Subscribe
Share
Share
Embed
Un@ invitad@ espectacular, una pregunta y una conversación llevada hasta el final para matar la pregunta. Recorremos el globo para encontrar las mentes más brillantes en temas como innovación, emprendimiento, liderazgo, growth, ciberseguridad, agilidad, experiencia del cliente y muchoooo más. Con cada invitad@ hacemos una inmersión profunda en una pregunta y luego la editamos a menos de 18 minutos de perfección. Si disfrutas este podcast y te gustaría escuchar más... por favor déjame saber qué invitad@s, qué temas, y qué preguntas te gustaría que matemos dejando un mensaje aquí en Spotify o en cualquiera de mis redes sociales @robbiejfrye
Hello, hello, hello y bienvenidos a
Matamos Preguntas.
Un invitado o invitada increíble.
Una pregunta y una conversación llevada
hasta el final para responder la pregunta.
Sin decir más, aquí tienes tu host, el
gringo loco, Robbie J.
Fry.
Hola hola hola, ¿cómo estás?
Bienvenidos a Matamos Preguntas.
Mi invitado es un hombre increíble,
Ricardo Pedraza.
Y la pregunta que matamos es...
¿Cómo es un ciberataque desde múltiples
frentes?
Pero antes de arrancar, ayúdame a
multiplicar el impacto de Matamos
Preguntas regalando una reseña en Spotify
o en tu player favorito.
Y cuenta al mundo que AMAS MATAMOS
PREGUNTA.
Y lo más importante, quiero celebrar las
empresas que hacen posible este podcast.
Mira, no entiendo la tecnología al nivel
de muchos de mis invitados al podcast,
pero lo que sí entiendo a un nivel
primordial es el tiempo.
Desorrollar software toma mucho tiempo,
especialmente desarrollar e integrar APIs.
y la lentitud en una startup es muerte.
Afortunadamente, personas cracks en
software construyeron DAPTA.
Y DAPTA puede reducir el tiempo de
desarrollo en un 90%.
Otra vez, 90% de tus APIs, es decir, APIs
en minutos.
Con DAPTA puedes crear APIs desde tus
fuentes de datos, crear integraciones
entre APIs de teseros y
incluso con DAPTATEC tan sencillo que
cualquier miembro de tu equipo podrá
construir APIs en tiempo record.
Básicamente, si tuvieras una lámpara
maravillosa y pidieras un deseo para
ayudarte con las APIs, el genio diría
guarda tu deseo, ya existe y se llama
DAPTATEC.
Si no me crees, visita su página haciendo
click en el link de este podcast
DAPTATEC.com
Programa una demo y entenderás el valor de
verdad de tu tiempo.
¡DAPTAA!
Y con ese dicho, matemos preguntas.
Ricardo, un placer, un placer, amigo.
Siempre puedes ganar más plata, no más
tiempo.
Muchas, muchas, muchas gracias por tu
tiempo.
Y la pregunta que quiero matar contigo es
¿cómo es un cyber ataque desde múltiples
frentes?
Como...
fishing de este lado de contraseñas,
etcétera, etcétera.
Por favor.
Bueno, súper.
Te cuento una historia que pasó hace dos
semanas, tres semanas más o menos, una muy
buena amiga de la familia.
Y el caso es bien interesante porque ya no
es lo que veíamos antes que solo se trata
de fishing y le diste click a un link y
pusiste de pronto alguna información y en
hace un formulario.
Sino que al final va más allá y va la mano
con lo que yo te comentaba de este término
que se usa en cyber que es pharma, ¿no?
van agarrando cositas esporádicamente de
tus perfiles de redes sociales, cómo
interactúas con quien te mueves para dar
un ataque supercontundente y que ni
siquiera te descuenta.
A día de lo que pasó, vamos a ponerle
nombre a esta persona, Pepita, para no
poner nombres directos.
En algún momento, claramente no lo tiene
tan presente.
Tuvo que haber llenado algún formulario de
algún correo que le llegó del banco donde
ella tiene su mayor capital, por así
decirlo.
Esto se conecta con que se van de paseo de
amigas, 10 amigas, celebrando sus 40,
Cartagena, Colombia.
Todos sabemos que cuando uno está en
Cartagena, está muy de fiesta, como que el
mundo desaparece y está muy enfocado en
esto, ¿no?
¿Por qué menciono esto?
Porque gran parte, digamos, del proceso de
hacking que le hicieron a ella, va muy
relacionado con este paseo, ¿no?
