Cómo un ejercicio de ciberseguridad terminó convertido en un escándalo
Cómo un ejercicio de ciberseguridad terminó convertido en un escándalo La idea era buena, pero la ejecución molestó muchísimo a una empresa Cómo un ejercicio de ciberseguridad terminó convertido en un escándalo CAMILA FIGUEROA a autopista Américo vesouci Oriente actuó lo más rápido que pudo. El 22 de mayo fue alertada por decenas de clientes que estaban recibiendo un correo electrónico cobrando una supuesta deuda que debía ser pagada a la brevedad.
El mensaje agregaba un link para hacer el pago, algo típico del phishing, esa estafa en la que se usa un link que en la que se usa un link que En una querella presentada por la autopista Américo Vespucio Oriente (AVO) se acusa un "mecanismo informático defraudatorio". en realidad es un anzuelo para robar datos o capturar computadores. La página a la que llevaba ese link era igual a la original, solo que se llamaba aavo. cl, con una a demás. El mail venía de la casilla no-esponder(Waavo. cl. No era fácil advertir la diferencia. A primera hora del día siguiente, y después de insiguiente, y después de insiguiente, y después de inCAPTURA DE PANTALLA Reducción de pista izquierda en Túnel AVO1 dirección al Sur. MÁS INFORMACIÓN Por trabajos en Túmel AVO1 Reducción de pista izquierda entre las salidas Costanera sur y Vitacura al sur. Desde el 24 de abril y por los prórmmmeos 65 díar.
Ml avo1 Ml avo1 Este era el sitio web que simulaba ser el de la Autopista Vespucio Oriente. exige que se hagan estas pruebas, sobre todo en empresas de importancia vital". ¿Y cuál es el objetivo? objetivo? objetivo? vestigar durante horas el origen de la página falsa, la autopista decidió enviar un correo electrónico a sus 928.800 clientes registrados aclarando que ellos no habían mandado nada.
Una vez hecho el control de daños y habiendo pasado un susto grande, AVO realizÓ una investigación, en la que identificó a los responsables y decidió presentar una querella por los delitos de falsificación documental informática, falsificación de instrumento privado falso y falsificación de marca registrada. Qué pasó.
Los encargaron llegaron a la conclusión de que, sin que les avisaran, una empresa de ciberseguridad había usado su nombre y un clon de su página web para hacer un ejercicio para los empleados de una tercera empresa. "Resulta que la utilización de la página web falsa y el envío de los correos electrónicos desde una casilla también falsa a nuestro nombre, habría sido un supuesto ejercicio de seguridad dirigido a trabaJadores aleatoriamente seleccionados de la empresa RedSalud, que es totalmente ajena a nuestro giro", describe en la querella la abogada Macarena Acuña, que representa a la Autopista Vespucio Oriente.
El reclamo. "Jamás se requirió el consentimiento de mi representada (Autopista Vespucio Oriente) para utilizar, a través de un mecanismo informático defraudatorio, su nombre, imagen y prestigio", agrega la querella, admitida a trámite por el 4" Juzgado de Garantía de Santiago, que agrega que la empresa que hizo el ejercicio de seguridad a los trabajadores de RedSalud fue Measured Security Spa y que GNU Sistemas Spa fue la que registró el sitio web en NIC Chile. Asunto necesario Cada año Gabriel Bergel organiza uno de los seminarios de ciberseguridad más relevantes de Latinoamérica, al que asisten especialistas de todos los continentes: la 8.8 Computer Security Conference. De hecho, es presidente de la Fundación de Ciberseguridad 8.8. ¿Son comunes estos ejercicios de ciberseguridad?2 "Es muy normal en Chile y en el mundo. Generalmente se hacen con páginas internas o propias de la compañía, pero también se hacen con webs públicas. Es algo que hace la mayoría de las empresas en el mundo y es parte de un entrenamiento de ciberseguridad". ¿Entrenamiento? "Sí, es un ejercicio que todas las empresas deberían hacer y no lo hacen. Eso es lo más preocupante en Chile. La ley marco de ciberseguridad "Simular lo mismo que haría un cibercriminal para ver si uno está preparado para enfrentar una situación de ataque. La única manera de saberlo es de la manera más fidedigna posible. Si hubieran usado un nombre muy distinto al de la autopista, por ejemplo, el usuario se habría dado cuenta del engaño". La autopista nunca se enteró de la prueba. "Es que así son estas pruebas. Si le hubiesen avisado probablemente no habría autorizado. Insisto, esto se hace en todo el mundo. Lo hacen con Apple cientos de veces y Apple no se querella porque entiende que son pruebas. A mi me ha tocado hacerlo en Chile con grandes compañías". compañías". compañías"..