{"id":7420,"date":"2021-03-23T10:30:16","date_gmt":"2021-03-23T09:30:16","guid":{"rendered":"https:\/\/revistaconsell.com\/?p=7420"},"modified":"2021-03-23T10:30:51","modified_gmt":"2021-03-23T09:30:51","slug":"la-seguretat-informatica-en-lambit-dels-despatxos-dadministracio-de-finques-prevencio-del-frau-a-internet","status":"publish","type":"post","link":"https:\/\/revistaconsell.com\/es\/la-seguretat-informatica-en-lambit-dels-despatxos-dadministracio-de-finques-prevencio-del-frau-a-internet\/","title":{"rendered":"La seguretat inform\u00e0tica en l\u2019\u00e0mbit dels despatxos d\u2019Administraci\u00f3 de Finques: prevenci\u00f3 del frau a Internet"},"content":{"rendered":"\n\n\n\t
\n\n\t\t<\/i><\/span> PDF<\/a>\n\n\t<\/div>\n\n\n\n\n\n\n

Les mesures de seguretat m\u00ednimes per teletreballar de forma segura no es limiten a l\u2019\u00fas d\u2019un antivirus, sin\u00f3 que \u00e9s necessari implementar pautes espec\u00edfiques per tal d\u2019evitar que els hackers ens robin les dades i els diners fruit del nostre esfor\u00e7 diari<\/p>\n\n\n\n

Ja fa un any que la pand\u00e8mia per SARS-CoV-2, m\u00e9s conegut col\u00b7loquialment com a COVID-19, ha capgirat la nostra societat i la nostra economia fent -excepte en casos ben contats- que el manteniment dels sistemes de generaci\u00f3 de riquesa passin a \u201cmode manteniment\u201d. En aquesta situaci\u00f3, ens hem recolzat en les noves tecnologies per mantenir el ritme de treball m\u00e9s enll\u00e0 de l\u2019a\u00efllament personal que, en moltes activitats qualificades de \u201cno essencials\u201d, ha estat inevitable. Per\u00f2, com totes les activitats s\u00f3n essencials per a qui d\u2019elles viu -i a vegades sobreviu-, en molts casos ens hem llan\u00e7at en mans d\u2019aquestes tecnologies sense adonar-nos que, sense les condicions i la protecci\u00f3 adequada, aix\u00f2 \u00e9s tan perill\u00f3s com deixar-se caure sobre el matal\u00e0s d\u2019un faquir.<\/p>\n\n\n\n

Teletreballar sense ensurts<\/h2>\n\n\n\n

El teletreball ens ha donat soluci\u00f3 a bona part del problema, sobretot eliminant part del risc de contagi, per\u00f2 moltes empreses i professionals ho van veure, en el seu moment, com un simple canvi de lloc des d\u2019on portar a terme la seva feina. I, si \u00e9s ben cert que en el cas de les oficines de gestions administratives la feina a fer \u00e9s realitzable des d\u2019ubicacions diferents sense massa problema, pocs van prendre les mesures apropiades per desenvolupar les seves tasques de forma segura. Aix\u00ed, van assumir el teletreball sense implementar ni tan sols les m\u00ednimes mesures de seguretat, les quals no nom\u00e9s es limiten a l\u2019\u00fas d\u2019un antivirus.<\/p>\n\n\n\n

\u201cCal tenir molt present quins s\u00f3n els nous riscos en qu\u00e8 posem la nostra productivitat en implementar el teletreball donat que, per exemple, una connectivitat amb els sistemes de gesti\u00f3 comercial o de facturaci\u00f3 sense un t\u00fanel VPN ben configurat,  que impedeixi vulnerar la privacitat de la informaci\u00f3, el que fa \u00e9s obrir la porta del nostre entorn productiu a les accions de possibles hackers interessats en la nostra informaci\u00f3\u201d, explica Vicen\u00e7 Campanales, gerent de l\u2019empresa especialitzada en inform\u00e0tica forense i seguretat Natural Thought.<\/p>\n\n\n\n

D\u2019altra banda, a l\u2019hora d\u2019implementar el teletreball, oficines i professionals amb menys estructura inform\u00e0tica van considerar suficient la inversi\u00f3 del \u201cno res\u201d, avalada per la falsa sensaci\u00f3 de seguretat que alguns programaris antiv\u00edrics difonen amb les seves aplicacions. D\u2019aquests les versions m\u00e9s econ\u00f2miques, tot i ser for\u00e7a eficients, en molts casos no incorporen totes les funcions recomanables, i les que s\u00ed que ho s\u00f3n resulten m\u00e9s cares. Per\u00f2 analitzem l\u2019entorn en qu\u00e8 ens estem movent des de l\u2019inici de la pand\u00e8mia i, sobretot, del confinament.<\/p>\n\n\n\n