Entonces, aquí va, digamos, el segundo
factor y es uno de los errores más comunes
que nosotros cometemos hoy en día
que todo tiene que estar en las redes.
¿Qué hotel me estoy hospedando?
¿A qué horas llegué?
¿Apenas aterrice yapuce?
¿Todo hoy en qué restaurantes?
Entonces te empiezan a trackear ahí, ¿no?
Y hoy por hoy la gran mayoría de redes son
públicas, entonces es imposible entender
quién te está siguiendo, ¿no?
Eso por un lado.
Por otro lado, digamos que ya hubo un
factor mucho más fuerte y crítico y es
que...
cuando ella estaba, digamos, en el pico,
por así decirlo, del paseo de amigas, que
es el típico yate en Cartagena, además, se
subieron la foto, tal.
De repente ella pierde la señal de
celular, asume que es por un tema de
cobertura.
Pepita se relaja, disfruta todo su paseo,
vuelven en la noche.
Al otro día se da cuenta que les ocuparon
13 millones de pesos colombianos y
adicional pidieron un crédito por no sé
cuánto y lo sacaron por medio de cajeros y
mejor dicho, esa plata se diluyó.
Vale.
Después de hacer ese análisis forense.
que es como se llama esa parte post de lo
que sucedió.
Se dan cuenta que se pidió la portabilidad
de su línea.
En Colombia, como tú sabes, es muy fácil
pedir la portabilidad con mi mismo número
para pasarme a otro operador.
Y en algún momento, cuando ella, digamos,
dice que en algún momento tiene algún
formulario por el correo o algo, entrar a
ese banco en particular desde su
aplicación es solo tu correo...
y el código que usas para tu cajero para
retirar dinero.
Ni siquiera es una clave típica de 8
dígitos con caracteres especiales y
números.
Entonces, claro, en algún momento ella
tuvo que haber dado esa clave, y ahí
viene, digamos, el tercer tema que remato
todo.
Entonces ellos piden la portabilidad del
número, la dejan a ella fuera en la jugada
porque no le van a llegar mensajes de
texto, no podía saber absolutamente nada,
no tenía señal porque no tenía internet,
porque ya no tiene servicio.
Ellos entran a través de la aplicación
desde un nuevo celular, como ya tienen el
número y la portabilidad, todos los
mensajes de verificación llegan a ese
celular, típico código de receteo de
contraseña, meten el código y están a él.
¿No?
¿Qué es lo que pasa?
Que también, en algún momento, esta gente
tiene acceso a su contraseña de correo o
de email.
¿Vale?
Entonces, si te das cuenta, es un tema en
donde en 30 minutos hicieron todo lo que
tenían que hacer, se fueron y no han
decidido cuenta.
Cuando el banco, la mayoría de bancos, tú
haces una transacción por encima de cierto
monto, te manda un correo, te dice, mira,
movimiento se detectó, ponle atención, lo
que fuera.
Ellos ya estaban dentro de su correo y
cuando llegaban esos correos, borraban el
correo.
Entonces, por ningún lado había rastro
porque no le llegaban allá las
notificaciones.
Si llegaba atrás del correo por X y el
motivo, nunca se iba a dar cuenta porque
ellos ya estaban adentro, borraban y
borraban todo lo que llegaba de los
movimientos que estaban haciendo.
Y si te das cuenta,
son varias cosas que intervienen en la
ecuación.
El tema de phishing, en algún momento ella
llenó algún tipo de información.
Dos, entra en la ecuación alguien que está
en alguna entidad que pronto puede tener
un poquito más de información, entra en la
ecuación todo el tema de redes sociales y
cuando estás como en el momento más
distraído, fue donde ejecutaron el ataque.
No.
Perdió señal.
No sabe qué está pasando.
Pensaba solamente es de señal, pero su
número no existía más.
Exactamente.
en dice tu número no funciona o tienes que
llamar tu número de celular y ya han dado
cuenta que no tiene plata pero no hay
notificaciones de confusión solamente es
de después del espejo atrás encontrar que
han pasado Exactamente, tal cual como no
tenía señal y la aplicación no le servía
por obvias razones pues no podía acceder a
la aplicación tuvo que moverse con su
esposo, ya el esposo entra y efectivamente
pues
No hay dinero.
Lo importante es lo que te digo.
O sea, aprovecha en el momento que ya
estaba como en una euforía de su paseo de
amigas.
Y esto no pasa como en ese momento en
donde terminó el paseo.
No va a ser ya.
Al final, como que todo se calma y se
bueno.
