Transcripción

Operador:                          

Hola, y bienvenidos al webcast del día de hoy que se titula “Cómo proteger tu empresa contra las estafas de banca en línea: infórmate y toma medidas”.

El seminario web del día de hoy se está grabando, y actualmente, ustedes se encuentran en la modalidad de solo escuchar. Antes de que empecemos, me gustaría mencionarles algunas de las maneras en las que pueden participar el día de hoy. La sala On24 en la que se encuentran les permite ajustar y redimensionar todos los paneles que aparecen en la pantalla. Para redimensionar cualquiera de estos paneles, todo lo que tienen que hacer es dar clic en la esquina inferior derecha y arrastrar para ajustar. Para mover un panel, hagan clic en la barra del título superior y arrástrenlo a cualquier parte dentro de la consola.

Tendremos una sesión de preguntas y respuestas al finalizar la presentación de hoy. El panel de preguntas y respuestas está a su disposición en el lado izquierdo de la pantalla: simplemente escriban sus preguntas en esa ventana y hagan clic en "Enviar" y se registrarán sus preguntas. Y responderemos tantas preguntas como sea posible con el tiempo disponible.

Tengan en cuenta que la versión en PDF de las diapositivas de hoy está disponible en el recuadro de Contenido relacionado de la consola, el cual se encuentra al lado derecho de la pantalla. Simplemente hagan clic en el recuadro y este los redireccionará al lugar correspondiente.

Y por último, si experimentan alguna dificultad técnica durante el evento de hoy, primero pueden intentar actualizar su navegador al presionar la tecla F5 del teclado o hacer clic en el botón Actualizar ubicado en la esquina superior izquierda de su navegador.  Y si eso no funciona, pueden introducir una pregunta en el recuadro de preguntas y respuestas indicando cuál es su problema técnico y estaremos felices de ayudarles.

Ahora, sin más preámbulo, comencemos el evento de hoy que, una vez más, se titula, “Cómo proteger tu empresa contra las estafas de banca en línea: infórmate y toma medidas”.

Quisiera presentarles a Howard Forman, jefe de canales digitales del negocio de banca corporativa e institucional de PNC Bank.  Howard, tienes la palabra.

Howard Forman:

Gracias, Ian.  Hola a todos.  Bienvenidos y gracias por acompañarnos en el seminario web del día de hoy.  Como Ian lo mencionó, me llamo Howard Forman y dirijo el equipo de canales digitales del negocio de banca corporativa e institucional.  Al ocupar dicho puesto, estoy a cargo de la funciones de administración de productos y desarrollo de productos de Pinacle, nuestra plataforma de banca móvil y en línea, que también es la plataforma de transferencia de archivos de PNC y el programa de finanzas integradas de PNC.

Una parte importante de mi puesto implica impulsar las estrategias para la autenticación de nuestros usuarios, las características de seguridad y controles de nuestros canales, y para hacer eso, paso mucho tiempo con nuestros equipos de seguridad cibernética y fraude empresarial de PNC para monitorear el entorno contra fraudes y trabajar para proteger la seguridad del acceso en línea de nuestros clientes.

Hoy me acompaña Chris Byers de PNC.  Chris es gerente de productos sénior en PNC y se centra principalmente en soluciones que pueden ayudar a proteger a las organizaciones contra el riesgo de pagos indebidos, lo que incluye sin limitación alguna, los pagos generados por estafas de fraude de impostores como las que analizaremos en esta sesión.  También me acompaña Peggy Franklin.  Peggy es controladora adjunta de Ross Industries, Incorporated, una empresa que diseña, fabrica y comercializa soluciones de procesamiento y embalaje de alimentos.

Si bien en PNC tenemos el compromiso de disponer que nuestros expertos ofrezcan información y perspectivas relevantes y oportunas, también creemos que las experiencias de nuestros clientes pueden brindarte información invaluable de primera mano.  Peggy ha aceptado amablemente compartir su conocimiento y perspectivas con nosotros el día de hoy.  Chris y Peggy, les agradezco a ambos.

Ahora, antes de ahondar en lo que creemos que es información importante y valiosa, quisiera tomar un momento para definir el alcance de la conversación de hoy. Probablemente todos estén muy al tanto de que, en años recientes, la amenaza y la incidencia de delitos cibernéticos y del fraude de pagos en particular, se han disparado y siguen siendo elevadas. Esto sigue presentando un desafío importante para todos nosotros, los bancos al igual que las empresas, sin importar su tamaño, su ubicación geográfica, su industria o su sofisticación.

Según el Informe de Fraude y Control 2022 de la Asociación de Profesionales Financieros, el 71 % de quienes respondieron esa encuesta reportaron que sus organizaciones fueron víctimas de ataques de fraude de pagos en 2021.  De hecho, se ha dicho que en los próximos años, el delito cibernético de todo tipo se convertirá en la tercera economía más grade del mundo, solo detrás de los Estados Unidos y China, respectivamente.

Aunque del delito cibernético y el fraude de pagos son temas increíblemente amplios, en esta sesión vamos a reducir un poco la amplitud de la conversación para abarcar dos vectores de amenazas primarios que pertenecen específicamente a las estafas de banca en línea. El primero es el de las estafas de fraude de impostores por correo electrónico, el cual tiene dos variantes comunes que, como su nombre lo indica, emplean algún tipo de táctica muy engañosa por correo electrónico para estafar a las posibles víctimas. Se trata de la vulneración del correo empresarial y la vulneración de cuentas de correo electrónico. El otro es la toma de control de cuentas, del cual también exploraremos los dos medios más importantes a través de los cuales los delincuentes pueden robar las credenciales de acceso a la banca en línea para acceder a las cuentas de una posible víctima. 

Sobre la marcha, compartiremos perspectivas referentes a las señales de advertencia para ayudar a identificar y con suerte evitar ser víctima de estas estafas, así como las acciones tangibles que puedes tomar para ayudar a protegerte de estas peligrosas amenazas.

Para cerrar, completaremos la sesión de hoy al reforzar y compartir ideas y soluciones adicionales que pueden ayudar a tu compañía a protegerse de las estafas de banca en línea.

Bien. Empecemos con nuestro primer tema: el fraude de impostores por correo electrónico. En este esquema, un delincuente utiliza el correo electrónico para dar a conocer solicitudes de pago o para solicitar la actualización de las instrucciones de pago de su blanco previsto. Al hacerlo, el delincuente utiliza una cuenta de correo electrónico que parece legítima pero es falsa, o bien, utiliza una cuenta verdaderamente legítima de la cual ha tomado el control. Dicho esto, permítanme pasar el micrófono a Chris para que nos guíe en este primer tema. ¿Chris?

Chris Byers:

Gracias, Howard. En el tema del fraude de impostores por correo electrónico, vamos a hablar de dos vectores de amenaza primarios. El primero es la vulneración del correo electrónico empresarial, o BEC, para abreviar; y el segundo es la vulneración de cuentas de correo electrónico, o EAC, para abreviar.

Bien, a primera vista, ambos parecerán muy similares y, de hecho, sí están relacionados.  Pero existen ciertas diferencias que queremos destacar aquí en esta diapositiva.  Empezaremos con la BEC.

En este caso es cuando un delincuente utiliza tácticas de engaño de identidad para intentar engañar a su víctima para que actúe.  Y esas tácticas de engaño de identidad se centran en la dirección de correo electrónico o en el dominio del correo electrónico en sí, por lo que crean una cuenta o un dominio de correo electrónico falso que parece legítimo para dar la impresión de que se trata de una fuente de solicitud legítima para que la víctima actúe.  Por lo tanto, para la víctima, el atacante se hace pasar por alguien más, una persona que no es, y utiliza ese dominio falso para hacerlo.

