Los métodos de los ciberdelincuentes son cada vez más agresivos y, en los últimos tiempos, se orientan con mayor frecuencia a PYMES e individuos que, a diferencia de las grandes corporaciones, no tiene los medios o la capacidad de defenderse, según revela Igor Lukic, fundador de Hackron y experto en ciberseguridad.

Para Lukic no existen dudas, el método de autenticación de identidad basado en usuario y contraseña es el eslabón más débil –el método menos seguro, en otras palabras– en todo el esquema de ciberseguridad.

Entre los ejemplos citados por Lukic durante su presentación en el evento B-FY Pulse, destaca un caso real, grabado por la policía nacional española en el que a través de una llamada telefónica un usuario es inducido a revelar su clave y contraseña.

Haciéndose pasar por funcionarios del banco, los ciberdelincuentes le plantean al usuario que se ha hecho un cargo online con su tarjeta. Éste señala que no ha sido él quien ha hecho la operación. En ese momento los delincuentes le indican que enviarán un mensaje con un enlace a su teléfono y que deberá hacer click en el enlace y a continuación introducir su clave.

Los datos son el objetivo

Obtener los datos de usuario es el objetivo de los delincuentes, ya que una vez que los tienen pueden acceder a la cuenta de la víctima, sea la cuenta bancaria, la de email o cualquier otro activo digital. Además, utilizando la clave y contraseña del usuario el sistema no podrá detectar que es un movimiento extraño o ajeno al propietario de la cuenta y por lo tanto la incidencia no se comunicará dentro de las primeras 24 horas.

“Una vez que tienen tu usuario y contraseña, y entran en tu correo electrónico, pueden resetear la contraseña y dejarte fuera de tu vida digital, porque normalmente todas las cuentas sociales, bancarias y demás, las concentramos en un único correo electrónico”, explicó.

Lukic enfatizó en el hecho de que, aunque se ejerza a distancia, la ciberdelincuencia es tan violenta y despiadada como cualquier otro tipo de delincuencia. “Un ransomware no es otra cosa sino un secuestro, y los secuestradores tienen una moral nula”, dijo.

Entendiendo la Dark Web

Lukic dibujó el panorama actual de la llamada Dark Web, donde operan diversas tipologías de ciberdelincuentes. Entre ellas:

• Script kiddies, hackers muy jóvenes e inmaduros tanto emocionalmente como desde el punto de vista de las habilidades­, pero que pueden hacer mucho daño.
• Malicious insiders, personas que operan desde dentro de las organizaciones y colaboran con los ciberdelincuentes por un precio.
• Cibercrimen organizado, que son organizaciones criminales, con estructuras empresariales completas y ofertas de servicio, que operan desde la Dark Web.
• Activistas, hackers de alta peligrosidad debido a que tienen grandes capacidades y que actúan por convencimiento sea de carácter político, religioso, social…
• Ciberterroristas.
• Agentes autorizados por los estados.

Lukic explicó que en la Dark Web se ofrecen servicios para realizar todo tipo de ataques, como en un mercado legítimo, que las organizaciones criminales digitales amasan grandes sumas de dinero, reinvierten en el crecimiento de sus operaciones, reclutan personal y, en general, operan como cualquier empresa.

La mayor parte de los ataques parten del robo de bases de datos y venta de identidades o credenciales, insistió.

La identidad es muy valiosa

La identidad en el mundo digital es un activo sumamente valioso. Los ciberdelincuentes pueden utilizarla para solicitar créditos en nuestro nombre, vaciar nuestras cuentas bancarias, cambiar nuestras contraseñas y tener un control total sobre nuestra vida digital.

Ante la debilidad de los métodos de autenticación basados en contraseñas, incluso aquellos que emplean autenticación de múltiples factores (MFA o 2FA), sistemas como B-FY ofrecen una forma confiable de autenticación de identidades.

B-FY es un sistema biométrico de "Identificación como Servicio" (IDaaS) que permite a los clientes autenticar verdaderamente a sus usuarios en lugar de simplemente emparejar credenciales de autenticación. Este sistema utiliza las herramientas biométricas integradas en el sistema operativo del dispositivo, no requiere esfuerzo por parte del usuario y no implica una curva de aprendizaje.

Además, no hay costos asociados con las identificaciones recurrentes, como los generados por el envío de mensajes de texto cada vez que se necesita verificar una identidad.

Adiós a las contraseñas

Una de las características más destacadas de B-FY es que no utiliza contraseñas ni otro tipo de credenciales de posesión o conocimiento. Para identificar al usuario, solo necesita validar su número de teléfono y correo electrónico, vinculándolos a su dispositivo junto con su patrón biométrico.

Esto permite identificaciones exclusivamente desde ese dispositivo físico y con la biometría del usuario. Incluso en caso de robo del dispositivo, los delincuentes no podrán acceder a servicios protegidos por B-FY, ya que requeriría los datos biométricos del propietario.

Además, B-FY garantiza la privacidad y seguridad de los datos biométricos del usuario, ya que nunca abandonan su dispositivo físico ni se almacenan en servidores susceptibles de ser hackeados. El usuario siempre tiene el control total sobre sus datos biométricos.

Proteger la identidad es fundamental

La presentación de Igor Lukic pone en evidencia porqué proteger nuestra identidad en el entorno digital se ha vuelto más crucial que nunca. Las contraseñas, como método de autenticación, son cada vez más vulnerables frente a los ciberdelincuentes.

Es esencial adoptar sistemas de autenticación más seguros, como B-FY, que utilizan la biometría para garantizar una identificación confiable y sin fricciones. No podemos permitir que nuestros activos digitales y nuestra vida en línea estén expuestos ante los ciberdelincuentes.