A ver qué es lo que está pasando.
Sigo sin señal ya en Cartagena, ciudad
principal.
Sigo sin señal.
Se empieza a preocupar y ahí es donde se
detecta todo.
Pero ahí pasó más o menos un día y medio
donde ya habían ejecutado todo.
Entonces, cuáles son las lecciones?
Yo puedo imaginar 10, pero cuáles?
que tú crees que son las principales
lecciones, reacciones que la gente debe
tomar.
Mira, la primera y si o si la más
importante hoy en día es de verdad
cuidemos todo tipo de información nuestra.
No me refiero a temas de banco ni nada,
sino a veces la información que nosotros
creemos que es la menos sensible es la más
importante.
Temas de redes sociales.
Si vamos a publicar cosas en redes
sociales, verifiquemos que los que nos
siguen o que están en esa red social de
verdad sean personas que son allegadas y
muy cercanas.
y no cualquier persona, eso por un lado.
Si vamos a publicar cosas, tratemos que
sean cosas no tan específicas, ¿no?
Hoteles donde nos estamos quedando, zonas
específicas de la ciudad o los
restaurantes muy puntuales, porque así
como nosotros, digamos, trabajamos diez,
ocho horas al día muy dedicados en
nuestros trabajos, esta gente también
invierte demasiadas horas a seguirte a ti,
¿no?
Entonces es muy importante eso.
Y lo último y lo clásico, y sé que seguro
ya lo han escuchado mucho y tú también en
todos estos ejercicios que haces, es de
verdad, tomémonos el tiempo de entender
cada correo que nos llega, qué tan
confiable es.
Y ahí yo te hago una pregunta, básicamente
es que a través de un PDF te pueden meter
un virus en tu computadora o pueden
anclarte algo relacionado a un virus a
través de ese PDF.
¿Qué es lo que pasa?
La gente dice, este correo tiene un link y
no lo conozco, pues no, no lo abro y lo
elimino y ya está.
Porque asumimos que el link es el que
traigamos el virus o la forma de entrar a
mi dispositivo.
Pero hoy en día, y es un error que es muy
común que comenta la gente, ya no mandan
el link, mandan un PDF que se ve muy bien
y demás.
La gente dice, bueno, no veo nada raro en
el correo, voy a abrir este PDF a ver qué
onda, ¿no?
Y ya cuando abriste el PDF pues...
ya están adentro y no hay absolutamente
nada que hacer.
¿A qué me refiero con que ya están
adentro?
Te pueden meter algo que se llama un
keylogger, que básicamente es un software,
digamos así, como fantasma en tu
dispositivo, que va registrando todo lo
que tú tipeas y cómo lo tipeas.
Entonces en alguna de esas tipeas alguna
contraseña, la toman y pues ya perdiste el
juego.
Entonces es súper, súper importante eso y
entender también un poco...
vuelvo a la parte de farming porque hoy en
día está, no voy a decir de moda porque no
es algo positivo pero es algo que está muy
en la oje y es que, y los tengo acá, tengo
dos correos, uno me llegó esta mañana y
dice curso de ventas para poder lidiar con
clientes conflictivos y te ponen la hora y
todo y cuanto va a durar, ta ta ta después
a la media hora del mismo correo me llegó
otro que dice mira aquí las fotos del
paseo, no?
y un link
Y digo, pero cuál paseo?
Yo no he estado en un paseo ni con amigos,
ni con nadie, ¿sabes?
Y alguien de protingenuo o curioso le da
click y chao.
Porque pongo el caso del correo de ventas,
vuelvo al mismo tema de farming.
Segur el atacante sabe que yo estoy metido
en el mundo de ventas, pone cosas clave
como clientes difíciles, groseros, cómo
retener clientes, que es algo que tú como
jefe de un equipo comercial, pues quieres
siempre solucionar esos problemas y
retener clientes.
Entonces.
Date cuenta cómo van jugando contigo, pues
porque al final en mis redes sociales yo
tengo que ser vendedor de hace mucho
tiempo, ¿no?
Mira, y lastimosamente nosotros porque
estamos en este mundo y tú que ya sigues
investigando más, hay cosas que unicen,
no, esto es demasiado fraudulento la forma
en que redactan horrores de ortografía,
como que uno es muy detallista.
Pero créeme que a mi mamá le llega un
correo de estos donde, ah, mira las fotos
del paseo y click.
¡Triple clic!
