Atractivo criminal y comportamiento virtual seguro

Publicado por buguroo - 02/10/2019

En 1979, Cohen y Felson presentaron un nuevo enfoque en las teorías criminológicas, las cuales habían estado hasta entonces muy centradas en el criminal, en su génesis y características como si el delito solo dependiera para ocurrir de la existencia de un criminal motivado para ello.

Con estos autores y con todo el desarrollo de la llamada Criminología Ambiental, se abre una nueva perspectiva para entender el delito desde una visión más amplia. El Triángulo del Delito nos dice que, para que surja un delito, ya no solo es necesario que esté presente un delincuente motivado, hace falta la existencia de otros dos elementos sin los cuales el delito no se llevaría a cabo.

En primer lugar, aunque no hay un orden cronológico, estos autores nos hablan de una víctima u objetivo propicio para el criminal. El criminal debe estar motivado, pero además debe tener accesible una víctima u objetivo que sea atractivo y le genere el beneficio que está buscando con su delito. Esto nos abre todo un mundo de posibilidades de prevención del delito y es de lo que va a tratar este post, pues desde esta visión podemos influir en que una víctima potencial deje de tener o disminuya su “atractivo criminal”.

Pero, aunque confluyan un delincuente motivado y una víctima propicia, aún necesitamos un tercer elemento para que pueda surgir el crimen, una situación de ausencia de vigilancia del objetivo criminal. Esto quiere decir que se genera una oportunidad para delinquir en un contexto o situación que hace que la víctima quede vulnerable para un ataque con la suficiente seguridad para el delincuente. Esto nos recuerda a la Teoría de la Elección Racional del Delito de Cornish y Clark, según la cual, el criminal realiza un análisis de coste-beneficio donde valora si llevar a cabo el delito o no.

En este sentido, la situación también se conforma en un elemento clave a la hora de explicar un delito, abriendo también nuevos enfoques para prevenir la aparición del crimen desde la óptica de que, aunque existan criminales motivados y víctimas propicias, podemos intervenir en la situación para crear las condiciones suficientes que hagan disuadir al criminal de sus intenciones.

Pero volvamos de nuevo a la víctima y a su relación con lo que hemos denominado “atractivo criminal”, pero antes debemos dejar claro que cuando hablamos de víctima no nos referimos solo a personas, sino a cualquier objetivo criminal como puede ser un hogar, una empresa, un sistema informático, cuentas bancarias…Igualmente, cuando hablamos de atractivo no nos referimos solo a elementos estéticos-físicos, sino a una serie de características del objetivo que lo hacen atrayentes para el criminal.  Una casa solitaria, una empresa sin control de accesos, un sistema informático sin elementos de ciberseguridad o una persona que no sabe lo que es el phishing pueden ser objetivos con atractivo criminal.

Para profundizar más sobre el tema nos vamos a quedar con el último ejemplo, las víctimas de phishing y su atractivo criminal.

El phishing es un método utilizados por cibercriminales para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. Para ello, el método más frecuente es el envío de mails masivo a las potenciales víctimas. Dichos mails suelen ser principalmente de dos tipos: aquellos que suplantan la marca de alguna empresa, generalmente entidades bancarias, y los que suplantan a personas.

atractivo-criminal-01

Básicamente, el objetivo de estos mails es engañar a las personas que lo reciben para que ofrezcan información personal o en algunos casos realicen envíos de dinero.  Un ejemplo típico puede ser el de un mail que suplanta la identidad de un banco y le solicita a la persona que lo recibe que acceda a su banca online desde un link que aparece en cuerpo del mensaje. La persona cree que realmente este correo ha sido enviado por su banco y accede a su portal de banca online a través del link enviado. Sin saber que esa web a la que está accediendo no es realmente la de su banco, el usuario ingresa usando sus claves y contraseñas que son el objetivo final del cibercriminal.

