16/10/2018
La batalla de Google contra el ‘Phishing’
Así trabaja el equipo que busca bloquear engaños y que su cuenta no sea fácil de suplantar
¿Recuerda el día en que ganó un iPhone X por ser un cliente fiel de Google Chrome? O ¿la vez en que un príncipe de un país lejano le heredó su fortuna a cambio de un módico valor del papeleo? El 'phishing' es una de las modalidades de ciberataque más populares en América Latina. Se trata de estrategias de estafa o engaño que pueden llegar a su correo electrónico, alojarse en su dispositivo y afectar sus sistemas.
Dentro de la línea de defensa contra esas amenazas se ubica el equipo de Google para gestión de producto, identidad de Google, seguridad de las cuentas, spam y abuso. Su director, Mark Risher, plantea que desde hace cerca de un año, la estrategia de ciberseguridad para los usuarios pasó de consejos generales sobre una navegación segura a recomendaciones personalizadas y hechas a la medida según el perfil de cada cuenta.
En entrevista con EL TIEMPO, Risher abordó cuáles son las tendencias actuales de engaño en línea y cómo su equipo de trabajo busca anticiparse a este tipo de ataques para construir una internet más segura.
¿Cómo lidian en Google con el ‘Phishing’?
'Phishing' es un término que se refiere al tema de la ingeniería social, una situación en la que alguien está engañando premeditadamente a una víctima para que tome acciones que le pongan en riesgo. Pero la ingeniería social precede a internet. Por ejemplo, ocurre con quienes dicen ser personal de servicio de la habitación en su hotel para que usted abra la puerta de la habitación. Eso es similar a este tipo de engaños digitales.
Generalmente enfrentamos estos inconvenientes a través de tres capas de defensa. La primera es de prevención. Construimos defensas por defecto en el buscador de Chrome, en Android y en Gmail y hacemos lo posible por detener las amenazas antes de que lleguen a los usuarios.
Como los atacantes siguen intentando, si traspasan esa capa, entramos en una segunda parte, la de detección Que habla de qué tan pronto podemos prender las alertas para que tanto el sistema como el usuario entiendan que algo malo está sucediendo.
El tercer nivel es de mitigación. Tratamos de controlar y limitar el daño que puede ocurrir. Proactivamente sugerimos a los usuarios que revisen sus configuraciones de seguridad e implementen prácticas como instalación de aplicaciones de fuentes confiables o la doble verificación. Si no es posible prevenir, buscamos que los usuarios retomen el control lo más rápido posible.
El ‘phishing’ no se limita a los correos, ni siquiera a internet, es un juego de confianza
¿Cuáles son las amenazas más comunes?
En materia de amenazas, los criminales se están moviendo hacia ser más específicos y más segmentados. Al hablar de ‘phishing’ algunos usuarios inicialmente piensan en mensajes obvios, con enunciados como ‘a quien le interese’, y ‘soy un príncipe en un país lejano que deseo brindarte millones de pesos, euros, dólares… etc. Ese tipo de ataques son obvios y muchas personas no caen en ellos.
Los criminales han empezado a crear mensajes más segmentados, que son mucho más convincentes. Eso es posible porque ahora tenemos mucha más información sobre nosotros mismos en línea, llámense redes sociales o un blog personal.
La segunda cosa en la que se enfocan los atacantes es en crear una experiencia ‘de extremo a extremo’. No solo se trata de un correo diciendo deme su información financiera, sino que también ese correo puede dirigir a un sitio web convincente que luce como su banco. Allí solicitan la información y pueden tratar de infectar su computador con un malware. Si esas piezas se conectan, el ataque se vuelve más efectivo y peligroso.
¿Es tarde para blindar elecciones de EE. UU. contra la desinformación?
‘Sé su contraseña y su secreto’: la táctica de cibercriminales
En un segundo se presentan en promedio 9 infecciones con malware
¿Cómo se prepara su equipo para evolucionar con las amenazas? ¿Cómo se ponen a corriente de las nuevas tendencias?
Es nuestro trabajo. Nos lo tomamos muy enserio. Tratamos de anticiparnos constantemente, por ello tenemos un equipo llamado ‘offensive security’ con el que simulamos ataques contra nosotros mismos para identificar qué podría tener éxito y construir defensas alrededor de ello antes de que alguien descubra una vulnerabilidad y trate de explotarla.
Estudiamos cualquier cosa que logra superar nuestras barreras para poder trabajar en cerrarlas. Participamos en muchos eventos de la industria y hablamos con otros expertos sobre lo que hacemos y cómo podríamos cambiar todo el ecosistema de ciberseguridad. Además, le pedimos a líderes del sector que traten de atacar nuestros sistemas y revisen las investigaciones que hemos realizado.
¿Cómo reparan las brechas?