Ahora, en el caso de la vulneración de cuentas de correo electrónico, o EAC, aunque ocurre con una frecuencia menor en comparación a la BEC, de hecho resulta un tanto más alarmante.  Ya que, en este caso, el malhechor ha logrado infiltrarse en una cuenta de correo electrónico legítima.  No utiliza una cuenta falsa, sino de hecho una cuenta real.  Y una vez que ingresa a esta, puede buscar en el tesoro oculto de información que está a su disposición en ese correo electrónico:  en la bandeja de entrada, la bandeja de salida y los contactos.  Puede hacer una investigación real, ingresar y averiguar lo que esa persona hace normalmente, o con quién interactúa.  Y a los ojos de la víctima real, es decir, del destinatario del correo electrónico del atacante, de verdad se trata de quien genuinamente cree que es.  Se trata de una cuenta real, una cuenta legítima de la que el malhechor ha tomado control y la puede utilizar para enviar solicitudes que parecen legítimas a sus víctimas, sin importar cuales sean dichas solicitudes.

Bien, ahora mencionaré algunas estadísticas para empezar.  Estos dos primeros datos fueron obtenidos de la Encuesta de Fraude y Control de la Asociación de Profesionales Financieras que Howard mencionó anteriormente.  En 2021, el 68 % de las organizaciones que contestaron la encuesta identificaron y reportaron que fueron víctimas de BEC, lo que significa que recibieron por lo menos un correo electrónico de BEC.  En ese subconjunto, el 35 % de las organizaciones, es decir, más de una tercera parte, de hecho sufrieron una pérdida financiera debido a la vulneración del correo electrónico empresarial.  En total, según el informe del Centro de Denuncias de Delitos en Internet del FBI, o IC3 para abreviar, en 2021 se reportaron pérdidas por fraude por la cantidad de $2,400 millones debido a la vulneración del correo electrónico empresarial y a la vulneración de cuentas de correo electrónico.

Al analizar los últimos años en retrospectiva, entre 2015 y 2021, el número total de pérdidas reportadas por fraude BEC y EAC supera los $8,600 millones.  Ahora, el dato verdaderamente alarmante y serio de esto es la palabra “reportadas”.  Es decir, esto representa las pérdidas que fueron reportadas al FBI.  No tiene en cuenta las pérdidas que no fueron detectadas, o que sí lo fueron pero no fueron reportadas por un motivo u otro.  Entonces, aunque jamás sabremos el monto real de las pérdidas provocadas por estas estafas de fraude, definitivamente supera esta cantidad.  Estas cifras representan el límite inferior, no el superior.

¿Y cómo ocurrió esto?  ¿Cómo fue que estos criminales crearon estas estafas para poder marcharse con miles de millones de dólares cada año?  Echemos un vistazo a la anatomía de un ataque BEC o EAC típico.  Bien, tenemos el “quién”, que en este caso es un malhechor que se hace pasar por alguien más para intentar engañar a su víctima para que actúe de cierta forma, y utiliza una cuenta de correo electrónico falsa o hackeada para hacerlo.  Y la solicitud podría requerir que se revele información, se divulguen los datos de pago o se cambien las instrucciones de pago.  ¿Cómo puede hacerlo?  ¿Cómo pueden encontrar a su víctima?

Pues bien, ellos investigan.  Se documentan.  Exploran en Internet.  Buscan personas que trabajen juntas en organizaciones.  Incluso envían mensajes de spam, no solo con la finalidad de sacarnos de quicio, lo que definitivamente logran, sino que dichos mensajes son muy valiosos para el estafador porque le proporcionan mensajes de respuesta automática por ausencia si se ha aplicado esa configuración a la cuenta de correo electrónico a la que escribieron.  Esos mensajes de respuesta automática por ausencia son una mina de oro para los estafadores, pues con ello saben a quién pueden atacar.  Ahora saben quién no se encuentra en la oficina.  Pueden hacerse pasar por esa persona y centrar su objetivo, investigar y ver, ¿a quién conoce esa persona?  ¿Con quién trabaja esa persona, dentro de esa organización, para crear lo que ellos creen será una solicitud convincente para que la víctima actúe?

Ahora analicemos un par de ejemplos de cómo puede ocurrir esto. Este es un ejemplo de un dominio falso.  Y para dar contexto, esta es una interacción entre John Smith, o alguien que se está haciendo pasar por John Smith, el presidente y director ejecutivo de ABC Steelworks.  En este caso, John está interactuando con Susan Hoyle, la controladora y directora financiera de la misma organización.

Bien, hay un par de señales de advertencia que podríamos encontrar en este ejemplo.  Una es el modelo de interacción en sí. Por ejemplo, si Susan no está acostumbrada a recibir correos electrónicos de John Smith, eso en sí puede ser una señal de advertencia.  Ahora, en este patrón de datos, dado que John es el director ejecutivo de la organización y Susan es la directora financiera, es muy probable que se conozcan.  Por lo tanto, estoy seguro que Susan está acostumbrada a recibir mensajes de John, quizás incluso recibe mensajes cuyo tono es similar al que recibió en este caso.  Entonces, busquemos otras posibles señales de advertencia.

Quizás en la vida real, el verdadero John Smith no se refiere a Susan por su nombre, sino que utiliza el nombre Sue, o cualquier otro nombre, o tal vez utiliza cierto tono en sus mensajes de correo electrónico que este mensaje puede o no tener.  Esa podría ser otra señal de advertencia para que la verdadera Susan analice esto más de cerca y determine si esta solicitud de hecho es legítima.  Ahora, la mayor señal de advertencia en este caso de uso en particular es el correo electrónico en sí, es decir, el correo electrónico que John Smith utilizó para enviar esta solicitud.

Si lo analizas detenidamente, la letra W minúscula que aparece en ABC Steelworks de hecho fue producida al teclear dos letras v minúsculas consecutivamente. Esta es una táctica común que utilizan los estafadores, una vez más, se trata de un engaño visual con la esperanza de que pases por alto ese detalle y des por sentado que se trata de un correo legítimo que de hecho fue enviando por John Smith, el presidente y director ejecutivo de la organización.

Entonces, ¿cuáles son algunas otras señales de advertencia relacionadas con el fraude de impostores de correo electrónico?  Una señal es que el solicitante, una vez más, el delincuente de quien estamos hablando, insistirá con respecto a la discreción y la confidencialidad referente a su solicitud, ya sea que se trate de un pago para una adquisición, o quizás otro tipo de actividad ultra secreta de alto perfil que la empresa pueda estar llevando a cabo.

El solicitante, es decir, el delincuente, con frecuencia solicitará o sugerirá una contabilidad genérica con respecto al propósito de esa transacción en particular.  Lo que intenta hacer es básicamente reducir la transacción, hacer que se integre con las demás para que no haya nada que llame la atención a su posible propósito, ya que, nuevamente, eso podría ser problemático para el estafador al intentar perpetuar su estafa.

El solicitante, es decir, el delincuente, puede advertir sobre alguna consecuencia negativa si no realizas este pago por transferencia el día de hoy, o si no lo hacemos a más tardar el 3:00 p.m., vamos a perder un gigantesco trato.  Sabes, no será posible llevar a cabo la adquisición que estamos intentando completar.  Es decir, intenta generar miedo en la mente del destinatario.  Insistirá en que la comunicación solo se lleve a cabo por correo electrónico.  Lo último que quiere es que tomes el teléfono y llames al solicitante real, pero, en realidad, de hecho eso es lo primero que debes hacer.  Eso es lo último que quiere el estafador, porque eso puede dejar al descubierto el esquema completo.