Y se lo va a reenviar a una tía o a la
hermana, mire, me llegó esto, no sé, y la
tía clic, y la hermana clic, y ahí a todos
en caena cayendo, ¿no?
Justamente, es que, justo mi mente está
pensando, yo quiero saber qué pasó en este
paseo.
Mi mente está todavía masticando sobre
cómo el copy, es muy porroso.
Jumin, incluso que tú sabes que no es para
uno, tú quieres chismociar.
A ver qué están haciendo, ¿no?
Exactamente, tal cual.
Y ahí está.
Por eso se llama ingeniería social, porque
no es un tema solo de cómo hacer las
cosas, sino que ya usan el comportamiento
humano y saben que lo es muy curioso.
Yo creo que como también lección número 3B
para 4 sería, no sé, tan chismoso.
Al igual.
Y ahí la lección sería...
De verdad entienda que hay cosas que no
están en su contexto.
Ejemplo, a mí me llega todo el tiempo de
mi banco, acabamos de cambiar su número de
cuenta.
Yo nunca he pedido que me cambie el número
de cuenta.
Nunca hace rato no uso esa cuenta, lo que
fuera.
Si estás tan curioso, llama al ban.
Oye, mira, me llegó este correo, quiero
verificar que todo esté bien antes de
darle clic a cualquier cosa, confirmar
cualquier cosa porque ahí es donde viene
el error.
Y mira, tengo una historia que también es
muy curiosa.
Es prima de mi esposa.
Le llegó un correo, muy raro, te lo mandó
al esposo, la típica de amor, mira esto,
obviamente ya lo abrió, ¿no?
Porque decía, ellos tienen una empresa y
decía un tema, digamos, de impuestos de la
Dian y que estaban en problemas,
obviamente te ponen la urgencia, como no
con básica impuestos, lo que fuera, le dio
clic, ¿no?
Un archivo en blanco, no había nada.
Básicamente ya estaban ahí.
¿Con qué?
Pues entrante no se sabe.
Te lo manda al esposo, le dice, amor, por
favor, ¿puedes abrir esto?
este correo y ese link porque hice la diad
pero a mí no me abre, el esposo bailo
ahora.
Primer error, compartir algo que al final
tienes que matar ahí mismo, eliminar y
reportar.
Eso es súper importante, si ustedes
encuentran algo que no les llama la
atención, déjenlo ahí, si lo quieren
compartir manden una foto de su celular o
inviten a la persona a ver su celular pero
no reenvíen eso nunca.
¿Listo?
Esa es la elección de este caso principal.
Ya entraron a su correo, siguiente error,
y yo creo que todos lo hemos cometido en
algún momento, y yo creo que el 99% de la
población que tiene aplicaciones y demás,
tiene la misma contraseña para más de una
plataforma.
Entonces, eso fue lo otro, ¿no?
Entonces esta persona tenía la misma
contraseña para el correo, para, y correo
con suerte, porque no se le metieron a
ningún lado más, pero se metieron a una
plataforma de estos domicilios muy famosa
en Colombia, ¿no?
De repente...
le llegaban gastos muy chiquitos, que eso
es lo otro, que eso es como la evolución
de cómo hacen el ataque los hackers.
Entonces piden algo muy chiquito de
hablando de empresas colombianos de 2000,
de 3000.
Miran qué tan atento estás tú, cómo
reaccionas, si no cancelaste ninguna
tarjeta, si no levantaste ningún chat,
porque, ojo, vuelvo y repito, ellos ya
están dentro de la aplicación y dentro de
tu correo.
Dicho esto, la empezaron a testear,
pidieron una caja de cigarrillos, ella ni
se dio cuenta.
Otra cosa, otra cosa.
y de un momento a otro, dos millones de
pesos en botellas de whisky.
Claro, a ella le llegó la notificación al
celular, dijo no, pero como así, y lo
mismo.
No lo toma con esa urgencia, y empezaron a
investigar un poquito, ahí pasó media
hora.
En esa media hora, a ella les había metido
otro millón en botellas de whisky.
¿Cuál fue el punto?
Que ella, claro, entraba al correo, ¿vale?
Y en el correo lo mismo, no había nada
porque borraban todo.
Ese, digamos que es súper importante
tenerlo en cuenta.
Ella dice, bueno, un momento, esto no es
mío, bloquea la tarjeta.
Lo que era la tarjeta.
Perfecto.
¿Qué pasó?
Otro millón en botellas de whisky.
Se dio cuenta que ya tenía seis tarjetas
registradas.
La de ella, la del esposo, la de la mamá,
la de...