El confinament i els hackers<\/h2>\n\n\n\n

M\u00e9s enll\u00e0 del complicada que se\u2019ns ha tornat la vida a tots, hi ha qui, com succeeix en tota crisi, en treu avantatges. De sobte el tr\u00e0fic d\u2019Internet s\u2019ha vist incrementat de forma totalment imprevisible per una allau de dades de negoci que, amb aspecte delici\u00f3s i escasses mesures de seguretat, resulten molt apetitoses per als hackers, que ben aviat van comen\u00e7ar a adaptar els procediments coneguts per tots ells com \u201cenginyeria social\u201d. Aquests delinq\u00fcents tamb\u00e9 tenen ara m\u00e9s temps per dedicar-se a robar, amb la qual cosa el perill encara \u00e9s molt m\u00e9s gran… <\/p>\n\n\n\n

A banda de la llegenda que els envolta i empara, els hackers no s\u00f3n m\u00e9s que l\u2019evid\u00e8ncia individualitzada de com es poden utilitzar els sistemes inform\u00e0tics i la mateixa societat de la informaci\u00f3 en benefici propi. Hi ha des del conegut \u201cpirata inform\u00e0tic\u201d que demana diners o qualsevol altre tipus de benefici a canvi de no divulgar determinades informacions compromeses -a les quals ha accedit aprofitant errors dels sistemes inform\u00e0tics de la v\u00edctima- fins al que treballa per a una organitzaci\u00f3 criminal que hi posa mitjans i inverteix en delictes esperant un benefici cert.<\/p>\n\n\n\n

D\u2019aquesta forma, i considerant que el m\u00f3n no t\u00e9 fronteres ni per a Internet ni per a la COVID-19, i afegint la colossal crisi econ\u00f2mica que la pand\u00e8mia ha generat, de la que no hem vist m\u00e9s que la punta de l\u2019iceberg, la tempesta \u00e9s, doncs, perfecta.<\/p>\n\n\n\n

Enginyeria social<\/h2>\n\n\n\n

Es coneix com a enginyeria social el conjunt d\u2019aquelles activitats orientades a generar opini\u00f3 massiva, per\u00f2 tamb\u00e9 aquells fluxos d\u2019informaci\u00f3 que poder dur a engany i provocar accions que, tot i semblar leg\u00edtimes, esdevenen en una acci\u00f3 contr\u00e0ria als interessos de la persona que n\u2019\u00e9s v\u00edctima i\/o de l\u2019empresa per a qu\u00e8 treballa.<\/p>\n\n\n\n

L\u2019enginyeria social es nodreix, inicialment, de les dades que es poden obtenir per mitjans oberts, \u00e9s a dir, dades p\u00fabliques. \u201cAquestes dades, moltes vegades publicades pels mateixos usuaris o per les companyies en qu\u00e8 treballen, poden permetre identificar els arbres de comandament de les organitzacions objectiu del frau. D\u2019aquesta manera, i tan sols com a exemple, una persona que al web de l\u2019empresa consta com a director financer i que a les xarxes socials declara que l\u2019hi agrada Amazon, pot rebre un correu fraudulent amb un malware que s\u2019executa quan l\u2019usuari pensa que est\u00e0 accedint a la ubicaci\u00f3 de recollida d\u2019una comanda realitzada. Sembla mentida, per\u00f2 un de cada quatre receptors de correus fraudulents pica\u201d, continua explicant l\u2019expert. Despr\u00e9s, tot queda en mans dels sistemes de seguretat inform\u00e0tica de l\u2019empresa, els quals \u00e9s ben previsible que no siguin tot l\u2019eficients que deurien vista la desbandada que ha provocat la COVID-19. A partir d\u2019aquest moment, la informaci\u00f3 del director financer queda en mans de l\u2019atacant, de manera que pot rebre factures amb el compte bancari canviat o fer un pagament a un receptor equivocat, o b\u00e9 rebre un missatge aparentment d\u2019un dels seus caps, o d\u2019un prove\u00efdor, ordenant accions que portin al frau.<\/p>\n\n\n\n

