Hello, hello, hello y bienvenidos a
Matamos Preguntas.
Un invitado o invitada increíble.
Una pregunta y una conversación llevada
hasta el final para responder la pregunta.
Sin decir más, aquí tienes tu host, el
gringo loco, Robbie Gay Fry.
Hola, hola, hola, ¿cómo estás?
Bienvenidos a Matamos Preguntas.
Mi invitado es un superamigo Alejandro
Aguirre Soto, Cyber Security Leader at
SafeOps.
Y la pregunta que matamos es, ¿cómo te
defiendes contra la ingeniería social en
una empresa?
Pero antes de arrancar, ayúdame a
multiplicar el impacto de Matamos
Preguntas regalando una reseña en Spotify
o en tu player favorito.
Y cuenta al mundo que AMAS MATAMOS
PREGUNTA.
Y lo más importante, quiero celebrar las
empresas que hacen posible este podcast.
¿Cuántos servicios geniales existen en
startups gloriosas que tienen páginas web
o rendas y presentaciones terribles?
Miles y miles y miles y miles.
Eso es porque hay una gran brecha para
acceder capacidades de diseño.
Antes, las únicas opciones eran pagar
mucho dinero a una agencia o rezar a Dios
para encontrar un freelancer que no sea
malo.
Y lo peor de todo, ninguno de los dos
entiende en los startups.
Pero gracias a Mavity existe una
plataforma con todas las respuestas
creativas que puedes necesitar.
Ya sea un logo, una página web, marketing
de producto o un equipo creativo de tiempo
completo.
O incluso si vas tras tu inversión.
Mavity se asegurará.
de que cada aspecto de diseño de tus
proyectos brille.
Descubre Mavity, la plataforma que conecta
empresas con talentosos profesionales
creditivos.
El mejor precio, la mejor calidad, súper
flexibles y absurdamente rápidos.
Exactamente lo que requiere cualquier
startup.
Visita Mavity.co haciendo clic en el link
de este podcast para liberar el potencia
de tus productos o servicios.
Y con ese dicho, matemos preguntas.
Listo.
Alejo, siempre por acá más plata, no más
tiempo.
Muchas gracias por su tiempo.
Bienvenido a Matamos Preguntas.
Gracias, Roby.
Placer estar acá.
Alejo, hermano, con tu experiencia, quiero
preguntarte cómo te defiendes contra la
ingeniería social, específicamente en una
empresa.
Pero antes de eso, darnos un breve tweet
verbal sobre lo que haces, por favor.
Vale, pues mi nombre es Alejandro Aguirre
Soto, soy líder en ciberseguridad, tengo
más de seis años de experiencia en el
campo de la ciberseguridad ofensiva,
hackeo infraestructura tecnológica, hackeo
compañías y reporto los huecos o las
vulnerabilidades a las compañías para que
los chicos malos, los ciberdelincuentes,
no se aprovechen de ellas.
Actualmente tengo una empresa de
ciberseguridad que presto estos servicios
también.
Y en este momento trabajo por una empresa
norteamericana, SafeOps, como líder de
ciberseguridad.
Soy el encargado del equipo de seguridad
de SafeOps.
SafeOps es una compañía que centraliza
toda la superficie de ataque en un solo
lugar.
Entonces, hackeamos todos los activos
tecnológicos de tu compañía.
Llámese Nouve, llámese Aplicación Mobile,
llámese Aplicación Web, llámese
Infraestructura como Código, Código,
Fuente, etcétera.
Todos los centralizamos en SafeOps y se
los mostramos.
centralizado al cliente.
Alejo, tú me dijiste algo sobre una
empresa que en términos de tecnología
impenetrable pero ingresaron por como que
yo nunca he escuchado por Slack, no?
Sí, mira, me topé alguna vez con una
empresa que era muy difícil de hackear a
nivel tecnológico.
Tenía las defensas muy bien, muy robustas,
muy buenas, era muy difícil tratar de
conseguir alguna vulnerabilidad.
estaban súper bien a nivel de defensas.
Pero esa empresa más adelante llegó a
nosotros con una historia que fue triste
porque ellos nos contaron de que alguien
se les metió a la empresa, se les metió al
Slack y desde el Slack suplantó a un
empleado de la empresa que estaba en
vacaciones y empezó a requerir
información.
Y la empresa piensa que era la persona
auténtica la que estaba requiriendo eso y
empezó a robarse.
toda la información de la empresa.
Entonces empezó a requerir información
como hey amigo, colega, pásame esta
información, dame acceso a esto.
El colega pensó que era él y él empezó a
escalar, a escalar, a escalar, hasta
llegar hasta lo más importante de una
empresa que son los datos, la información.