Y por último, por lo menos en esta diapositiva, quiere que la comunicación sea instantánea cuando se haya realizado el pago.  La razón detrás de esto es que quiere transferir esos fondos de la cuenta depositaria a otra cuenta lo más pronto posible para de cierta manera hacer que las pruebas documentales de esa transacción sean poco claras y más difíciles de rastrear.

Este es un ejemplo de la vida real, y es uno de los cientos, si no es que miles de ejemplos que podríamos haber presentado.  Este es de hace algunos años, del 2016, e implica a una compañía europea anónima de aeronáutica.  En el caso de esta compañía, el delincuente recurrió a la vulneración del correo empresarial básicamente para hacerse pasar por el director ejecutivo de esa organización.  Envío un correo electrónico de suplantación de identidad a un empleado de finanzas de la organización para solicitar e indicar a ese empleado que realizara la transferencia de 50 millones de euros para un “proyecto de adquisición”.

Se realizó la transferencia y, si bien la compañía pudo recuperar una parte de los fondos, perdió la mayoría, una cifra que rondó los 42 millones de euros. 

Bien, la parte triste de esto es que el verdadero director ejecutivo, ya que, hay que tener en cuenta que el delincuente se hizo pasar por el director ejecutivo, fue despedido por este hecho, al igual que el verdadero director financiero.  Y podrías pensar que esas personas tuvieron muy, pero muy mala suerte, aunque yo creo que esto realmente habla del hecho de que se debe reconocer que el control relacionado con el fraude y el riesgo es algo que requiere patrocinio ejecutivo y la participación de la alta gerencia, y una organización que estuvo dispuesta a permitir que se realizara una transferencia de 50 millones de euros sin hacer preguntas o haciendo muy pocas preguntas, si me preguntan al respecto, definitivamente habla de la necesidad de cambiar el personal de la alta gerencia para definitivamente reforzar el entorno de riesgo y control en esa organización.

Repito, hemos observado cientos, si no es que miles de casos y eventos de alto perfil de este tipo en los últimos años.  Entonces, ¿cómo puedes protegerte? Howard prometió darnos algunos consejos sobre la marcha, y esta es la primera pausa en la que haremos eso.  Bien, pues debes establecer procedimientos para verificar y validar las solicitudes de pago y las solicitudes para modificar las instrucciones de pago.  La verificación siempre se debe hacer llamando directamente a la persona a un número de teléfono conocido.  No utilices el correo electrónico para confirmar la solicitud.  No llames al número de teléfono que aparece en el correo electrónico mediante el cual se está solicitando el pago o la modificación de las instrucciones de pago, si de hecho crees que estás hablando con el estafador y estás haciendo exactamente lo que este quiere para caer en su estafa.

También puedes emplear los medios que resulten razonables en términos comerciales para intentar prevenir el fraude y confirmar la titularidad de la cuenta a través de los servicios de verificación de cuentas que están disponibles en el mercado.  Estos te pueden permitir confirmar la existencia de la cuenta de tu beneficiario, la cuenta de tu contraparte y además de eso obtener una perspectiva referente a su estado, posición, madurez e incluso su titularidad.  Esto es muy…es otra herramienta muy poderosa en tu kit de herramientas para ayudarte a prevenir el fraude, en particular el fraude de impostor y los pagos indebidos.

Howard Forman:

Oye, Chris. Voy a interrumpirte un minuto por dos motivos. Primeramente, creo que obviamente tienes conocimiento de mucha información mientras hablo de este tema. Esta es una de mis diapositivas favoritas en las que de verdad hago hincapié, ya que esa verificación y validación son tan importantes para asegurar que toda persona relacionada con el procesamiento de pagos en tu organización comprenda la importancia de verificar y validar todas las solicitudes de pago con un contacto conocido en un número de teléfono previamente conocido. Solo es que de verdad quería hacer hincapié en eso.

También creo que este es un buen momento para escuchar a nuestra oradora, Peggy Franklin de Ross Industries, a quien presenté al principio.

Peggy, ¿te puedo hacer una pregunta? Desde la perspectiva de un profesional de tesorería en el puesto que ocupas como controladora adjunta, ¿qué nos puedes decir a nosotros y a nuestro público el día de hoy con respecto a la amenaza real del fraude por correo electrónico y de postura, y qué ha hecho tu organización para abordar y combatir los riesgos en este sentido?

Peggy Franklin:

Muy bien, sí.  El fraude de pago nos preocupa a nosotros al igual que a la mayoría de las organizaciones, si no es que a todas.  Empleamos controles federales para ayudar a disminuir la amenaza, muchos de los cuales aparecen en esta diapositiva.  El año pasado recibimos una solicitud para modificar las instrucciones de pago desde una cuenta de correo electrónico perteneciente a uno de nuestros proveedores.  Después de haber realizado la transferencia de fondos, supimos que la cuenta había sido hackeada y que la persona que hizo la solicitud no era quien afirmaba ser o quien parecía ser.  Este evento puso de manifiesto los peligros reales del fraude de pago y nos hizo darnos cuenta que necesitábamos mejorar nuestros procesos de protección contra el fraude y educar a nuestro personal para poder detectar de una mejor manera las solicitudes sospechosas por correo electrónico.

Howard Forman:

Sí. Definitivamente, uno no estás solo en ese sentido. Hemos escuchado la historia en repetidas ocasiones de clientes que han sido víctimas. Pero tú, como resultado de ese acontecimiento, ¿puedes contarnos sobre algunas de las mejoras que realizó tu compañía específicamente con respecto al proceso y los procedimientos, o los servicios? ¿Hay algo que nos quieras contar con respecto a eso?

Peggy Franklin:

Oh, sí.  Bien, trabajamos con el banco para implementar un servicio de verificación de cuentas, el cual utilizamos actualmente para confirmar que la cuenta pertenece a la empresa o persona a quien pretendemos realizar un pago.  Y la oficina fortaleció nuestros procesos estándar para aceptar y revisar solicitudes de pago o de modificación de instrucciones de pago, lo que incluye restringir los medios a través de los cuales hacemos válidas dichas solicitudes, y llamamos al solicitante a un número de teléfono conocido, como Chris lo mencionó anteriormente, simplemente para confirmar que la cuenta sea legítima.

Howard Forman: 

Excelente. Gracias por compartir esa información. Creo que es muy útil y congruente con lo que estamos conversando aquí. Pero, repito, creo que escucharlo directamente de ti, en calidad de una compañía que ha tenido esa experiencia de primera mano, es información valiosa para nuestros clientes el día de hoy.

Sin embargo, quiero que la conversación continúe, así que dirijamos nuestra atención al otro tema de amenaza que vamos a cubrir el día de hoy, a saber, la toma de control de cuentas. En este esquema, un delincuente utiliza las credenciales robadas de banca en línea para iniciar sesión en el servicio de banca en línea haciéndose pasar por la entidad cuyas credenciales acaba de robar. Una vez que ha iniciado sesión en la plataforma del banco, el delincuente normalmente tiene la capacidad de ver información o, dependiendo de los derechos que le otorgue el ID vulnerado, realizar las acciones permitidas por esas credenciales. Y esas acciones pueden incluir el inicio o la autorización de transacciones de pago. Entonces, esta es una estafa problemática muy, muy peligrosa. 

Y con eso, pediré a Chris que nos guíe en cuanto a cómo se desarrolla esta estafa, tal como lo hiciste con el tema de la vulneración del correo electrónico empresarial, y cómo los delincuentes están robando las credenciales de las víctimas incautas en este ámbito.

