuando se piensa que la seguridad de la información sólo es aplicada al área de TI, se comete un grave error, entiéndase como información a todos los datos procesados dentro de la cadena de valor de las organizaciones cuya participación apoya a la toma de decisiones de manera individual o en conjunto. Las organizaciones tienen clasificada su información, algunos de manera explícita y otros de manera implícita, pero están clasificadas sí o sí, es natural. Entonces, información como los datos del cliente, números de contactos, accesos al sistema entre otros son utilizados o en algunos casos gestionados por el área que da cara al usuario o cliente, como, Mesa de ayuda, Atención al Cliente, Mesa de Partes, Recepción, etc. Y son el blanco perfecto para hackers experimentados en ingeniería social (ingenio aplicado en aprovecharse de la confianza de la gente sin necesidad de tecnología avanzada) vulnerando muchos activos de información vital de la empresa.
Ejemplos
Sólo para citar algunos ejemplos encontrados en nuestros clientes, hubo un cliente que tenía a una persona encargada (persona X) de la cobranza pendiente del celular que se le había asignado para llamada a los clientes y seguimiento de cobranza según las facturas pendientes. Éste celular no lo podía dejar en oficina cuando terminaba el horario ya que mucho de los clientes anteriormente hacían llamadas fuera de horario para consultar o regularizar su deuda y sustentaban posteriormente que nadie les contestaba excusando su falta de pago por este motivo, entonces la jefatura de cobranza decidió brindar un servicio 24x7. Lamentablemente, un ex trabajador de la misma área (persona Y), conoció a X y fueron compañeros de oficina, estos se encuentran y Y le pide a X su celular para poder hacer una llamada a su familia, con el celular en manos de Y, éste exporta la lista de contactos que tiene el celular a un archivo *.vcf, se lo envía por correo y elimina el último mensaje enviado por correo. Con este movimiento rápido, Y ya tiene la lista actualizada de contactos de X, y podrá atraerlos a la nueva empresa dónde trabaja. Otro caso particular, son las llamadas a Atención al Cliente haciéndose pasar por usuarios reales del sistema, y sin ningún proceso de validación de identidad, se procede a gastar tiempo y recursos necesarios a personas ajenas a los productos o servicios que brinda la organización, o peor aún se hacen del acceso al sistema con permisos de administrador haciéndose pasar por el dueño de negocio de uno de los productos que ofrece. Otros pueden dejar dispositivos USB, CDs infectados en algún lugar, para que el incauto lo pueda insertar en el puerto correspondiente, realizando una intrusión silenciosa en la red del cliente.
Capacitaciones
Es muy importante reunir a todo el personal que se encuentra en la cara de la empresa, aquellos que tienen la responsabilidad de lidiar con conversaciones presenciales con prospectos de clientes o usuarios finales, llamadas telefónicas, o respuesta a correos de una bandeja de entrada de atención de cliente, generalmente éstas son las puertas de ingreso de los atacantes. Por ello, las organizaciones más conscientes, preparan a su personal en simulaciones de escenarios de ingeniería social, toman las medidas correspondientes respecto a cómo su personal debe reducir este riesgo, a través de un plan de capacitaciones constantes de las últimas tendencias de este tipo de ataques y conceptos generales en un lenguaje comprensible para estos trabajadores.
Medidas correctivas
Sin embargo, siempre quedará un buen porcentaje de trabajadores que no lo captarán al cien por ciento y lamentablemente siguen siendo vulnerados. Recién ahí es donde la participación del área de tecnologías puede entrar a tallar aplicando controles funcionales dentro de los sistemas de información del área de atención al cliente. Por ejemplo, en cada llamada que le realizan al área de atención al cliente, éste no puede continuar con una revisión de escenario si es que no responde un cuestionario en la pantalla para validar datos del usuario o cliente. Se ha dado cuenta que a veces le piden que ingrese su DNI o contraseña en el teclado de su teléfono, o más allá, de que la llamada puede ser grabada y monitoreada, pues ese es el proceso de validación de información del cliente.
Consejo audit
La seguridad de la información abarca temas generales de seguridad en la organización como un todo, hasta el personal de limpieza tiene responsabilidad de informar si encuentra un papel tirado en el suelo con una palabra que podría ser una contraseña. Estas cosas que parecieran (por no ser relacionados a la tecnología) muy poco impactantes para el negocio, suelen ocasionar grandes pérdidas de dinero para la empresa. En audit nos centramos en cuidar su información y capacitar al personal adecuado para reducir los ataques de la ingeniería social que pueda presentar.