La quantitat de possibles v\u00edctimes que el confinament ha provocat ha fet que els entorns de frau s\u2019hagin convertit en veritables organitzacions criminals. Des del m\u00e9s senzill, que utilitza un compte bancari \u201ccontrolat\u201d del que treu els diners al mateix moment en qu\u00e8 els ingressen, fins a grans fraus que disposen de comptes bancaris a paradisos off-shore.<\/p>\n\n\n\n

Modalitats de frau<\/h2>\n\n\n\n

El \u201cm\u00f3n de la inform\u00e0tica\u201d est\u00e0 dominat per la llengua anglesa, cosa que marca una certa dist\u00e0ncia amb el llenguatge com\u00fa, dotant d\u2019una aura quasi m\u00edstica tot el que envolta el que, en molts casos, s\u00f3n delictes. Veiem que phishing<\/em>, que significa pescar, fa refer\u00e8ncia a l\u2019engany que pret\u00e9n accions com les descrites anteriorment, encaminades a provocar un error interessat per part de l\u2019usuari. EL whaling<\/em> \u00e9s el mateix, per\u00f2 amb \u201cpeixos grossos\u201d; d\u2019aqu\u00ed el nom (whale<\/em> significa balena en angl\u00e8s), tamb\u00e9 conegut com a \u201cfrau del CEO\u201d.<\/p>\n\n\n\n

El gerent de Natural Thought afirma al respecte que \u201cla professionalitzaci\u00f3 d\u2019aquestes accions fa que, cada vegada m\u00e9s, una activitat que anava habitualment dirigida a usuaris amb poca habilitat inform\u00e0tica i amb fraus de quantitats menors -que en moltes ocasions ni tan sols eren objecte de den\u00fancia- hagi donat pas a l\u2019esmentat frau del CEO, en qu\u00e8 la preparaci\u00f3 de \u00abl\u2019escenari\u00bb del frau \u00e9s tan acurada que, fins i tot, es plantegen els pagaments pretesos de manera ajustada a la capacitat de firma autoritzada de les v\u00edctimes\u201d. En aquests casos \u00e9s habitual que l\u2019atacant demani -per via el m\u00e9s personal possible i aparentant ser el mateix CEO o qualsevol amb ascendent suficient (entre els investigadors conegut com \u201cel ganxo\u201d)- poder dur a terme \u201cuna gesti\u00f3 tan vital per a l\u2019empresa com reservada per a la resta dels empleats\u201d. Per m\u00faltiples raons inherents a la condici\u00f3 humana, una vegada interioritzada la situaci\u00f3 aparentada, nom\u00e9s una clara i inviolable metodologia interna o un error flagrant de l\u2019atacant poden evitar el frau, que en molts casos ha suposat la p\u00e8rdua de centenars de milers d\u2019euros.<\/p>\n\n\n\n

En l\u2019anomenat frau del CEO, la preparaci\u00f3 de l\u2019escenari \u00e9s tan acurada que, fins i tot, es plantegen els pagaments pretesos de manera ajustada a la capacitat de firma autoritzada de les v\u00edctimes.<\/p><\/blockquote>\n\n\n\n

La pr\u00e0ctica habitual de limitar-ne la difusi\u00f3 per evitar problemes de reputaci\u00f3, avivada per l\u2019actual marc legal de protecci\u00f3 de dades, fa que els casos coneguts no aportin cap efecte exemplaritzant a la societat.<\/p>\n\n\n\n

Com protegir-nos?<\/strong><\/h2>\n\n\n\n

Com hem vist fins ara, qualsevol usuari pot convertir-se en objectiu de phishing<\/em> en l\u2019\u00e0mbit personal. D\u2019altra banda, \u00e9s ben senzill veure\u2019s implicat en un cas de whaling<\/em>, donat que \u201caix\u00f2 no tan sols dep\u00e8n de la mesura del peix\u201d, puntualitza Campanales.<\/p>\n\n\n\n

En l\u2019entorn dels despatxos d\u2019Administraci\u00f3 de Finques es d\u00f3na la circumst\u00e0ncia que es gestionen dades personals de multitud de propietaris, esdevenint tant una font d\u2019informaci\u00f3 de dades com un objectiu per al frau. Res impedeix a les organitzacions atacants evolucionar fins al que es podria denominar trawling<\/em> (pesca d\u2019arrossegament) en qu\u00e8 el volum de la balena es substitueix per milers de peixos m\u00e9s petits. Segons l\u2019expert, \u201caquest \u00e9s el proper repte que ens ve, i els Administradors de Finques, com a grans tenidors de dades i emissors de remeses, es poden veure afectats de forma espec\u00edfica. Tot i que la metodologia banc\u00e0ria ens protegeix \u00e0mpliament al respecte, tan sols \u00e9s q\u00fcesti\u00f3 de temps que els atacs es vagin professionalitzant m\u00e9s i m\u00e9s\u201d.<\/p>\n\n\n\n