Chris Byers:

Por supuesto.  Sí.  Existen dos vectores de amenaza primarios en el caso de la toma de control de cuentas, al igual que en el caso del fraude de impostores de correo electrónico.  En este caso tenemos el malware y el pharming, y después tenemos un tipo de variación más nueva de este, es decir, el fraude de motores de búsqueda.  Pero empecemos con el malware y el pharming.

En el caso del malware, la mayoría de las personas están familiarizadas con este término.  Se trata de una forma abreviada o un apodo corto para software malicioso.  En este caso es cuando el delincuente infecta un dispositivo, una computadora, un dispositivo móvil, una tableta o lo que sea, con ese malware.  En un momento explicaremos cómo lo hacen, pero implantan malware en ese dispositivo individual de tal manera que, cuando la persona utiliza el dispositivo que tiene el malware implantado, cuando inicia sesión en su portal de banca en línea, sea cual sea, la naturaleza del malware es tal que identifica ese intento para llegar al portal de banca, pero desvía el tráfico del sitio legítimo a una versión falsa del mismo.  También mostraremos algunos ejemplos de eso.

Lo que ocurre después es que una vez que la víctima incauta, una vez que la víctima se encuentra en el sitio falso y empieza a iniciar sesión usando sus credenciales y hace todo lo que normalmente haría en el sitio legítimo, el malhechor recopila esas credenciales y las utiliza tras bambalinas para iniciar sesión en el sitio real, tal como lo haría esa persona. Entonces, la persona, al escribir y sin saberlo, ingresa sus credenciales y su información en un sitio falso que están utilizando para robarle dichas credenciales e iniciar sesión de forma legítima. Y pues ese es el malware y el pharming. El malware es el software malicioso, y el pharming es la recopilación de información.

El fraude de motores de búsqueda de cierta manera es similar al malware y al pharming, pero es un poco más peculiar.  En este caso el delincuente de hecho coloca anuncios en Internet que están hechos para que parezcan anuncios legítimos que serían adquiridos por una compañía legítima con la finalidad de intentar dirigir el tráfico a ese portal de banca en línea.  En lugar de dirigirte a un sitio legítimo, una vez más te dirige a ese sitio falso.  Entonces, en lugar de usar malware y, dependiendo del malware que esté implantado en el dispositivo de la persona para redirigirlo, se utilizan estos anuncios y enlaces web que están disponibles en alguna parte de Internet para obligar el tráfico de todos los usuarios de Internet.

Aquí tenemos una estadística referente al malware.  Y, una vez más, este dato viene del Centro de Denuncias de Delitos en Internet, el IC3 del FBI.  En 2021, se reportaron 323,972 ataques de malware y pharming.  Repito, todo lo que dije anteriormente sobre el término “reportar” se aplica aquí también. Este es el límite inferior, no el límite superior.  De hecho no sabemos cuál sea la cifra real, pero por lo menos es esta cantidad, si no es que es mucho, mucho mayor.

Este es solo un vistazo rápido de lo que a nosotros nos gusta llamar el [Insectario de Delitos Cibernéticos]. No vamos a revisar estos a detalle, pero el malware es un término muy amplio. Repito, abarca el software malicioso de todos los tipos distintos. Y cada uno de esos tipos de software quizás funcione de una forma un tanto distinta. Esta simplemente es una manera para que de algún modo ustedes puedan relacionar los diferentes tipos de malware. Y esta de ninguna forma es una lista exhaustiva, pero quizás estén familiarizados con algunos de estos términos. Pueden echar un vistazo a la lista con tranquilidad después del seminario web de hoy cuando descarguen los materiales de la presentación.

Ahora bien, ¿cómo es que el malware llega del delincuente al dispositivo objetivo?  Bueno, hay tres maneras principales en las que puede hacer eso.  Una es la suplantación de identidad.  Esto implica enviar el malware por Internet, a través del correo electrónico.  Y esto puede hacerse en la forma de un enlace web contenido en el correo electrónico, o en un archivo adjunto malicioso que acompaña ese correo.  Y luego, una vez que la persona abre el correo electrónico, hace clic en el enlace, abre el archivo adjunto, es decir, el archivo ejecutable, el malware se instala automáticamente en ese dispositivo sin que la víctima lo sepa.  Esa es una manera.

Los otros medios, es decir, los otros dos medios, son el smishing y el vishing. Estos son muy similares a la suplantación de identidad, con la diferencia de que en el caso del smishing el malware se envía a través de mensajes de texto, mensajes SMS. Mostraremos algunos ejemplos de eso en un momento. Y en el caso del vishing, es cuando el delincuente utiliza llamadas telefónicas no solicitadas, supuestamente de una compañía o fuente legítima para solicitar información que después utiliza para iniciar sesión, una vez más, en el portal de banca en línea u otro sitio de acceso del que pretenda tomar control.

En la anatomía de un ataque, repito, este es un delincuente.  Este es un delincuente que está utilizando suplantación de identidad con su víctima, está utilizando smishing o vishing con su víctima, está intentando acceder a las credenciales legítimas que pueda robar y utilizar como si la persona en sí las estuviera utilizando.  Entonces, la víctima recibe un correo electrónico o un mensaje de texto no solicitado, o una llamada telefónica no solicitada, y realiza la acción. Abre el correo electrónico, abre el archivo adjunto, contesta la llamada, no importa cuál sea la acción que realice.  Y una vez que la información cambia de manos, una vez que sale de las manos de la víctima y pasa a las manos del malhechor, repito, ahora este actúa como esa persona.  Tiene todos los derechos, privilegios y facultades que esa persona debidamente autorizada tiene para realizar cualquier acción o ver cualquier información que esté disponible en ese sitio del que ha tomado control.

Ahora, veamos un par de ejemplos.  Este es un ejemplo de suplantación de identidad.  Este es un ejemplo legítimo de la vida real.  Este es un ejemplo de un correo electrónico que captó nuestra atención hace algunos años, ya que supuestamente provenía de PNC.  Y aquí hay algunas señales de advertencia en las que queremos enfocarnos.

Una de ellas es que estos mensajes suelen provocar una respuesta emocional.  Vimos eso en el correo electrónico, en la vulneración del correo electrónico.  Te dice que Pinacle va a cambiar, o que algo va a cambiar.  Te dice que debes actuar.  Esto transmite un sentido de urgencia.  También te darás cuenta que el nombre del remitente es un tanto confuso.  Viene de una fuente externa.  Puedes ver que el banner rojo en la parte superior de la pantalla identifica los correos electrónicos que vienen de una fuente externa.  Entonces, eso en sí debería ser una señal de advertencia.

El manejo de la marca es incorrecto. Puedes ver que se realizó un intento por imitar el logotipo de PNC y nuestro nombre de marca en ese momento, pero realmente no lo lograron. No era el logotipo legítimo, no era el aspecto que tendría un correo legítimo de PNC.

Luego vemos errores gramaticales.  Es posible que haya anomalías de formato.  Y la lista continúa.  Sobran las señales de advertencia relacionadas con los intentos de suplantación de identidad.  Y, repito, este es un medio mediante el cual se intenta robar información y se intenta recopilar información a través de Internet o del correo electrónico.

Este es un ejemplo de smishing.  Suplantación de identidad es cuando se envía malware a través del correo electrónico.  Smishing implica hacer lo mismo a través de un mensaje de texto SMS.  Estas son algunas señales de advertencia relacionadas con este.  Una señal es el manejo incorrecto de la marca, ya que no se apega a nuestros estándares de marca con respecto a cómo nos posicionamos y cómo posicionamos nuestra plataforma Pinacle.  Luego te dan un código SMS corto no reconocido o un enlace en el mensaje SMS en sí.  Y quizás la descripción sea un tanto genérica, o rara, en relación con el servicio que supuestamente se ofrece.