Se robó la información y luego extorsionó
a la empresa diciéndoles tengo estos
datos, tengo esa información de clientes,
ustedes saben que son una entidad
regulada.
esto sale a la luz, nos van a multar,
despáguenme a mí para que esto no salga a
la luz.
Lo que hacen normalmente las grandes
compañías es aceptar un data breach, que
es un data breach, es un robo masivo de
información de su compañía, lo publican,
dicen sí señores tenemos un data breach,
nos robaron 2.5 millones de tarjetas de
crédito, ¿qué ha pasado?
Y notifican a todos los clientes afectados
y hacen un proceso de recuperación.
En otros casos, pagan y en algunos casos
les devuelven lo que secuestraron o no los
vuelven a extorsionar y en otros casos no.
Se hace una ponderación de los riesgos, se
hace un análisis de riesgos y se pondera
qué es mejor a nivel reputacional y de
costos para la empresa y ya se decide qué
hacer.
Entonces una empresa como Fort Knox desde
la parte de la tecnología con una persona
destruyó todo.
Sí, lo curioso es que mira que la empresa
es impenetrable a nivel tecnológico, está
muy bien y le metieron mucho dinero a la
infraestructura tecnológica para que nadie
lo pudiera hackear.
Pero alguien llegó al Slack y a través del
Slack, rompió toda, a través justamente
hackear la cultura, seguir seguridad que
no la hay en la empresa.
le sacaron toda la información.
Pero la mayoría de los ataques como en
ciberseguridad contraempresas pasan
primero por la cultura antes que por las
tecnologías que siempre intentan hackear a
las personas.
Hay de todos los casos, de todos los
tipos, de todos los colores.
Por ejemplo, no sé si escuchaste en algún
momento el hackeo al Banco de Chile.
No.
Que se robaron como 10 millones de
dólares.
Ese hackeo haciendo la investigación
inició con algo de ingeniería social y
terminó con algo tecnológico.
¿Cómo fue?
Sedujeron a un empleado de tecnología con
un puesto, digamos así, muy apetecible
para un empleado que trabaja en
tecnología.
Crearon un rol en una compañía, estaban
buscando personal, entre comillas, lo
contactaron a él.
le dijeron que empezara un proceso de
selección, el rol era muy bueno, pagaban
muy bien, ajustaron el rol a la persona,
no la persona al rol, sino el rol a la
persona, y en su proceso de selección le
dijeron, tienes que instalar este software
en tu computador para continuar el proceso
de selección, y el software era malware,
osea tenía virus, y él lo instaló en su
computador del banco, en su computador de
la compañía, lo instaló.
Luego se conectó la red interna del banco,
el malware se esparció lateralmente por la
red interna y ahí empezó ya el juego
tecnológico.
Ya dentro los hackers empezaron a moverse
lateralmente, que es como se conoce, que
hacen los hackers moverse de computador en
computador, de servidor en servidor y
manipular las cosas para sacar el dinero.
Pero todo empezó con ingeniería social.
Hijo de pucha.
Pero qué haces?
¿Intentas cambiar a las personas o la
cultura?
Es ese reto como...
testeamos la cultura de ciberseguridad de
una compañía, de los empleados.
Y lo que hemos llegado a inventar, que me
parece muy ganadores, es el ethical
phishing.
Y lo que hacemos es correr pruebas de
phishing ético para probar cómo está la
cultura de ciberseguridad entre una
compañía.
Entonces, lo hacemos hasta muy parecido a
lo que haría un verdadero phishing.
Entonces, emulamos o simulamos.
Fishing masivo lo enviamos a toda la
compañía, hacemos hasta errores de
ortografía, ponemos fotos feas y decimos
te ganaste un iPhone o eres participada en
este juego o felicitaciones hemos mejorado
el sistema de bonos de pagos de la
compañía, si quieres ser parte del ingreso
hazte link y así testiamos las ideas
seguras de los empleados
empezamos a ver mapas de calor de que
áreas son más propensas a caer en un
verdadero phishing.
Y lo más curioso es que año tras año y
periodo tras periodo siguen cayendo las
mismas personas y no mejoran el índice, te
lo juro por ahí.
Entre el 15 al 25% de los empleados siguen
cayendo, se hace un esfuerzo en educación,
pero digamos que sigue pasando.
Y a mí me sigue pareciendo año tras año,
eso es increíble porque lo que buscamos
con ese ejercicio es mejorar los índices
de...
Pero tú dijiste que la gente no cambia,
entonces tienes que cambiar la persona,
hay una forma de...
Sí mejora, pero muy poco, o sea del 25%
pasamos al otro periodo al 20%, al 15% y
se quedan al 15%, sino que es muy fácil,
Rob.
porque las personas son muy emocionales.
Entonces si a ti se llega un correo
diciendo que te debes en impuestos de la
Dian y que debes solucionar eso ya, la
persona se preocupa y lo hace.
