Frank Abagnale, autor del libro “Atrápame si puedes” (cuya posteriormente adaptación al cine fue realizada por Steven Spielberg) ayudó al gobierno federal de Estados Unidos con investigaciones de fraude después de haber sido arrestado y encarcelado a los 21 años por la falsificar cheques por más de 2 millones de dólares. Abagnale ha trabajado más de 40 años con el FBI y  es considerado una de las principales autoridades en fraude, falsificación y autenticación segura.

En los últimos años ha estado involucrado con varias empresas de tecnología para la seguridad, entre ellas, Trusona, poniendo en marcha tecnología de autenticación para transacciones financieras. El TruToken de Trusona es un dispositivo que se conecta a los teléfonos inteligentes y puede proporcionar varias capas de autenticación para garantizar la identidad de la persona que efectúa la transacción.

En una entrevista para SearchCloudSecurity se le preguntó acerca de su participación en dicho proyecto, indicando que cuando se concluía cada etapa de desarrollo era el encargado de arruinarlo, por decirlo de alguna manera, haciendo que el equipo regresara para  encontrar la solución hasta llegar al punto en que fuera a prueba de tontos.

Sin embargo, Abagnale destaca que para cualquier proyecto de autenticación siempre habrá dos excepciones:

“Primera, no existe ninguna tecnología en el mundo, ni la habrá, que supere a la ingeniería social. Por ejemplo, si llamo y finjo que soy del Bank of America pidiéndole sus datos de acceso para  Trusona y usted los proporciona, entonces de nada servirá. Y la segunda, si tuviera una pistola apuntándole a la cabeza y le dijera hágalo, usted sólo va a hacerlo. Para este último caso, tenemos la manera para que usted pueda informar a Trusona al elegir una determinada tarjeta que está bajo coacción.”

– ¿Cómo se responde a un ataque de ingeniería social? ¿Debe la gente ser siempre escéptica?

No se trata de ser escéptico, solo ser lo suficientemente inteligente para reconocer las señales y hacer lo correcto. Hace un par de días leía un artículo acerca de un desafortunado caso en Australia, donde una mujer fue a nadar por la noche en una laguna que tenía señales que decían “no nadar, cocodrilos por todas partes”. Y un cocodrilo la atacó…

– ¿Cree que las técnicas de ingeniería social actualmente son más avanzadas que 30 o 40 años atrás?

Algunas personas solían decir que soy el padre de la ingeniería social porque cuando tenía 16 años, descubrí todo lo que necesitaba saber (a quién llamar y qué preguntar) y únicamente contaba con el uso del teléfono. Hoy la gente además del teléfono utiliza el sistema de correo, Internet, correo electrónico, la Nube, etc. Todas estas cosas, pero siguen haciendo ingeniería social, es la mayor amenaza y eso nunca va a desaparecer.

– ¿Por qué los servicios financieros no abordaron estas cuestiones antes de que se volvieran un problema como los ataques SWIFT?

He estado en el FBI durante 40 años, he trabajado con bancos de todo el mundo y principalmente trato los delitos contra el gobierno federal. Si nos fijamos en Medicare y Medicaid, el año pasado pagaron más de 100 mil millones de dólares en reclamaciones fraudulentas. El IRS pagó 5.6 miles de millones en créditos universitarios fraudulentos. El gobierno se ha convertido en un objetivo, ya que no tienen la tecnología de los bancos; tampoco tienen un consejo de administración, ni accionistas, y no están en el negocio de obtener un beneficio. Así que son un blanco fácil y con dinero. Por otro lado, los bancos intentan evitarlo pero parece que cada brecha que se produce es porque alguien en la compañía hizo algo que no debía hacer. Esas cosas no deben ocurrir, es un error humano y se ha vuelto el eslabón más débil.

Abagnale tiene razón, somos el eslabón más débil y debido a que no existen sistemas que no dependan del ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica. De nada servirá la inversión en tecnología para la seguridad de su empresa si es tan vulnerable a la manipulación. A menudo se escucha entre los expertos de seguridad que la única computadora segura es la que está desenchufada, a lo que los amantes de la ingeniería social suelen responder que siempre habrá oportunidad de convencer a alguien de enchufarla… En este contexto, es necesario capacitar a los usuarios para que tomen conciencia de los posibles problemas de seguridad en las empresas.