ra2 studio - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Frank Abagnale: Ninguna tecnología puede vencer un ataque de ingeniería social

SearchCloudSecurity habló con Frank Abagnale, autor de ‘Atrápame si puedes’, sobre los peligros del cibercrimen y su trabajo con el FBI, así como una nueva startup de seguridad.

La tecnología actual de gestión de identidad y acceso puede estar mejorando, pero Frank Abagnale dice nada vencerá a un buen y anticuado ataque de ingeniería social.

Abagnale, cuyas hazañas como jove confiado joven se hicieron famosas en su libro Atrápame si puedes y la adaptación fílmica de Steven Spielberg, fue el orador principal en la apertura de la Cumbre de Identidad de Nube 2016 en Nueva Orleans. Después de ser arrestado y encarcelado a la edad de 21 por escribir más de dos millones de dólares en cheques falsificados y cometer numerosos esquemas de ingeniería social, comenzó a ayudar al gobierno federal con investigaciones de falsificación y fraude y ha trabajado con el FBI por más de 40 años. Abagnale es considerado una de las principales autoridades en fraude, falsificación y autenticación segura.

Frank Abagnale

También ha estado involucrado con varias empresas de tecnología de seguridad en los últimos años. Abagnale habló en la cumbre sobre su trabajo con una nueva startup de seguridad, Trusona, que puso en marcha este año lo que llama tecnología de "autenticación asegurada" para las transacciones financieras. El dispositivo lector de tarjetas TruToken de Trusona se conecta a los teléfonos inteligentes y puede proporcionar varias capas de autenticación para garantizar la identidad de la persona que efectúa la transacción.

Abagnale habló con nuestro sitio hermano SearchCloudSecurity en el evento sobre Trusona, la evolución de la ingeniería social y por qué, en sus palabras, "la tecnología engendra el crimen". A continuación le presentamos extractos de la conversación con Abagnale.

¿Cómo se involucró con Trusona?

Frank Abagnale: Conocí a Ori Eisen [fundador y CEO de Trusona] hace unos 15 años, cuando él era jefe de seguridad global para American Express, y rápidamente me di cuenta de que era probablemente el tipo más entendido que había conocido en mi carrera cuando se trataba de cibercrimen y tecnología. Así que hace 15 años le dije que realmente necesitaba salir de American Express e ir a iniciar su propio negocio. Él tenía algunas grandes ideas para tecnología de detección de fraudes y le dije que realmente necesitaba salir y hacer eso. Eventualmente, él tomó mi consejo y comenzó una compañía llamada 41st Parameter. Y al hacerlo, el día en que tomó esa decisión, me preguntó: "Si hago esto, ¿será mi asesor?", y yo dije absolutamente. Así que 10 años más tarde tenía 160 empleados y la tecnología de la compañía era utilizada por casi todos los bancos, líneas aéreas y minoristas en los Estados Unidos. Hace un par de años le vendió la compañía a Experian por más de 300 millones. Y pensé que sería el final de Ori; que habría terminado y estaría retirado. Pero después de unos pocos meses me llamó y dijo que quería hacer lo que siempre le dije que deberíamos hacer. Y lo que había dicho es que nunca habrá un sistema infalible hasta que pueda llegar a la capacidad de garantizar al 100% que una persona en el otro extremo de una transacción es, de hecho, esa persona. Él dijo: "Creo que puedo hacer eso". Así que él me pidió que regresara como su asesor, y después de 10 años juntos en 41st Parameter volvimos a estar juntos y comenzamos a trabajar en esta tecnología.

¿Cuál fue su papel en la construcción de la tecnología de Trusona?

Abagnale: La mejor descripción fue una que le dio Ori a un reportero en Hong Kong. El reportero dijo: "Usted tiene una relación de largo plazo con Frank, pero él no escribe código". Y la respuesta de Ori fue: "Sí, y yo no soy un criminal". Ori dice que toda nuestra carrera juntos ha sido jugar al ajedrez. Él se acerca con tecnología y dice: "Esto es lo que he desarrollado", y luego voy yo y trato de vencerla o arruinarla de alguna manera, y luego volvemos atrás y tratamos de solucionarlo hasta llegar al punto en que es a prueba de tontos. Y eso es básicamente lo que hacemos. Él ha desarrollado alguna tecnología increíble con Trusona y yo creo que es la primera vez que, ya sea que usted esté operando una planta de energía nuclear o sea un agente de la CIA enviando información, hay tecnología que puede garantizar que la persona con la que está hablando es ese individuo. Y lo que es agradable es que no es complicado de entender o utilizar.

Pero no es completamente a prueba de tontos, ¿verdad?

