Podcast

T2E10: Peter Taylor – El hombre del fraude

Apodado por muchos como El hombre del fraude, Peter Taylor es un consultor de fraude con gran experiencia que ha apoyado a varias empresas en sus estrategias de fraude para detectar y prevenir los ciberdelitos.

En el último episodio del Podcast El gato y el ratón, comparte con Jimmy una serie de interesantes ideas, entre ellas:

  • Por qué el fraude siempre tendrá que ver con las personas, no con la tecnología
  • Qué significan las teorías del «Zombie» y del «Triángulo del Cibercrimen”
  • La importancia de las políticas y de la estructura para cuando el fraude o el ransomware se produzcan
  • Cómo ha cambiado el fraude en la última década

De tu proyecto de investigación sobre la ciberdelincuencia en 2017, ¿qué es lo que más has aprendido sobre los estafadores tras entrevistarlos?

Que hay una gran variedad de personas. Entrevisté a los grandes que operaban a nivel mundial y también a gente local.

El objetivo era comprender los patrones de cómo alguien se convierte en ciberdelincuente. Tienes a gente como Brett Johnson, que era un pez gordo, y luego tienes lo contrario, el tipo de persona que la mayoría de la gente describiría como un poco nerd, que no era muy popular en la escuela, etc.

Suele empezar haciendo carnés de conducir falsos y carnés de identidad falsos para sus amigos, para que puedan entrar en las fiestas o comprar alcohol; luego, al cabo de tres años, se encuentra haciendo pasaportes falsos para los traficantes de drogas locales, y así sucesivamente.

Fue muy interesante ver cómo la gente se dedica realmente a la ciberdelincuencia y una cosa que le digo a la gente que se centre en ello es que piense más como un detective; que considere todos los aspectos, desde el delito hasta la víctima, pasando por el delincuente y la forma de atraparlos a todos sin mostrar ninguna tarjeta.

A menudo, la forma en que los estafadores creen que han sido atrapados y la forma en que realmente han sido atrapados, muy a menudo, son cosas muy diferentes, pero no puedes subestimarlos, independientemente del tipo de delincuente que creas que son.

¿Cuáles son los principales tipos de técnicas que hay que tener en cuenta en este momento?

Las identidades sintéticas están llegando a la mayoría de edad. Muchas de ellas se desarrollaron en torno a 2017, por lo que tienes identidades envejecidas con correos electrónicos envejecidos e incluso cuentas de redes sociales envejecidas. Lo que han conseguido, debido a la presión de los gobiernos en cuanto a la verificación de la identificación, es que tiende a ser una cosa de tres años.

Si puedes dar una dirección de correo electrónico que tenga entre tres y cinco años de antigüedad, tenderá a pasar. La ingeniería social también es enorme. Hay cosas realmente sofisticadas en torno a eso, y lo más fácil es engañar al usuario.

Pero lo más importante es mantener tus sitios web y tus estrategias.

Si tienes un coche, lo revisas de vez en cuando, le pasas la ITV, le haces una mini revisión, etc. No esperas a que se rompa.

Las empresas se gastan un poco de dinero cada dos años para conseguir que alguien haga pruebas de penetración en su sitio web, pero a menudo no supervisan el sistema para detectar las cosas que los probadores de penetración descubren.

Un tipo cuya antigua dirección de correo electrónico estaba vinculada a una función de administrador de un gran sitio web dejó la empresa hace cinco años, y una vez que el delincuente consiguió acceder a la cuenta tuvo el control total de su cuenta, así que el control de las políticas es clave.

Una última cosa que añadiría y que me molesta mucho es ver organizaciones multimillonarias que todavía no tienen ninguna detección de dispositivos, correo electrónico, edad o coincidencia de correos electrónicos; para mí, eso es como tener una casa y no tener una cerradura en la puerta principal o en la trasera, ¡solo no lo harías!