Hablamos del fraude de motores de búsqueda como uno de los principales vectores de amenaza adicionales, y este es un ejemplo de eso. Quizás un cliente esté usando Internet, quizás se encuentre en un navegador de búsqueda y escribe el término Pinacle de PNC, y he ahí, es posible que aparezcan algunos anuncios que al parecer son del banco. Si observas detenidamente, de hecho no son del banco. Y por lo tanto, algunas de las señales de advertencia relacionadas con los anuncios se ven aquí, una es la URL no reconocida. Repito, el manejo de la marca no es correcto, no corresponde a la marca que estás acostumbrado a ver para esa compañía, que en este caso es PNC. No corresponde. Tiene errores gramaticales y de puntuación, y muestra una descripción confusa, ilógica y sin sentido del sitio, como algunas de las descripciones que se ven aquí. Entonces, esto se aleja del malware en sí, de la distribución del malware a la víctima y a su dispositivo. En lugar de ello, implanta estos enlaces en Internet para que, cuando las personas hagan clic en esos enlaces, estos los redirijan a los sitios falsos o a los fraudes, simplemente para recopilar sus credenciales y su información.

Bien, este es un ejemplo de un sitio web falso.  Recientemente nosotros, como probablemente ustedes hayan visto, hemos actualizado nuestra página de inicio de sesión de Pinacle, pero esta es nuestra antigua página de inicio de sesión de Pinacle.  Y si la vemos en paralelo comparándola con la antigua página de inicio de sesión legítima real, es decir, la página que teníamos antes de los cambios realizados recientemente, realmente no se ve una gran diferencia entre estas dos.  Así de realistas pueden ser estos sitios falsos.  En este caso, la importante señal de advertencia es la URL no reconocida que se ve en la parte inferior de la página, ahí.  Crearon una URL falsa, haciendo que parezca una URL legítima de PNC.  Si te estás desplazando rápidamente, si no estás enfocándote en eso, si no estás poniendo atención, si no estás acostumbrado a mirar la línea de la URL, podrías pasar por alto ese dato y podrías empezar a introducir tus credenciales como lo harías en el sitio legítimo de Pinacle, y luego el malhechor se robaría tu información e iniciaría sesión en tu nombre.

Entonces, ¿cuáles son algunas señales de advertencia adicionales?  Bien, el malware y el delincuente, porque repito, se trata de un delincuente detrás del malware, trabajando en conjunto, necesita colocar el malware en el dispositivo para luego recopilar las credenciales.  Pero es posible que esta combinación de malware y delincuentes pida al usuario sus credenciales u otra información de seguridad adicional al flujo de trabajo normal, como un código de acceso token o quizás la respuesta a una pregunta de seguridad, lo que obliga a dar información o contestar preguntas que no se apegan a la secuencia normal de autenticación de ese sitio, sin importar cual sea dicha secuencia.

Es posible que se solicite que un segundo usuario se autentique en ese sitio desde esa misma computadora personal, es decir, la computadora o el dispositivo infectado con el malware. El motivo de ello es que muchos sitios de banca en línea, sitios corporativos como Pinacle, requieren que dos operadores realicen algún tipo de acción. Por ejemplo, cuando se trata de un pago, un operador genera el pago y el otro lo autoriza. Entonces, quizás los estafadores hayan sido capaces de tomar control de las credenciales de la primera persona de forma exitosa. Por lo que necesitan las credenciales de la segunda persona para luego autorizar la transacción o completar esa acción, cualquiera que sea. Por ello, solicitarán que un segundo operador inicie sesión.

Es posible que sobre la marcha solicite alguna otra información para intentar mantener abierta una línea de comunicación entre esa experiencia web para poder solicitar rápidamente cualquier información adicional que pueda necesitar para realizar el siguiente paso, suponiendo que ese paso esté bloqueado, lo que significa que necesitará más información.  Quizás necesite la respuesta de una pregunta de seguridad o algo de ese tipo, por lo que solicitará esa información sobre la marcha para intentar despejar el acceso tanto como sea posible para obtener la información o llegar a la transacción.

Las señales de una infección por malware o un sitio falso, es que no se puede iniciar sesión debido a las pantallas que retrasan o redirigen la experiencia de inicio de sesión normal.  Todos estamos acostumbrados a determinadas secuencias y flujos de trabajo.  Y cuando las cosas de cierta manera no cumplen con ese flujo de trabajo, debemos estar alertas.  No quiero decir que siempre se trate de un fraude.  Como mencioné hace un momento, recientemente reorganizamos nuestra página de inicio de sesión de Pinacle completa.  Pero antes de hacerlo, avisamos a nuestros clientes con la suficiente anticipación, indicándoles que se realizarían dichos cambios.  Entonces, se realizan cambios a estos procesos, a estas secuencias, por lo que hay que poner atención si algo es distinto a lo que estás acostumbrado.

Los sitios o el dispositivo infectado con malware pueden indicar a la persona que proporcione su token, contraseña o pregunta de seguridad en repetidas ocasiones al presentar un mensaje de “sistema no disponible”.  Esto de alguna manera es equivalente al momento en el que se indica “espere por favor” en el que, repito, el malhechor está intentando llegar lo más lejos posible en ese flujo de trabajo.  Si se topa con una barrera y necesita más información que no conoce o no tiene, intentará enviar un mensaje a través de esa experiencia, a través de ese sitio falso, para solicitar esa información, sea cual sea.  Y es posible que indique que otro operador inicie sesión desde la misma computadora como parte del proceso de seguridad para reactivar o desbloquear otro ID.  Repito, en muchos de los casos, en muchos de estos sitios, es posible que ciertas acciones requieran la participación de dos personas distintas que tienen dos conjuntos o varios conjuntos de credenciales, lo que permite que el malware continúe perpetuando el fraude de la manera que lo haría o lo tenía planeado.

Howard Forman:

Gracias, Chris.  Creo que este es un buen momento para hacer otra pausa.  Nuevamente, esta información realmente es muy buena y muy valiosa. Analicemos esto un minuto y traeremos a Peggy de vuelva a la discusión.  Quisiera pedirle a Peggy que nuevamente nos dé sus perspectivas, como profesional de tesorería, ¿cuáles son algunas maneras en que tu organización ayuda a protegerse de estas verdaderamente peligrosas estafas de toma de control de cuentas que Chris nos acaba de explicar?

Peggy Franklin:

Bien, como Chris lo mencionó, la suplantación de identidad es una de las principales maneras en las que los estafadores pueden implantar su malware en el dispositivo objetivo.  Al saber eso, nuestra compañía realiza verificaciones de rutina con los empleados al enviarles correos electrónicos falsos de suplantación de identidad.  En otras palabras, correos electrónicos que parecen correos electrónicos de suplantación de identidad pero que de hecho son enviados internamente para que podamos enfrentar la forma en que nuestros empleados reaccionan cuando reciben estos correos electrónicos.

Al recibir dichos correos, muchos de nuestros empleados en efecto los reportan como correos sospechosos, y eso es lo que queremos que hagan.  Pero algunos empleados hacen clic en el enlace o abren el archivo adjunto que acompaña el correo electrónico y, si se hubiese tratado de realmente de un ataque de suplantación de identidad, hubiese sido muy peligroso.