Con menos apoyo técnico y más de lo que se denomina “ingeniería social”, otro típico ataque phishing consiste en enviar un correo haciéndose pasar por una persona que ha cobrado una herencia o ha ganado la lotería. La persona ficticia solicita ayuda del destinatario del mail a cambio de una gratificación económica. De esa ayuda se deriva que la persona tiene que enviar documentación o información confidencial o simplemente enviar dinero a un destino. De cualquier manera, tarde o temprano el destinatario que accede a la solicitud del mail acaba siendo estafado económicamente.

Esta tipología ciberdelictiva se basa en una brecha de seguridad insalvable que existe en muchos elementos tecnológicos, un problema de seguridad imposible de resolver o “parchear”, la participación del ser humano. Cualquier máquina, sistema computacional o artefacto tecnológico que requiera la participación o manejo del ser humano es susceptible de hackearse de forma relativamente sencilla.

Podemos programar a un sistema para que haga o no haga una determinada acción cuando se cumplen determinados parámetros, que tome una determinada decisión basándose exclusivamente en elemento objetivos y racionales o que no actúe sino dispone de determinada información, pero ¿podemos hacer esto mismo con las personas? ¿Podemos hacer que una persona no abra un mail que le parece sospechoso? ¿podemos hacer que una persona no crea que puede ganar un millón de euro provenientes de una persona que no conoce? ¿podemos hacer que una persona se esté quieta y no descargue softwares de los que no conoce su origen a pesar de que sean gratuitos? Estas cuestiones son las que hacen “atractiva” para el criminal a una máquina controlada o manejada por un ser humano.

Para que los ataques de phishing sean exitosos, como en cualquier estafa, se requiere que la víctima participe, que actúe de forma deliberada dejándose llevar por un engaño. Por tanto, los ciberdelicuentes necesitan principalmente dos elementos:

  • Credibilidad
  • Persuasión.

La credibilidad es un elemento que parte de las habilidades del ciberdelincuente. Todo el formato del mail, el contenido, la estética, el link, la web a la que se redirige…deben ser lo más creíble posible para el destinatario. Aquí se incluye, como ya hemos dichos, elementos técnicos de hacking, pero también grandes dosis de ingeniería social.

atractivo-criminal-02

El otro elemento, la persuasión, requiere de la participación de la víctima y por tanto es necesario focalizar los ataques sobre aquellos targets que vayan a “picar” con mayor facilidad en el engaño del phishing. Estamos hablando, por tanto, de identificar víctimas con mayor atractivo criminal. Aunque la mayoría de los ataques phishing son masivos y a discreción, los cibercriminales necesitan de ciertos niveles de éxito, por lo que cada día más deben estudiar las marcas que son más fáciles de copiar para crear sus “anzuelos” y los “targets” de usuario que caerán en la trampa con mayor facilidad. Por eso, hoy en día las marcas y empresas invierten en crear sistemas antiphishing y en mantener actualizados todos sus sistemas de ciberseguridad. Pero ¿qué ocurre con el factor humano? ¿Cómo podemos hacer que las personas/usuarios sean menos “victimizables”?

Es necesario que apostemos por concienciar en lo que podemos denominar “comportamiento virtual seguro”, en hacer que los usuarios de tecnologías de la información conozcan y lleven a cabo comportamientos de seguridad que aminoren sus riesgos de ser víctimas como ocurre en otros ámbitos de la seguridad. Sensibilizar en temas de ciberseguridad es una asignatura pendiente hoy en día para administraciones y empresas que se han ocupado principalmente de que las personas aprendan a usar las tecnologías sin enseñarles a usarlas de forma segura. No solo el phishing, sino otras tipologías ciberdelictivas como el sexting o el ciberbullying se aprovechan precisamente de este desconocimiento de los usuarios en materia de seguridad.

Este “comportamiento virtual seguro” consiste en empoderar a los usuarios a través de distintas estrategias como puede ser la educación en materia de ciberseguridad. No nos referimos a que todos los usuarios tengan formación técnica en ciberseguridad, lo mismo que no les pedimos a los ciudadanos que sean expertos en seguridad, sino que lleven a cabo comportamientos básicos de protección.