Estamos regalando un día de vacaciones, ya
no es que te están dando algo, sino que te
están quitando trabajo.
Haz parte del nuevo programa de
compensación, o sea, la creatividad puede
ser gigante para engañar a las personas.
Eso es un reto, pero si vemos que mejoran
los índices de cultura de ciberseguridad.
Pero cuéntenme eso, en esta empresa con
Slack, ¿qué recomendación regalaría a
ellos?
Mira, contraseñas seguras.
Esto no te lo va a decir ChatGPT, esto no
te lo va a hacer muy difícil que te lo
diga Google, y es, no uses la misma
contraseña para todos los sitios, para
todos tus cuentas, para todos tus activos.
Porque lo que puede pasar es que hackeen
una contraseña y con esa contraseña única
entren.
a los demás servicios que tienes.
Entonces, utiliza una contraseña única
para Gmail, para tu correo, una contraseña
única para tus redes sociales, para
Instagram, otra para Twitter, otra para XX
o YZ, lo que sea.
Y muy seguramente vas a tener que
suscribirte a servicios que tú no conoces,
que no son tan populares, que son
aplicaciones web que apenas vas a
suscribirte.
Entonces, no utilices la contraseña que
usas.
en tu correo, por ejemplo, o en tus
cuentas más importantes.
Así es como se han hackeado a las
personas.
Es que hackean un sitio web muy débil,
cogen los correos y las contraseñas de las
personas suscritas hacen sitio web que es
débil.
Y con esa misma contraseña ingresan a sus
redes sociales, les cambian las
contraseñas, ingresan a sus páginas de
Facebook, ingresan a sus correos y luego
extorsionan a las personas para
devolverles sus activos.
Esa es la primer consejo.
Entonces...
Entonces, a esta empresa le haría, como es
algo de cultura, sería que es un reto y es
una gran pregunta, es cómo educar a las
personas para que en su ADN está sin
inseguridad.
Entonces, haría muy consciente el tema de
las contraseñas, primero.
El segundo tema es lo que tú nombraste, el
segundo factor de autenticación, usarlo
siempre.
o el mensaje de texto que te va a llegar a
tu celular, obligado.
Y la tercera, que no está de más decirlo,
para contraseñas también es usar
contraseñas tipo frase en vez de tipo
palabra.
Es decir, en vez de poner matamos
preguntas 1, 2, 3 asterisco como
contraseña, puedes poner somos los que
matamos las preguntas, pero con espacio.
Somos espacio los...
los que espacio...
que espacio matamos espacio...
las espac...
espacio...
preguntas, un, dos, tres asteriscos, eso
es mucho más seguro que cualquier otra
cosa, una frase, contraseñas tipo frase,
entonces a esa compañía otra vez hacerles
ver eso y tercero hacerles el ejercicio de
fishing y mirar quién es más propenso o un
ejercicio de slack, a ver quién es más
propenso a brindar información
abiertamente en el slack.
y hacer un ejercicio también de educación.
Wow, wow, wow, wow.
Entonces, supongo que esta es una pregunta
que no podemos matar, no?
Entonces, mientras sigamos siendo
emocionalmente muy débil, una tecnología o
tener como protección en con tu tecnología
todavía no es suficiente.
Es algo que se viene trabajando desde hace
muchos años y ahí estarás muy buenas.
que nacer en Siricumbali para responder a
esa pregunta.
¿Cómo hacemos para insertar el ADN de la
cultura de seguridad en las personas?
Es un reto gigante.
O sea, es como...
O sea, no lo vamos a solucionar acá,
todavía no está solucionado.
Lo hemos venido integrando con el paso de
la tecnología, pero aún así siguen
habiendo este tipo de ataques.
Esa empresa, que es algo...
Digámoslo así, no hay mal que por bien no
venga, ya tiene un marcado con fuego.
¿Qué fue lo que le pasó?
Y a todos les dolió lo que le pasó, que es
una starup, no tiene tantas personas, no
tiene tantos empleados.
Entonces ellos ya saben, o sea, ya es muy
difícil que un segundo atacante llegue y
haga lo mismo, ¿sí me entiendes?
Porque ya tienen un historial.
Pero ¿cómo fue con dolor?
¿Qué aprendieron?
Mucho dolor.
Sí.
Si te gozaste este podcast y te gustaría
escuchar más, ojalá que sí, por favor
déjeme saber qué invitados, qué temas y
qué preguntas te gustaría que matemos.
Déjeme un mensaje aquí, ¿sí?
en Spotify o en cualquiera de mis redes
sociales usando arroba RobiJFry.
Y también, si quieres la versión extendida
de este podcast,
Debes ser un miembro de Quinto y puedes
encontrar todo en Quinto.ai Muchas gracias
por escuchar y siempre puedes ganar más
plata pero no más tiempo Chau chau chauu