Hackers, ataques y otros riesgos de identidad

Share This:

Cuando piensas en «ti», es probable que sea físicamente; la persona que come duerme y se levanta, va a trabajar, se siente bien o cansada, hambrienta o llena. Probablemente no piense en el «usted» digital, su identidad cibernética que lo ayuda a comprar y vender cosas online, su persona digital en las redes sociales que establece su reputación online y si puede confiar en usted o no. Eso es hasta que su identidad digital sea pirateada o comprometida, en cuyo caso, de repente, su identidad digital tendrá un gran impacto en su existencia real y sus medios de subsistencia.

Bienvenido al siglo 21, donde la tecnología moderna te permite realizar transacciones en todo el mundo a velocidades casi instantáneas, pero también te vuelve vulnerable por los hackers y delincuentes que explotan las grietas en la tecnología y los procesos para robar la identidad con fines de lucro u otras actividades nefastas.

Si bien es problemático para las personas afectadas, los hackers de identidad colocan a las empresas entre una roca y un lugar difícil; por un lado, quieren garantizar que los consumidores disfruten de una experiencia de usuario tranquila y sin fricciones; por otro lado, deben proteger al negocio del fraude y asegurarse de que tomen todas las medidas razonables para proteger al cliente.

PROTECCIÓN DE DATOS

Con la multitud de ataques, los gobiernos están incrementando los requisitos de protección de la privacidad, como el Reglamento General de Protección de Datos (GDPR) en Europa. No sólo existen enormes posibles multas por incumplimiento o fallas en la protección de las identidades que pueden conducir a una pérdida de confianza de los clientes.

Consider Equifax, una de las tres oficinas de crédito más grandes de los EE.UU y su reciente violación de datos. En esa situación, anunciada el 7 de Septiembre, pero descubierta el 29 de Julio, 143 millones de cuentas tuvieron su información personal comprometida, incluyendo nombres, fechas de nacimiento, direcciones y, lo más preocupante, números de seguridad social. Incluso se accedió a algunos números del carné de conducir y números de tarjetas de crédito.

Hay demandas en curso y las investigaciones del Congreso en curso, además del desastre de relaciones públicas que le costó a la compañía la pérdida de confianza del consumidor, existen los costes de limpiar las cuentas comprometidas y ofrecer varias compensaciones.

Como Zac Cohen, Gerente General de Trulioo, afirma que ‘’mirando hacia el futuro, esta brecha seguramente sacará a la superficie más preguntas relacionadas con la seguridad de los diversos reguladores de todo el mundo y muy probablemente (creará un intenso efecto de onda expansiva. Es probable que esta reacción sea doble: garantizar que los estándares de protección de datos se amplifiquen y aumentar el castigo de aquellos que no cumplan con los requisitos necesarios y sufran infracciones como resultado’’.

Desafortunadamente, hay muchos otros. Yahoo fue pirateado por nombres de usuario y contraseñas de todos sus tres mil millones de usuarios. eBay fue pirateada en 2014 y los hackers pudieron acceder a la información de 145 millones de usuarios, copiando «una gran parte» de ellos. Target fue atacado en el punto de venta y esos hackers obtuvieron información sobre 70 millones de usuarios. JP Morgan, el banco más grande de los EE.UU., fue pirateado con información de identificación personal (PII) para 76 millones de clientes.

Los perpetradores son cada vez más sofisticados. Por ejemplo, la autenticación de formulario de dos factores (2FA), que a menudo se considera una forma eficaz de agregar una capa de seguridad a las interacciones, también es vulnerable a los piratas informáticos si utiliza un teléfono. La explotación de un agujero de seguridad en el sistema de señalización nº7 (SS7), -parte de la red troncal del sistema telefónico- permite al pirata informático interceptar SMS, llamadas y datos, permitiéndoles contraseñas, permisos y otras actividades poniendo en peligro sus cuentas.

MITIGACIÓN DEL RIESGO DE IDENTIDAD

Podríamos seguir, pero a este punto; incluso las operaciones más grandes y supuestamente sofisticadas son susceptibles a estos ataques, y mucho menos a las muchas compañías más pequeñas. Entonces, ¿Qué puedes hacer para proteger a tu organización y a tus clientes?

En nuestro post Fraude de identidad: prevención de fraude y mitigación de riesgos, presentamos cinco pasos:

  • Haga su diligencia debida del cliente; comprender la naturaleza del cliente y la posible amenaza que representan.
  • Conozca las técnicas que utilizan los defraudadores de identidad, tanto las tendencias generales como los procedimientos específicos.
  • Revise y ajuste sus procesos de seguridad de forma continua y realice las pruebas de resistencia para asegurarse de que sean capaces de defender su empresa.
  • Establezca y mantenga una capacitación adecuada y reglas continuas para todos los empleados.
  • Existen numerosos patrones sospechosos que el monitoreo continuo puede detectar.

Al ampliar este último punto, al observar las Métricas de identidad y acceso, se puede reducir los posibles puntos de infracción y observar cualquier pico o actividad inusual:

  • ¿Cuántas personas tienen acceso de administrador o súper – administrador? ¿Cuántos deberían?
  • ¿Cuántos dispositivos y qué tipo deberían tener acceso a sus recursos seguros?
  • ¿Cuál es la cantidad normal de cambios de contraseña?
  • ¿Cuánto tiempo lleva eliminar a alguien del sistema?
  • ¿Cuántas cuentas ya no están activas?
  • ¿Cuál es la cantidad normal de inicios de sesión incorrectos?
  • ¿Cuántos puertos TCP / UDP abiertos son normales?

Con respecto a la implementación de un programa de gestión de identidad exitoso y en curso, entienda que no será rápido y fácil; hay muchos factores a considerar y, como se señaló anteriormente, las consecuencias del fallo son altos.

RECURSOS

¿Tiene el personal experimentado en toda la variedad de tecnologías necesarias para crear un programa de seguridad robusto? Si no, ¿tiene un tercero de confianza bajo contrato?

ADMINISTRACIÓN

¿Es su diseño de seguridad realmente útil para su equipo y sus clientes? Crear un Fort Knox digital es genial para propósitos de seguridad, pero si ralentiza las operaciones de sus equipos y la adquisición y / o experiencia del cliente, ¿está agregando valor? Las compensaciones cuidadosas entre la seguridad y la usabilidad, de manera continua, son clave para un sistema eficaz.

GESTIÓN DE DATOS

¿Qué información necesita, cuándo la necesita y cuánto tiempo necesita para mantenerla? Sólo porque reúna información, no significa que deba quedársela. Al mapear el uso de su información, comprender cómo se utiliza esa información en toda su organización y aplicar estrategias, puede maximizar el valor de la información mientras minimiza el riesgo.

POLÍTICAS DE DATOS

En Trulioo, reunimos la información requerida para verificar las identidades de manera segura y encriptada, ejecutamos las coincidencias y luego devolvemos el resultado como un código binario: coincidencia o no coincidencia. Lo almacenamos datos PII.

Para cualquier empresa que maneje datos PII, algunas consideraciones incluyen: ¿Cuáles son sus políticas, procedimientos, capacitación y administración del manejo de identidades digitales? Las identidades digitales son reales y su conciencia cuidadosa y continua, su organización puede evitar los riesgos y dificultades y prosperar en el nuevo mercado global.

Fuente: Trulioo

Contacta con nosotros

Mª Jesús Hernández

General Director Spain & LATAM
Saioa Echebarria

Saioa Echebarria

Executive Director

Entradas relacionadas