Entonces, ver cómo responden los empleados nos ha permitido centrarnos en las necesidades de capacitación adicional para ayudar a asegurar que todos nuestros empleados puedan identificar la suplantación de identidad e identifiquen esas señales de advertencia para que ninguno de nosotros se convierta en víctima de una estafa de suplantación de identidad.

Howard Forman:

Eso es muy bueno, perfecto. Sí. En PNC hacemos lo mismo, y he conversado con muchos de nuestros clientes. Me han contado que ofrecen una capacitación similar.  Creo que es importante que de verdad todas las compañías hagan eso internamente, si cuentan con los recursos para hacerlo internamente, o lo hagan a través de un proveedor externo que ofrezca este tipo de servicios.  Ya que, de verdad genera conciencia entre los empleados y, repito, te permite centrarte en las áreas en las que aún se necesita educación para ayudar a tus empleados a identificar lo que es real y lo que es suplantación de identidad.

Entonces, para de cierta manera ahondar un poco en eso, ¿cuáles son algunas maneras adicionales que tu compañía usa para ayudar a que los empleados sigan siendo conscientes de estas amenazas de fraude de pago que cambian constantemente y de las que estamos hablando hoy?

Peggy Franklin:

De hecho, una de las más eficaces ha sido la comunicación que recibimos de PNC.  Recibimos alertas y mensajes que son muy buenos para informarnos de amenazas nuevas o emergentes, y llegan a todos nuestros usuarios de Pinacle, y también a nuestro correo electrónico.  De verdad confiamos en la experiencia que el banco tiene en este rubro, y nos ha reafirmado lo que está sucediendo en el mundo de las amenazas.  Nuestros empleados se percatan de esas alertas, nos aseguramos que las identifiquen y hablamos de ellas y les prestamos atención.

Peggy Franklin:

De hecho, una de las más eficaces ha sido la comunicación que recibimos de PNC.  Recibimos alertas y mensajes que son muy buenos para informarnos de amenazas nuevas o emergentes, y llegan a todos nuestros usuarios de Pinacle, y también a nuestro correo electrónico.  De verdad confiamos en la experiencia que el banco tiene en este rubro, y nos ha reafirmado lo que está sucediendo en el mundo de las amenazas.  Nuestros empleados se percatan de esas alertas, nos aseguramos que las identifiquen y hablamos de ellas y les prestamos atención.

Howard Forman:

Excelente, muy bien.  Gracias.  Es muy bueno escuchar eso.  Nos entusiasma mucho, como puedes darte cuenta con el seminario web de hoy, y creo que con los mensajes que ves que enviamos, nos entusiasma mucho la prevención del fraude y hacer lo que podamos para que estos delincuentes no tengan éxito.

Creo que también has planteado un punto importante que deben recordar nuestros oyentes de hoy que también son clientes de Pinacle. Si alguna vez reciben un comunicado, un correo electrónico de Pinacle, que pretenda ser de Pinacle, y si tienen preguntas con respecto a la legitimidad de dicho comunicado, pueden iniciar sesión en la plataforma de Pinacle y visitar el centro de mensajes, y el mismo mensaje debe aparecer en el centro de mensajes.  Entonces, en cualquier ocasión que les enviemos un correo electrónico, siempre mostraremos ese mensaje también en el centro de mensajes.  Esa es otra manera para confirmar que el mensaje que recibieron de alguien que supuestamente es Pinacle de hecho haya sido enviado por nosotros.

Bien, sé que en este punto nos estamos acercando al final, pero Chris, antes de concluir y contestar algunas preguntas, sé que tienes muchos consejos para que nuestros asistentes se protejan.  Nos has dado mucha información muy buena hasta este momento, pero sé que tienes un poco más por compartir.  Así que permíteme darte la palabra nuevamente.

Chris Byers:

Sí.  Gracias, Howard.  Sabes, de cierta manera ha sido una conversación alarmante, tal como debería ser.  El fraude es un tema muy alarmante y real.  Como lo prometí, hemos compartido algunos consejos sobre la marcha.  Queremos completar esto al reiterar algunos de esos consejos que ya hemos compartido y al agregar algunas ideas adicionales para que reflexionen sobre ellas y las compartan con su organización y actúen con base en estas en caso de ser necesario.

Una de ellas es, primero que todo, las credenciales de Pinacle.  Como Howard lo mencionó anteriormente, si tienes alguna inquietud o duda con respecto a si un mensaje que recibiste supuestamente de PNC, de Pinacle, es legítimo, siempre puedes iniciar sesión y verificar para ver si este aparece en el centro de mensajes.  De una manera muy similar, estamos hablando del robo de credenciales en Pinacle. No respondas a ningún mensaje de texto o de correo electrónico ni a una llamada que te solicite tus credenciales de Pinacle, tus códigos de seguridad de Pinacle o cualquier información personal, incluso si el mensaje de texto, correo electrónico o la persona que llama asegura pertenecer a PNC o ser un empleado de PNC.  Nosotros jamás te pediremos esa información, ni te llamaremos para pedirte que descargues o instales software para que PNC pueda acceder a tu dispositivo por cualquier motivo.  Definitivamente no lo hagas.  Si lo ves, si lo escuchas, avísanos.  No lo contestes, no respondas, no realices la acción que se te pide.  Pero definitivamente, comunícate de inmediato Atención al Cliente de Administración de Tesorería al número que aparece en pantalla si crees que tus credenciales fueron vulneradas o para reportar cualquier actividad fraudulenta.

Ahora bien, para protegerse del fraude de impostores de correo electrónico, estas son algunas cosas que no se deben hacer.  No respondas a un correo electrónico ni utilices la información de contacto que aparece en el correo electrónico para validar la iniciación de un pago o una solicitud de modificación de pago.  Ya tocamos ese tema antes.  No confirmes ni proporciones información personal en respuesta a un correo electrónico o mensaje de texto.  Y no envíes mensajes de respuesta automática por ausencia externamente, o si lo haces, por lo menos asegúrate que solo lo reciban tus contactos conocidos.  Una vez más, los estafadores se benefician de esos mensajes de respuesta automática por ausencia, ya que así se dan cuenta quien no está disponible y pueden hacerse pasar por esa persona.  Investigarán para intentar averiguar, una vez más, a quién conoce esa persona y con quién trabaja.  Entonces, esas son las cosas que no se deben hacer.

Con respecto a lo que se debe hacer, verifica las instrucciones de pago por correo electrónico haciendo una llamada telefónica independiente, una llamada realizada a un número conocido.  No al número que aparece en sí en el correo electrónico en el que se está solicitando el pago o la modificación del mismo.  Llama a la persona en cuestión a un número conocido.  Establece políticas, procedimientos y controles formales para tus procesos de cuentas por pagar.  Crea un proceso de administración de cambios y permite que tenga cierta flexibilidad, si bien dentro de los límites del proceso o procedimiento en sí, pero no te desvíes de este en forma alguna si puedes evitarlo.  Mantén el rumbo, crea el proceso y cíñete a este en la medida de lo posible.

Y por último, pero no por eso menos importante, realiza la identificación estética de los correos electrónicos recibidos de fuentes externas.  Vimos en uno de nuestros ejemplos ese gran banner externo.  Así te das cuenta de inmediato que no viene de la organización internamente.  Si es un correo electrónico que supuestamente viene de alguien dentro de tu organización, ahora tienes esa gran señal de advertencia para saber que de hecho ese no es el caso.

Bien, esos son nuestros consejos para protegerse el fraude de impostores de correo electrónico.  ¿Qué nos dices con respecto al fraude de toma de control de cuentas?