Hay algo que hace parte de la cultura de Google y lo llamamos un ‘blameless postmortem’. Esto significa que después de que algo sale mal o hay un problema con nuestros sistemas, no tratamos de decir ‘¿quién tiene la culpa de esto?, te despediremos porque es tu error’.
Lo que queremos es entender por qué el ataque tuvo éxito y qué podemos hacer para que no ocurra nunca más. Eso hace parte del ADN de google y lo hacemos ante cada incidente. Ese método, de hecho, nos ayuda a proyectar nuestro trabajo, a anticiparnos frente a derivaciones futuras de daños similares y a planear qué podemos cambiar. Esto se traduce en soluciones e innovaciones que incorporamos en los productos.
"Me enfoco en las cuentas personales porque hay mucha información sensible y valiosa allí".
¿Por qué la gente está adquiriendo más habilidades para engañar a otros?
Es una evolución natural mientras ambos bandos aprenden las reglas de juego. El ‘phishing’ no se limita a los correos, ni siquiera a internet, es un juego de confianza. Hace 100 años alguien aparecía con un traje y podía ofrecerle un edificio cuando en realidad no eran los dueños de la propiedad.
Cuando surge un nuevo medio, como las comunicaciones en línea, implica que tanto atacantes como defensores tomarán tiempo para entender las reglas de juego. Esto es una evolución, criminales con motivaciones comerciales van tras tus cuentas, tus criptomonedas, golpes con los que de tener éxito pueden obtener millones de dólares en un solo ataque.
¿Quiénes son los usuarios más vulnerables?
En el pasado, era común la práctica del ‘spray and pray’ (dispérsalo y reza). Los criminales lanzaban sus ataques indiscriminadamente y luego esperaban a que alguien cayera en su engaño. Ahora, les resulta mejor ir tras alguien que puede ser un objetivo valuable. Buscan a alguien con recursos y que tenga bienes.
Nosotros también, desde hace cerca de un año venimos entregando recomendaciones personalizadas y a la medida. Los riesgos de un usuario que viaja mucho no son los mismos que los de uno que se queda en casa. De la misma forma, no se proponen las mismas medidas para alguien que maneja un dispositivo que para quien usa varios a la vez.
Reconocemos que hay algunas personas con un nivel de riesgo más alto que el del promedio y creamos pasos adicionales para su seguridad. Se puede tratar de alguien que está alardeando sobre tener muchos bitcoin o de una celebridad con muchos seguidores en redes sociales, incluso de alguien que tiene un perfil alto de acuerdo a su posición ejecutiva en una gran corporación.
¿Cuáles son algunas de las medidas de seguridad que tienen?
Invertimos nuestro tiempo en diseñar experiencias seguras que estén incluidas en nuestros productos por defecto y que no impliquen que el usuario debe tomar pasos adicionales para protegerse o hacer configuraciones diferentes.
Actualmente, Chrome utiliza una tecnología que denominamos ‘safebrowsing’, que protege a 3 mil millones de usuarios en el mundo. Su especialidad es procurar que las cosas que se descargan y los sitios en los que se navegan sean seguros y evitar que cualquier riesgo llegue hasta las cuentas. Así mismo nuestro navegador cuenta con altas protecciones frente a la activación de permisos de terceros, como encender su micrófono, su cámara, que son evidentemente sensibles, y deben permanecer fuertemente controlados.
En Android, la tienda de aplicaciones tiene filtros para identificar aplicaciones engañosas y maliciosas. En este sentido los permisos de aplicaciones para activar sensores sensibles también obedecen a elevados estándares. Nuevamente esto habla de nuestras capas de defensa. Prevenimos que un ataque llegue al dispositivo, detectar si están tratando de entrar a los sensores y lidiar con ello y en mitigación promovemos nuestro 'security check up', donde los usuarios pueden encontrar mayores detalles.
¿Qué hace la protección avanzada?
Con el programa de Protección Avanzada, las personas que tratan de suplantar a otros tienen las posibilidades más bajas de lograrlo. Este modo optimiza todos los productos de Google a su nivel más alto de protección. Eso incluye medidas como dispositivos de seguridad física como una llave sin la cual no se podría acceder a una cuenta. También limita el número de aplicaciones que pueden acceder a los datos sensibles de la persona, como la información de su correo. Esto significa que solo las aplicaciones certificadas puedan pedir acceso.
Así mismo, existen controles dentro del producto como escaneos de malware, o algunos cambios en el navegador y en Android para hacerlos aún más seguros.
En Google nos defendemos de una amplia gama de amenazas y contenidos maliciosos, ofensivos, engañosos y peligrosos. Me enfoco en las cuentas personales porque hay mucha información sensible y valiosa allí. Queremos asegurarnos de que ofrecer una experiencia confiable