A nadie se le ocurriría dejar la puerta de casa abierta cuando salimos a trabajar o permitir la entrada a nuestro domicilio a cualquier persona que llame al timbre, son comportamientos de seguridad que hemos aprendido pero que no ponemos en práctica en el mundo virtual.

Todo esto puede parecer extraño, pero reflexione detenidamente sobre este ejemplo del acceso al domicilio y se dará cuenta de que es más fácil entrar en nuestra casa por nuestro router de conexión que por nuestra puerta principal.

Y es en este campo donde han empezado a surgir lo que se denominan “phishing training”, donde se les enseña a los usuarios técnicas y habilidades para detectar mensajes de phishing. Una de estas técnicas de aprendizaje consiste en un aprendizaje integrado, donde a los usuarios se les envía mensajes falsos y cuando éstos caen en la trampa se les informa de que acaban de ser víctimas de un correo phishing. Se les enseña respecto a qué deberían haber tenido en cuenta o de cómo deberían haber actuado ante este correo, con lo que el usuario aprende en tiempo real no solo a que puede ser una potencial víctima, sino a descubrir estrategias que le permitan no ser víctima de un ataque real.

Frente a las tradicionales webs que tratan de formar en esto del phishing a través de textos, algunos investigadores han confirmado como el uso de comics o modelos interactivos son más útiles para enseñar a los usuarios a no ser víctimas. “Anti-phishing Phil"[1] es un juego diseñado por un equipo de Carnegie Mellon que capacita a los usuarios para identificar las URL de phishing. Utiliza un juego divertido enmarcado en torno a la pesca real (las URL son ganchos para atrapar a los peces) para educar a los usuarios sobre cómo mirar una URL e identificar a qué sitio web va realmente.

Otra fuente de aprendizaje consiste en el “boca a boca” cuando usuarios se cuentan entre sí historias que le han sucedido sobre incidentes de seguridad de este tipo y cómo actuaron o afrontaron la situación. Esto no es más ni menos que el aprendizaje vicario que hemos usado siempre para aprender de la experiencia de otros, de personas como nosotros, amigos o familiares con los que nos sentimos identificados y de los que recibimos consejos de una forma más receptiva en comparación a cuando los recibimos de expertos. Ocurre lo mismo que cuando es un vecino quien nos cuenta que el otro día quisieron entrar a robar en su casa y su sistema de alarma lo impidió.

Esta historia seguramente tendrá más impacto para nosotros a la hora de decidir comprar una alarma que si un experto nos cuenta cómo funciona. Sin embargo, esto no desacredita la formación experta, que sería más o menos la que nos ofrece el sistema de aprendizaje integrado, pues a la hora de aprender a usar el sistema de alarma seremos más receptivo a escuchar los consejos e instrucciones de un experto.

Por tanto, ambos sistemas de aprendizaje son complementarios y de enorme utilidad para conseguir sensibilizar al usuario final en un comportamiento virtual seguro que les permita afrontar ataques phishing y otro tipo de fenómenos ciberdelictivos. Como nos muestra el triángulo del delito, la víctima no es neutra en el delito, condiciona e influye sobre él, por lo que las empresas dedicadas a la ciberseguridad deben tener en cuenta este elemento en sus servicios y estrategias de lucha contra el cibercrimen.

[1] Steve Sheng, Bryant Magnien, Ponnurangam Kumaraguru, Alessandro Acquisti, Lorrie Faith Cranor, Jason Hong, and Elizabeth Nunge. 2007. Anti-phishing phil: the design and evaluation of a game that teaches people not to fall for phish. In Proceedings of the 3rd Symposium on Usable Privacy and Security (SOUPS). ACM Press, New York, New York, USA, 88

.

Temas: Psicología cibercriminal, Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Repaso de los principales mecanismos de autenticación utilizados

read more

¿Amigo o enemigo? Cuando el estafador es, además, su cliente

read more

CYBERCRIME.ORG. Cibercrimen como Empresa

read more