Hem de tenir en compte que les dades dels nostres clients s\u00f3n un objectiu cobejat per aquestes organitzacions i es poden convertir en un risc de cara a possibles sancions per part de les autoritats de protecci\u00f3 de dades.<\/p>\n\n\n\n

D\u2019aquesta manera conflueixen dos riscos en un mateix mecanisme de mitigaci\u00f3. Cal recordar que el conegut GPDR (Reglament Europeu de Protecci\u00f3 de Dades) estableix, de forma resumida, que \u201cles organitzacions hauran de disposar dels mitjans raonablement aplicables per protegir les dades personals de qu\u00e8 fan \u00fas\u201d, tot i que la definici\u00f3 de \u201craonables\u201d queda una mica indefinida. \u201cPer aix\u00f2 resulta essencial disposar de mecanismes de protecci\u00f3 perimetral ben configurats i normes internes d\u2019\u00fas dels equipaments inform\u00e0tics que previnguin de forma eficient les errades humanes que poden provocar p\u00e8rdua de dades o, directament, robatoris\u201d, apunta la font consultada. De la mateixa manera, \u201cresulta imprescindible impedir l\u2019\u00fas privat dels dispositius m\u00f2bils i ordinadors port\u00e0tils de l\u2019empresa per a usos privats i viceversa: utilitzar o accedir a recursos de l\u2019empresa des de mitjans privats. Tot aix\u00f2 orientat a l\u2019establiment d\u2019un entorn fiable i, sobretot, controlable\u201d. Aix\u00ed, dins d\u2019aquest entorn s\u2019han d\u2019establir els permisos concrets en qu\u00e8 ha de treballar cada usuari i recolzar en la normativa i la tecnologia la confian\u00e7a dipositada en cadascun d\u2019ells, deixant al criteri de la persona la part imprescindible i en funci\u00f3 de la potestat atorgada. L\u2019expert en seguretat inform\u00e0tica recomana, per \u00faltim, \u201crealitzar cursos de formaci\u00f3 i conscienciaci\u00f3 que assegurin el coneixement m\u00ednim necessari perqu\u00e8 cadascun dels usuaris sigui una mesura de protecci\u00f3 en si mateix\u201d.\u00a0<\/p>\n\n\n\n

Resulta imprescindible impedir l\u2019\u00fas privat dels dispositius m\u00f2bils i ordinadors port\u00e0tils de l\u2019empresa per a usos privats, i viceversa.<\/p><\/blockquote>\n\n\n\n

Totes aquestes mesures convertiran el nostre entorn de treball en un entorn segur, independentment del lloc f\u00edsic on desenvolupem la nostra feina.<\/p>\n","protected":false},"excerpt":{"rendered":"

PDF Les mesures de seguretat m\u00ednimes per teletreballar de forma segura no es limiten a l\u2019\u00fas d\u2019un antivirus, sin\u00f3 que \u00e9s necessari implementar pautes espec\u00edfiques per tal d\u2019evitar que els hackers ens robin les dades i els diners fruit del nostre esfor\u00e7 diari Ja fa un any que la pand\u00e8mia per SARS-CoV-2, m\u00e9s conegut col\u00b7loquialment […]<\/p>\n","protected":false},"author":12,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advgb_blocks_editor_width":"","advgb_blocks_columns_visual_guide":"","_editorskit_title_hidden":false,"_editorskit_reading_time":7},"categories":[106],"tags":[],"author_meta":{"display_name":"Redaccio Consell","author_link":"https:\/\/revistaconsell.com\/es\/author\/redaccioconsell\/"},"featured_img":null,"_links":{"self":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/7420\/"}],"collection":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/"}],"about":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/types\/post\/"}],"author":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/users\/12\/"}],"replies":[{"embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/comments\/?post=7420"}],"version-history":[{"count":1,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/7420\/revisions\/"}],"predecessor-version":[{"id":7421,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/posts\/7420\/revisions\/7421\/"}],"wp:attachment":[{"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/media\/?parent=7420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/categories\/?post=7420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/revistaconsell.com\/es\/wp-json\/wp\/v2\/tags\/?post=7420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}