Participando en la mesa redonda sobre phishing del Mobile Commerce Congress

Participación MCC19

El pasado jueves estuve participando en una mesa redonda del Mobile Commerce Congress (ES) junto a José Luis Narbona, Presidente de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica y Tomás Sierra, CEO de Fakeinet.com, hablando sobre campañas de phishing.

El formato de la mesa redonda era un tanto peculiar, teniendo cada uno alrededor de cinco minutos para exponer una tipología de phishing y luego unos 20 minutos de turno de preguntas.

En mi caso me tocó hablar de las suplantaciones de identidad, principalmente en redes sociales, pero como quise dejar claro en el pitch un problema que atañe a prácticamente cualquier canal, offline incluidos.

Puse algunos ejemplos como el de la creación de botnets de cuentas fake copiadas de cuentas reales que ya vimos por estos lares, por supuesto las típicas campañas de phishing del CEO vía email, e incluso una de usurpación de identidad que sufrió hace unos años mi pareja.

También hablamos de las motivaciones (generación de influencia digital, daño reputacional, dinero, defensa de ideales, y por supuesto negocio).

De cómo prevenirlas:

  • Contraseñas robustas (Gestor de contraseñas).
  • Concienciación y Conocimiento.
  • Seguir una política de acceso intraempresa adecuada.
  • Tener una estrategia de Presencia Digital bien asentada.
  • Monitorización continua.
  • El tener un plan de contingencia.

Y terminé con un brevísimo repaso a cómo denunciarlas en cada plataforma y ante las fuerzas del orden y la seguridad.

Luego, como decía, tuvimos un turno de preguntas.

Te dejo por aquí más o menos la respuesta que di a algunas de ellas (fueron más, pero mi memoria no da para tanto, y para eso está el vídeo con lo hablado en la mesa redonda :D), así como el vídeo con el extracto de mi participación (sin las preguntas). Y puedes ver el vídeo completo en el canal del MCC (enlazado en la descripción de mi vídeo).

¡Que lo disfrutes!

Ver mi intervención sobre fraudes online (ES)

Puede que muchos de los asistentes no hayan pensado en dicha relación, pero invertir en ciberseguridad Pablo, también es sinónimo de reputación online en la medida que puedes aportar más confianza y tranquilidad a tus clientes. ¿Podemos hablar de ventaja competitiva?

Por supuestísimo.

Hay que tener en cuenta que la identidad digital, sea de una empresa sea de un profesional, está formada por dos elementos principales:

  • Presencia Digital: Lo que nosotros decimos de nosotros mismos.
  • Reputación online: Lo que otros dicen de nosotros.

Si invertimos en una buena presencia digital, cuando la reputación online nos afecte negativamente (cosa que tarde o temprano acabará ocurriendo), tendremos la mitad del trabajo hecho.

En caso contrario estamos supeditados únicamente al éxito del plan de contingencia que tengamos (si es que lo tenemos…).

Creo que además de que la tienda se preocupe por la ciberseguridad, es importante hablar de la concienciación en dicha materia de cara al cliente final, al comprador. Aquí hemos visto claros ejemplos de phishing en el que suplantan la identidad de una determinada tienda bien a nivel de web, redes sociales…etc. Al final, aunque la tienda puede considerarse como víctima, el usuario final es verdaderamente el estafado y el engañado. ¿Cómo podemos llegar a esa concienciación en cuanto a la compra online segura? ¿Deben las marcas ser proactivas y aconsejar a sus clientes en comprar de forma segura?

Bueno, supongo que hay dos acercamientos.

  • El puramente reputacional: Cuando un cliente es estafado al primero que culpa es a la marca, y eso por tanto nos puede llevar a una crisis reputacional…
  • El legal: Si nosotros no hacemos los deberes, tarde o temprano nos va a caer una multa. Y en España somos mucho de aprender en base al látigo…

De verdad, hay cuestiones que casi en 2020 ya deberían estar pasadas, como es el tener bien localizados y controlados nuestros perfiles, hacer un seguimiento de lo que Internet sabe de nosotros (egosurfing) y por supuesto tener una página web con HTTPs y unos activos digitales que cumplan con lo dicho en la GDPR

¿Cómo crees que evolucionarán los ciberataques en el sector el próximo año y cómo crees que responderán las pymes? ¿Podremos ver una mayor concienciación e inversión por parte de las pequeñas y medianas empresas en ciberseguridad?

Yo sigo pensando que las campañas de phishing e ingeniería social seguirán siendo el principal vector de ataque.

Apoyados seguramente por la IA, como ya empezamos a ver, y trasladados a canales hasta ahora menos comunes como son las llamadas y videollamadas con ultrafalsificaciones (deepfakes).

Y a las PYMES, como al resto de empresas y ciudadanos no nos queda otra que subirnos al carro. De nuevo recalco lo de que no nos van a atacar únicamente porque alguien quiera hacernos daño a nosotros, sino porque atacan a miles y miles de empresas indistintamente de a qué se dediquen.

¿Te preocupa tu presencia digital?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la presencia digital sana, ayudándote paso por paso a parametrizar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.