Con respecto a lo que no se debe hacer, no abras los archivos adjuntos ni hagas clic en los enlaces de ningún correo electrónico que no esperes o que provenga de un remitente desconocido.  Una vez más, así es como el malware llega desde el estafador al delincuente y luego a ti.  No utilices un motor de búsqueda para dirigirte al sitio de banca en línea.  Como vimos hace algunos minutos, los estafadores no están en contra de colocar enlaces web por ahí para que las personas se encuentren con ellos, hagan clic en ellos y luego se dirijan sin saber a una versión falsa del sitio al que están intentando llegar.  No permitas el acceso a Internet sin restricciones desde los dispositivos de la compañía.  No reutilices los ID, contraseñas, preguntas de seguridad, etc.  Sé que es difícil de manejar, sin embargo, debemos tener muchas contraseñas diferentes para todos nuestros inicios de sesión y todas nuestras experiencias diferentes, pero debes intentar no reutilizarlos con tanta frecuencia en la medida de lo posible.

Con respecto a lo que se debe hacer, instala parches de software en la medida que estén a tu disposición para garantizar que el software de antivirus se actualice con regularidad.  El lanzamiento de estos parches se realiza por un motivo.  Existen vulnerabilidades y brechas de puerta trasera que se identifican en varios paquetes de software, por lo que los parches tienen la finalidad de resolverlas para que los estafadores no puedan acceder a esas aplicaciones como podrían hacerlo a través de esas vulnerabilidades.

Accede a los sitios de banca en línea a través de marcadores o accesos directos.  Esto de cierta manera nos remonta al fraude de motores de búsqueda.  No debes escribir Pinacle en el navegador web.  Debes guardarlo en un marcador en tu navegador, para que sepas que te estás dirigiendo a la URL correcta en cada ocasión.

Instala software anti-malware.  Un ejemplo de este es el software denominado IBM Trusteer Rapport.  Está disponible para descargarlo de forma gratuita en pnc.com/espanol, solo tienes que buscarlo en nuestra página web y puedes descargarlo.  Esto [reforzará] tus sesiones de banca en línea y debe ayudar a reducir el efecto de la implantación de malware en un dispositivo y a reducir la posibilidad de que tal implantación ocurra.

Y luego, tal como lo discutimos hace un momento, implementa campañas de correos electrónicos falsos, como lo hace la organización de Peggy y como lo hace PNC, para ayudar a tus empleados a comprender cómo es la suplantación de identidad.  Esto te permite identificar quién está haciendo clic en los enlaces, porque así puedes educar, de una forma muy específica, a las personas o a los grupos que son más susceptibles de caer en este tipo de fraude.

Otro consejo para protegerse, referente a los pagos, se remonta a la Encuesta de fraude y control de la AFP, este es un método de pago que está sujeto al intento de fraude de pago o al fraude de pago consumado.  Hemos hablado mucho sobre las experiencias digitales y se puede observar que el fraude con cheque y el fraude ACH sigue teniendo una gran prevalencia en este contexto.  Y algo en lo que queremos enfocarnos, algo muy importante que debemos hacer en este sentido es utilizar los servicios de pago positivo.  Existen diferentes tipos de servicios de pago positivo que son variantes de los servicios de pago positivo.  Lo tienes a tu disposición para el pago positivo de cheques, lo tienes a tu disposición para el pago positivo ACH, para controlar los débitos que salen de tu cuenta.  Son servicios comprobados que creo son bastante eficaces para combatir el fraude.

Otro consejo para protegerse, referente a los pagos, se remonta a la Encuesta de fraude y control de la AFP, este es un método de pago que está sujeto al intento de fraude de pago o al fraude de pago consumado.  Hemos hablado mucho sobre las experiencias digitales y se puede observar que el fraude con cheque y el fraude ACH sigue teniendo una gran prevalencia en este contexto.  Y algo en lo que queremos enfocarnos, algo muy importante que debemos hacer en este sentido es utilizar los servicios de pago positivo.  Existen diferentes tipos de servicios de pago positivo que son variantes de los servicios de pago positivo.  Lo tienes a tu disposición para el pago positivo de cheques, lo tienes a tu disposición para el pago positivo ACH, para controlar los débitos que salen de tu cuenta.  Son servicios comprobados que creo son bastante eficaces para combatir el fraude.

Peggy, no quiero ponerte en un aprieto, pero creo, si no me equivoco, que ustedes utilizan los servicios de pago positivo, ¿no es así?

Peggy Franklin:

Sí, así es, Chris.  Y ha sido una herramienta sumamente poderosa para nosotros en el área de desembolsos de cheques, ya que podemos identificar pagos para su ulterior inspección y para tomar una decisión si estos no coinciden en cuatro puntos clave.  También la utilizamos para las transacciones ACH.  Al utilizar el pago positivo de cheques, Ross Industries ha evitado la realización de pagos fraudulentos por un monto de $35,000.  El pago positivo nos ha proporcionado una gran tranquilidad pues sabemos que solo se autorizará el pago de cheques legítimos.

Chris Byers:

Excelente.  Gracias, Peggy.

Muy bien.  El seguro de responsabilidad cibernética.  No voy a dar muchos detalles sobre esto, pero debes explorar el seguro de responsabilidad cibernética.  Este es el desglose.  Puedes observar que los diferentes tipos de pólizas de seguro ofrecen cierta cobertura para ciertos tipos de delitos cibernéticos y fraudes de pago, pero si quieres obtener protección integral o la mayor protección posible, deberás explorar las pólizas específicas de responsabilidad cibernética que cubren la gama completa de problemas relacionados que son similares a los que estamos discutiendo el día de hoy, es decir, el delito cibernético y el fraude de pago.  Para poder amparar esa cobertura específicamente y no recurrir a las pólizas tradicionales que quizás tengan algunas brechas o no ofrezcan una cobertura tan amplia como una póliza cibernética verdaderamente especializada, definitivamente debes optar por explorarla e implementarla en tu organización.

Vamos a terminar al compartir lo que a nosotros nos gusta llamar las Cinco E de la higiene cibernética.  Cada uno de estos cinco puntos empieza con la letra E.  Y con esto de verdad vamos a resumir y sintetizar todo lo que hemos discutido el día de hoy.

La primera E es “Establecer”. Debes establecer políticas y procedimientos para los pagos, así como políticas de administración de débitos.  Debes crear un proceso repetible para que tus empleados puedan comprender qué es y puedan seguirlo en cada ocasión.

La segunda E es “Ejecutar”.  Debes ejecutar las normas.  Debes ejecutar las políticas y los procedimientos que acabas de crear en el primer punto. Si no lo haces, es decir, si las creas pero no las ejecutas, en realidad no habrás hecho mucho para ayudar a tu higiene cibernética, y de hecho habrás desperdiciado el tiempo sobre la marcha, y quizás también algunos recursos y dinero al hacerlo.  Por ello, es importante que ejecutes lo que has establecido.

“Educar”.  Educar, educar, educar.  Tus empleados deben saber cómo son estas estafas, comprender el fraude de impostores de correo electrónico y comprender la toma de control de cuentas.  No tienen que ser expertos en ello, pero deben pensar y por lo menos estar lo suficientemente familiarizados para identificar algo que no se ve bien, comprender las señales de advertencia de un correo electrónico BEC o de una infección por malware.  Por lo tanto, no puedo enfatizar lo suficiente lo importante que es la necesidad de educar a tu fuerza laboral.

