CLEARWATER, Fla. (Comunicado de prensa - 10 de octubre de 2011) - El experto en seguridad de TI Stu Sjouwerman, fundador y director ejecutivo de la firma de Capacitación para la Concientización sobre la Seguridad en Internet (ISAT) KnowBe4, advierte que es probable que las pequeñas y medianas empresas (PYME) se vean atrapadas por las pérdidas cibernéticas relacionadas con el phishing cuando las instituciones financieras niegan la responsabilidad Por las incursiones. Sjouwerman (pronunciado "shower-man") citó un artículo reciente de Bloomberg que informaba que los ciberdelincuentes saqueaban hasta mil millones de dólares por año de cuentas bancarias pequeñas y medianas, mientras que los bancos culpan a las víctimas por permitir el acceso no autorizado.
$config[code] not found“Muchos ciberdelincuentes operan desde países extranjeros y transfieren fondos robados al extranjero. Esto dificulta que las autoridades encuentren y procesen a los ladrones, por lo que hay pocas posibilidades de recuperar el dinero ", explicó Sjouwerman. “Y debido a que la FDIC no ofrece la misma protección para las cuentas comerciales que para las cuentas personales, eso deja a una de las dos partes para cubrir las pérdidas: el banco o el propietario de la empresa. Así que no es de extrañar que los bancos culpan a las pymes por permitir que los ciberdelincuentes se infiltren en sus redes en primer lugar ".
Sjouwerman observó que los delincuentes cibernéticos a menudo utilizan correos electrónicos de suplantación de identidad (phishing) y otras tácticas similares para engañar a los empleados para que hagan clic en un enlace, que luego descarga automáticamente el malware al sistema del usuario. “Al utilizar los registradores de pulsaciones de teclas y otras herramientas, los ciberthieves pueden robar información de cuenta y contraseñas mientras el usuario no está al tanto de la falla de la red. Luego, los piratas informáticos inician una serie de transferencias mediante las credenciales del propietario del negocio. En muchos casos, cuando el banco o la empresa notan una actividad inusual, el dinero ya no existe y no se puede rastrear. Como resultado, el banco acusa al SME de permitir que los cibercriminales roben las credenciales bancarias en línea de la empresa, mientras que el SME acusa al banco de no tener suficientes medidas de detección de fraude y antirrobo ".
Casos recientes en los tribunales han demostrado que el veredicto puede ir en cualquier dirección. Como se detalla en las presentaciones judiciales, un ataque de phishing permitió a los ciberdelincuentes acceder a las cuentas comerciales de Experi-Metal, Inc., en Comerica Bank, que culminaron en 97 órdenes de transferencia bancaria que totalizaron más de $ 1.9 millones, más un sobregiro de $ 5 millones. Comerica pudo recuperar todos menos $ 561,399 de los fondos robados, que Experi-Metal inició en una demanda contra el banco (Experi-Metal, Inc., v. Comerica Bank). En su opinión, el juez encontró a Comerica culpable por no haber detectado o detener la actividad fraudulenta antes, y por permitir un sobregiro de $ 5 millones en lo que generalmente es una cuenta de saldo cero.
Sin embargo, en otro caso similar, el tribunal falló a favor del banco. Según documentos judiciales, Patco Construction fue víctima de un ciberheista de $ 588,851, que parecía ser el resultado de un troyano Zeus / Zbot que permitía a los cibercriminales robar las credenciales bancarias en línea de la empresa. La institución financiera de Patco, Ocean Bank, pudo bloquear algunas de las transferencias, pero no se recuperaron más de $ 345,000, lo que llevó a Patco a demandar al banco por la pérdida (Patco Construction Company, Inc., v. People's United Bank d / b / a / Ocean Bank). Después de sopesar los argumentos presentados por cada lado, el juez confirmó la decisión recomendada por el magistrado, que era otorgar la moción del banco para un juicio sumario y negar la moción cruzada de Patco.
"Dado que las empresas no pueden confiar en la protección de la FDIC o en los precedentes de los casos para garantizar el reembolso de los fondos robados, la responsabilidad recae en las PYME para evitar que los ciberdelincuentes accedan a sus sistemas y roben sus credenciales bancarias", dijo Sjouwerman. "Muchos propietarios de negocios creen con complacencia que su software antivirus y su equipo de TI son una protección suficiente contra los piratas informáticos, pero el hecho es que los ciberdelincuentes pueden pasar por alto todas esas medidas al atraer a un solo empleado a hacer clic en un enlace en un correo electrónico de phishing".
Sjouwerman afirma que la mejor manera de contrarrestar este vínculo débil es a través de la capacitación en seguridad en Internet. “KnowBe4 realizó un estudio de caso entre varios de nuestros clientes, y comparó el porcentaje de empleados que eran propensos a Phish, o susceptibles a intentos de phishing, antes y después de implementar nuestra Capacitación de Concientización sobre la seguridad en Internet. Encontramos que entre el 26% y el 45% de los empleados eran propensos a Phish antes de la capacitación; sin embargo, el total general se redujo inmediatamente en un 75% después de la primera sesión de entrenamiento. Después de cuatro semanas de pruebas adicionales y reentrenamiento, el porcentaje propenso a Phish estuvo en o cerca de cero en todas las compañías. Cuando sus empleados saben a qué atenerse, es menos probable que caigan en las tácticas de phishing. "Esto puede ayudar a mantener a los delincuentes cibernéticos fuera de su red y cuentas bancarias, y ayudarlo a mantenerse fuera de los tribunales".
KnowBe4 invita a las PYMES a aprovechar una prueba gratuita de seguridad de phishing, que revelará cuántos empleados son propensos a Phish en la actualidad. La compañía también ofrece una variedad de recursos educativos gratuitos sobre delitos informáticos en su sitio web. Aquellos que busquen consejos adicionales para combatir los ataques cibernéticos encontrarán una gran cantidad de información en el libro de Sjouwerman, Cyberheist: La amenaza financiera más grande que enfrentan las empresas estadounidenses desde el colapso de 2008.
Para obtener detalles adicionales sobre los servicios de capacitación de seguridad en Internet de KnowBe4, visite http://www.knowbe4.com. Para obtener una descripción general de Cyberheist, o para solicitar la edición en rústica o de libro electrónico, visite
Acerca de Stu Sjouwerman y KnowBe4
Stu Sjouwerman es el fundador y CEO de KnowBe4, LLC, que brinda capacitación en Internet sobre concientización sobre la seguridad (ISAT) para pequeñas y medianas empresas. Sjouwerman, un experto en seguridad de datos con más de 30 años en la industria de TI, fue el cofundador de Sunbelt Software, una empresa de software antimalware galardonada que él y su socio vendieron a GFI Software en 2010. Reconociendo que el elemento humano Se descuidó seriamente la seguridad, Sjouwerman decidió ayudar a los empresarios a abordar las tácticas de ciberdelincuencia a través de una capacitación avanzada en concientización sobre la seguridad de Internet. Es autor de cuatro libros, incluido Cyberheist: La amenaza financiera más grande que enfrentan las empresas estadounidenses desde la fusión de 2008.
