seguritecnia 421

32 SEGURITECNIA Junio 2015 Seguridad Integral Evidentemente, el riesgo asociado al fraude, como amenaza a la seguridad, puede ser de diversa condición, ya que las actividades fraudulentas también lo son. No es lo mismo una intrusión en, por ejemplo, una estación de me- tro motivada por la intención de no pagar el coste del billete, que una in- filtración en los sistemas informáticos cuyo objetivo sea la adquisición de in- formación interna que pueda permitir estrategias de fraude más avanzadas. Además del objetivo, estas actuacio- nes pueden diferenciarse por su natu- raleza, en el sentido de si se producen de manera esporádica, aprovechando ventanas de oportunidad aleatorias, o si son resultado de tácticas sólidas na- cidas del conocimiento experto de las debilidades del perímetro defensivo corporativo. Por otro lado, el fraude es una ame- naza de primer orden para la reputa- ción corporativa. Pensemos en el efecto creado por un individuo que se dedique de manera continua a verter en diferen- tes medios contenido falso sobre aspec- tos claves de una compañía tales como su política de precios, sus estrategias de contratación, planes de expansión, etc., utilizando para ello una falsa identidad que lo identifique como parte de dicha compañía. O, por ejemplo, los deriva- dos de que un grupo se organice para suplantar la identidad de los empleados que, como los agentes comerciales, tie- nen contacto directo con los clientes – reales y potenciales–, generando daños económicos para estos últimos. La potencia de fuego de esta amenaza se amplifica además mediante el uso de técnicas y herramientas que ya no son novedad y que se pueden agrupar bajo el paraguas del término ‘ciberfraude’. En esencia, el ‘ciberfraude’ es la puesta al día de prácticas delictivas antiguas mediante el uso de las modernas tecnologías de co- municación: phishing , vishing , pharming , etc. Son todas actividades fraudulentas que se apoyan en el uso de técnicas de ingeniería social en el ciberespacio. Los efectos de las mismas sobre la seguridad y la reputación de una compañía tienen un potencial devastador. Inteligencia como respuesta Un aspecto que no puede obviarse en torno al fraude/‘ciberfraude’ (que como las seguridades física y lógica no deberían separarse) es el elevado número de esquemas fraudulentos que se han desarrollado en paralelo al avance de la tecnología. Este factor está asociado también al aumento del caudal de datos –convertidos infor- mación cuando son tratados– que se producen cada segundo en los círcu- los externo e interno de cualquier em- presa. En un contexto de ‘infoxicación’ puede producirse un aumento del ni- vel de incertidumbre que impida la re- acción rápida de una compañía ante una amenaza. Para paliar dicha incon- veniencia se hace necesario potenciar la generación de conocimiento para permitir una toma de decisiones en ventaja informativa, extremo en el que la inteligencia –con cualquiera de los apellidos que quiera añadírsele: eco- nómica, estratégica, de seguridad, re- putacional, etc.– se muestra como he- rramienta de trabajo indispensable. La inteligencia, cuando “es el pro- ducto obtenido tras aplicar a la infor- mación técnicas de análisis, de forma que resulte útil al decisor a la hora de tomar sus decisiones con el me- nor nivel de incertidumbre posible, si- guiendo el ciclo de inteligencia” (Dic- cionario LID de Inteligencia y Segu- ridad, 2013), basa su fortaleza en la acumulación de conocimiento so- bre uno o varios temas concretos. Esa debe ser la finalidad de un sistema de inteligencia, pues el valor añadido que aporta a compañías que ya cuen- tan con avanzados sistemas tecnológi- cos y herramientas informáticas no es otro que la capacidad de los analistas Figura 1: un Centro de Operaciones de Inteligencia debe aprovechar las fortalezas del Ciclo de Inteligencia y trabajar de forma integrada en el conjunto de áreas que se de- dican a proteger a una compañía. En esencia el ‘ciberfraude’ es la puesta al día de prácticas delictivas antiguas mediante el uso de las modernas tecnologías de comunicación: phishing, vishing, pharming , etc.