“Empoderar”.  Esto es realmente importante.  Tienes que dar a tus empleados el poder de cuestionar los correos electrónicos sospechosos.  Quizás los hayas educado tan bien que ahora están identificando cosas que tú mismo no habrías captado.  Deben tener la posibilidad de levantar la mano y decir si algo no parece estar bien, sin tener miedo de que haya algún tipo de consecuencia negativa o lo que sea.  Por lo tanto, empodera a tus empleados para que identifiquen y comuniquen las cosas, esto es sumamente importante.

Y por último, pero no por eso menos importante con respecto a nuestras cinco E, de hecho recibes una E adicional. Tenemos “Evolucionar y enriquecer”. Tienes que evolucionar y enriquecer tu control de riesgo para adaptarlo al panorama de amenazas que se encuentra en constante cambio. El fraude es un objetivo en movimiento, y sigue evolucionando. Y los estafadores siempre van un paso adelante. Es por ello que es importante mantenerte al día y comprender las amenazas y tendencias emergentes, y comprender lo diferente y lo nuevo, para que puedas mantenerte al día con eso y protegerte en esta lucha contra el fraude.

El día de hoy ponemos a su disposición, para que los puedan descargar de la consola, algunos recursos valiosos que ayudarán a extender esta conversación, incluida nuestra guía de recursos de seguridad cibernética, además de cierta información adicional referente al panorama de amenazas y ciertos factores de amenaza.  No duden en echar un vistazo a dichos recursos.  Pueden compartirlos con su organización.  Si tienen preguntas con respecto a cualquiera de ellos, estaremos encantados de establecer un diálogo con ustedes.

Con eso, Howard, creo que tenemos tiempo quizás para responder una o dos preguntas, si es que recibimos alguna.

Howard Forman:

Sí, gracias, Chris.  Sí, hemos recibido muchas preguntas en la consola.  Creo que solo nos quedan unos cuantos minutos para responder algunas de estas y, repito, haremos el seguimiento directamente de cualquier pregunta que no podamos responder ahora.  Pero voy a seleccionar un par de preguntas que creo son importantes, una que de hecho abordamos de cierta manera, pero creo que vale la pena repetirla.  Y la pregunta es, ¿qué debemos hacer si recibimos una llamada sospechosa o un correo electrónico sospechoso de una entidad que afirma ser nuestro vendedor o proveedor, o incluso que afirma ser de PNC?

Chris Byers: 

Esa es una muy buena pregunta.  Como dijimos anteriormente, deberás llamar a la entidad al comunicarte a un número de teléfono conocido.  No debes llamar al número que aparece en el correo electrónico que recibiste.  Y debes confirmar su solicitud, su legitimidad, sus datos y su precisión. Una vez más, como lo mencionamos un par de veces durante esta hora, pero creo que vale la pena repetirlo: si hablamos de alguien que pretende ser de PNC o de Pinacle, nosotros, es decir, PNC, nunca te llamaremos, nunca te enviaremos un correo electrónico o mensaje de texto para solicitar tus credenciales de inicio de sesión, ni para solicitar códigos de seguridad, códigos de acceso token ni tu información de contacto. No contestes a esta solicitud, incluso si parece que nosotros la enviamos. Nosotros no nos comunicaremos contigo conforme a estos términos. Nosotros jamás pediremos este tipo de información, así que debes notificar a Atención al Cliente de Administración de Tesorería, TMCC, si recibes dicho tipo de solicitud.

Howard Forman:

Así es.  Sí, creo que vale la pena mencionar que actualmente incluso el identificador de llamadas se puede falsificar, ¿cierto?  Entonces, así es como estos delincuentes se hacen pasar por instituciones financieras. Tú crees que tu banco es quien te está llamando para tratar de ayudarte a resolver el fraude de tu cuenta cuando en realidad lo que los delincuentes están haciendo es cometer un fraude con tu cuenta.  Lo que debes hacer es colgar, si tienes alguna sospecha, y llamarnos a un número de teléfono conocido y, en efecto, podemos confirmar si la llamada fue legítima o no.

Muy bien.  Tenemos una pregunta más, que también es importante.  Alguien está preguntando, si lo inevitable ocurre, ¿cómo y dónde debe nuestra compañía reportar el fraude una vez que ha ocurrido?  Esperamos que no ocurra, pero sí ocurre, ¿qué se debe hacer?

Chris Byers: 

Creo que hemos observado que sí ocurre, ¿cierto?  Todo mundo es un objetivo, nadie está exento.  Entonces, si ocurre, definitivamente como lo mencionamos hace un momento, llama a Atención al Cliente de Administración de Tesorería, TMCC, para reportarlo, especialmente si implica las credenciales de Pinacle de tu compañía o la cuenta de PNC de tu compañía.  Quizás esto parezca obvio, pero podría sorprenderte. Hay cierta vacilación con respecto a notificar a los cuerpos policiales. Existe la creencia que si se involucran los cuerpos policiales, entonces de cierta manera se convertirá en un asunto público, que los cuerpos policiales serán los soldados en tierra enemiga dentro de la organización haciendo cierto tipo de trabajo.  Pero sabes, incluso si el acontecimiento conduce a procedimientos penales, se tiene la creencia de que tú, en calidad de denunciante, tienes que testificar ante un tribunal.  De verdad, en gran medida esos son mitos.  Los cuerpos policiales están para ayudar.  Los cuerpos policiales saben tanto de estas estafas, tienen expertos ubicados en todo el país en oficinas de campo del FBI que se centran en diferentes tipos de fraude, como el fraude de cuentas de correo electrónico, el fraude de impostores de correo electrónico, el fraude de toma de control de cuentas, el ransomware o lo que se te ocurra.  Por lo tanto, lo más probable es que estés denunciando algo que ellos han visto antes, por lo que pueden ofrecer algunos consejos verdaderamente valiosos y ayudarte a normalizar tu situación y seguir trabajando, así como ayudarte, nuevamente, a fortalecer la higiene cibernética de tu organización.

Howard Forman:

Sí, y en relación con el comentario que hiciste anteriormente sobre el seguro, dependiendo de la cobertura de seguro que tengas, la compañía de seguros de hecho puede exigir que realices una denuncia formal a los cuerpos policiales. Entonces, ese es otro motivo muy importante por el cual debes involucrar a los cuerpos policiales, además de involucrar al banco.

Bien.  Bueno, creo que ya se nos terminó el tiempo para las preguntas, pero Chris y Peggy, permítanme agradecer a ambos por su tiempo.  De verdad agradecemos la información y las perspectivas que compartieron con nosotros el día de hoy.  Y a todos nuestros asistentes, espero, esperamos que este seminario web haya sido esclarecedor y valioso para ustedes, y que lleven la información que les compartimos de vuelta a su organización para generar una mayor concientización con respecto a algunas de las estafas de banca en línea que existen en la actualidad, y luego realicen las acciones de las que hablamos para proteger su compañía de los efectos perjudiciales que tienen estas estafas de fraude de pago.

La plataforma de administración de tesorería de PNC ofrece innovadoras tecnologías de extremo a extremo y equipos con experiencia que conocen tu industria y tu empresa.  Podemos ayudar a estructurar un sistema cohesivo de administración de tesorería al brindarte los medios para ayudar a optimizar tu capital de trabajo, realizar transacciones más rápidas y seguras y lograr que tu empresa avance.  Para obtener más información sobre la plataforma de administración de tesorería de PNC, ponte en contacto con tu oficial de administración de tesorería o con tu gerente de relaciones, o bien, puedes visitar pnc.com/treasury.

Dicho esto, les deseamos a todos una experiencia en línea segura y esperamos que la información que les compartimos el día de hoy ayude a su organización a mantener o mejorar su higiene de riesgo con respecto a la amenaza que suponen estas estafas de banca en línea.

Gracias a todos.