Pepito Pérez, lo que fuera.
Entonces claro, iba cancelando una, van
por la otra, van por la otra, van por la
otra.
Imagínate cuánto tiempo necesitas tú para
cancelar seis tarjetas.
Y por ahí que fueran con seis bancos
diferentes que no creo, pero ponle que son
dos bancos diferentes, pues todo el
proceso.
¿Cuánto tienes que cal...?
tiempo invertir para cancelar una traje.
Entonces le hicieron fiestas, van a
investigar, pedían el domicilio a un lote
de parqueo de un centro comercial abierto.
Al final el que está llevando el domicilio
no se le hace nada extraño, entrega sus
botellas de whisky, se va y pues no hay
dirección física, no hay nada y hasta ahí
llegó la historia.
Entonces la última pregunta aquí, con
todos los clientes con quien platicas
pendientes
¿Has visto patrones, dolores, cosas que
han dicho que necesitan en común?
Sí, el primer, digamos, el dolor que
nosotros vemos, el primer patrón más común
es sobre todo en las entidades bancarias.
Eso yo creo que para los hackers es como
la polla, la corona.
Ya llegan a un nivel de, digamos, hablando
de phishing, de sofisticación en los
correos, que es muy difícil para una
persona, digamos así, un poco más del
común, identificar que es
Efficient, ¿no?
Muchas veces, voy a poner el ejemplo Banco
Pepito Pérez, ¿no?
Tiene su dominio, BancoPepitoPérez.com y
te llega un correo de Banco Pepito Pérez
con Z en vez de S o viceversa, ¿no?
Tú no te fijas en eso.
Tiene la imagen, tiene todo perfecto.
Muchas veces uno no mira el correo
remitente y le va a dando clic a lo que le
van diciendo.
A un vez es mejor, mejor copy que el Banco
Actual.
Tal cual.
Sí, sí, sí.
De hecho, la verdad es que sí lo hacen muy
bien.
Así que bueno, yo creo que ese es el
principal dolor.
El tema del phishing es algo muy común.
Te cuento un ejemplo de un cliente nuestro
de la Vía Real.
Es un banco muy, muy importante en
Latinoamérica.
Al mes encuentran dominios en los que, es
algo que se llama take down, es decir, que
ellos tienen que reportar que no es de
ellos.
Encuentran en promedio entre 170 y 200.
dominios al mes.
Imagínate cuántos ataques hay con esos 200
correos, porque esto tampoco es una
persona que está redactando.
Hoy en día existen herramientas que te
permiten mandar mil correos en un minuto
de manera masiva.
Y el que cayó, pues cayó.
Entonces, imagínate la magnitud.
Todos los meses tienen que reportar
170-200 dominios que no son de ellos.
Y dentro de nuestra plataforma hay módulos
que literalmente van escaneando la
superficie
y empiezan a detectar estos dominios, se
lo reportamos a la empresa y ya la empresa
la encarga de decir, vale, esto yo lo
mando a reportar para que lo baje, ni
demás.
Digamos que es como esa parte en donde yo
proactivamente estoy diciendo, mira, todo
esto existe, te lo reporto, tienes que
hacer algo con esto, ¿no?
Listo, listo Ricardo Brutal, mí, mí,
gracias por ese tiempo, disfruté, pasó muy
rápido al tiempo, ¿no?
Jue madre.
Ya sé.
Después fue rapidísimo, pero bueno, yo la
verdad encantado de poder estar aquí en
este espacio.
Algo que me apasiona mucho de lo que hago
hoy en día es que tiene un valor muy lindo
y es de verdad ayudar a la gente en todo
este mundo que realmente es muy
complicado, pero si uno se encuentra la
forma de explicarlo y demás es más
sencillo de lo que parece, ¿no?
Entonces, qué bueno, ojalá este mensaje
llegue a mucha gente y que todos tomemos
conciencia, porque hoy en día...
Esto cada vez va más exponencial y va más
rápido.
Si te gozaste este podcast y te gustaría
escuchar más, ojalá que sí, por favor
déjeme saber qué invitados, qué temas y
qué preguntas te gustaría que matemos.
Déjeme un mensaje aquí, ¿sí?
en Spotify o en cualquiera de mis redes
sociales usando arroba Robi J Fry.
Y también, si quieres la versión extendida
de este podcast,
Debes ser un miembro de Quinto y puedes
encontrar todo en quinto.ai Muchas gracias
por escuchar y siempre puedes ganar más
plata pero no más tiempo Chau chau chauuu