Abaganale: Sí. Cada vez que vamos a través de estos ejercicios de la tecnología, y alguien dice: "Vaya, no se puede superar", tengo que decir: "Bueno, hay dos excepciones". Primero, no existe ninguna tecnología en el mundo, ni habrá nunca, que supere a la ingeniería social. Así que si te llamo y finjo que soy el Bank of America y te digo que pases por todos los pasos para Trusona y usted sigue mis instrucciones, entonces voy a llegar a usted. Y segundo es si tuviera una pistola apuntándole a la cabeza, y le dijera que haciera esto, entonces usted va a hacerlo. Tratamos de tener en cuenta de algunas de esas cosas [con TruToken]. Así, por ejemplo, usted puede escoger una determinada tarjeta que, si la pasa, le dirá a Trusona que está bajo coacción.

¿Por qué no se ha hecho algo como esto antes? ¿Por qué la industria de servicios financieros no ha abordado estas cuestiones antes de que se volvieran un problema con cosas como los ataques SWIFT?

Abagnale: He estado en el FBI durante 40 años. He trabajado con bancos de todo el mundo. Yo trato principalmente con los delitos contra el gobierno federal hoy en día. Así que, si nos fijamos en Medicare y Medicaid, el año pasado pagaron más de 100 mil millones de dólares en reclamaciones fraudulentas. El IRS pagó 5.6 miles de millones [en créditos universitarios fraudulentos] el año pasado. El gobierno se ha convertido en un objetivo fácil, ya que no tienen la tecnología que los bancos tienen instalada; no tienen un consejo de administración, no tienen accionistas y no están en el negocio de obtener un beneficio. Así que son un blanco muy fácil, y tienen todo el dinero. Los bancos, al menos, tratan de hacer lo mejor que pueden para evitar que sucedan estas cosas, pero muchas veces no ponen el esfuerzo en prevenir que sucedan las cosas correctas. Parece que cada brecha que se produce es porque alguien en la compañía hizo algo que no debía hacer. Esas cosas no tienen que ocurrir. Es un error humano. Y casi se tiene que eliminar al ser humano, porque ese es el eslabón más débil.

¿Cómo responde a un ataque de ingeniería social? Parece que estas amenazas son mucho más complejas en estos días. ¿Debe la gente siempre ser escéptica?

Abagnale: No se trata de ser escéptico. Es solo ser lo suficientemente inteligente como para conocer las señales y hacer lo correcto. He leído un artículo hace un par de días acerca de un desafortunado caso donde una mujer en Australia fue a nadar por la noche en una laguna que tenía signos que decían ‘no nadar, cocodrilos por todas partes’. Y un cocodrilo la atacó. Y uno de los políticos de la zona dijo: "No se puede legislar en contra de la estupidez humana".

Se siente como si los delincuentes supieran que hay una gran cantidad de personas haciendo cosas estúpidas y que ellos pueden tomar ventaja de ello. Pero, ¿cree usted que las técnicas de ingeniería social son más avanzadas hoy que hace 30 o 40 años?

Abagnale: Algunas personas solían decir que yo soy el padre de la ingeniería social. Eso es porque cuando tenía 16 años de edad, descubrí todo lo que necesitaba saber –yo sabía a quién llamar y sabía las preguntas correctas que hacer– pero solo tenía el uso de un teléfono. La gente sigue haciendo las mismas cosas hoy, 50 años después, solo que están utilizando el teléfono, están usando el sistema de correo, están usando la internet, el correo electrónico, la nube. Hay todas estas otras cosas, pero siguen haciendo solo ingeniería social. Y esa es la mayor amenaza para algo como Trusona, y eso nunca va a desaparecer.

¿Qué tanto más fácil hizo la tecnología para los ciberdelincuentes y hackers aprovecharse de la gente?

Abagnale: La tecnología, para mí, promueve el crimen. Si se fija en lo que hice hace 40 o 50 años, es 4,000 veces más fácil de hacer hoy. Cuando falsifiqué cheques, para que pudiera imprimir un cheque a todo color, digamos, de una gran compañía aérea, tenía que tener una prensa Heidelberg, que tendría el tamaño de [un gran salón de baile]. Es una prensa de un millón de dólares y usted tenía separación de colores, negativos, planchas, ajustes de tipografía y todo eso. Pero, como usted sabe, hoy puedo abrir una laptop, ir a la página web corporativa de la compañía, capturar su logotipo y sus imágenes y diseñar un hermoso cheque a todo color en 10 minutos. Y luego imprimirlo en una impresora a color. Así que la tecnología ha hecho las cosas mucho más fáciles, y todo lo que los criminales han hecho es ajustarse a eso. Lo importante es lo siguiente: No puede desarrollar tecnología y decir: "Aquí está mi tecnología a prueba de tontos, usted no puede superarla, adiós". Tiene que regresar constantemente y estar encima de ello todo el tiempo. No puede simplemente desarrollarla y alejarse y terminar con ella. Tiene que estar constantemente al tanto de las cosas que pueden sucederle y cómo la gente va a tratar de vencerla.

Próximos pasos

Más sobre seguridad:

Trend Micro combate el cibercrimen junto con el FBI y la Europol

La falta de conciencia de ciberseguridad está vinculada a los CIO

Amenazas internas accidentales y cuatro formas de prevenirlas

Este artículo se actualizó por última vez en junio 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close