Segurilatam 025

/ Segundo cuatrimestre 2023 44 artículo técnico Ciberseguridad Sin duda, el escenario del atacante interno podría desnudar debilidades de control interno e incluso en muchos ca- sos de negligencia tanto de los niveles de dirección como de los medios más operativos, lo cual afectaría al cobro del seguro por incumplimiento de cláusulas y recomendaciones de control preven- tivo. Y lo más crítico: podría identificar autorrobo, ya sea directo, por evasión impositiva u otros motivos. Entonces, indagar sobre el atacante o cómplice interno no es una buena op- ción si pensamos en el resarcimiento de los montos económicos comprometidos. La investigación es más cómoda para to- dos si apunta a supuestos y sofisticados cibercriminales. Exfiltración interna En el posible propuesto, muchas veces se encuentran rastros de escaneos de vulnerabilidades en los logs de disposi- tivos de seguridad perimetral como IDS o firewall . Incluso rastros de ataques de fuerza bruta que darían la sensación de haber estado sometido a estas ciberin- cursiones sin poder afirmar o negar si en algún momento fueron exitosas. También se encuentra mucho rastro de malware detectado o correos con intentos de phis- hing bajo la misma lógica posible, pero no comprobado éxito. En un ataque de fraude BEC se asume que los intrusos conocen la operativa del negocio merced al acceso irrestricto que logran a las cuentas de correo corporati- vo. Pero, ¿y si ese conocimiento es una exfiltración interna y no fruto de una infil- tración externa? Quizá le damos mucha valoración a la posibilidad de ciberataque cuando se pueden estar usando técnicas de intrusión más propias del mundo físi- co tradicional, de los tiempos en que se comprometían personas no con ingenie- ría social, sino bajo la vieja escuela del soborno, el chantaje o la extorsión. Investigación forense En el escenario de un ciberatacante o cómplice interno se debería desarrollar una investigación forense en el ámbito penal. Contrariamente, cuando se asu- me por verdad la opción de un sofisti- cado ciberataque, se justifica bajo ese manto tecnológico. Y dado que el marco de cumplimiento y los actores de orga- nismos destinados a la investigación no están lo suficientemente maduros, nadie pierde. Alguien podría decir que el perdedor sería la empresa aseguradora. Pero esta tiene, a su vez, un reaseguro. Y si cuantificamos las pérdidas frente a las ganancias por las primas del sector asegurador, terminamos demostrando que son parte de la pérdida y los sinies- tros esperados para alimentar la cultura del seguro . Conclusión En definitiva, en la investigación foren- se de incidentes cibernéticos es impor- tante aplicar el principio inverso de la inocencia, y apuntar a que todos pue- den ser culpables o tener algún grado de participación por acción u omisión, para desarrollar la investigación e ir descartando las opciones por su pro- babilidad y, si fuera posible, encontrar la verdad de los hechos. El investiga- dor no debería asumir resultados por los aparentes indicios iniciales. Y, peor aún, por la conveniencia de los resulta- dos en términos de fuente y montos de resarcimiento. El investigador de un ciberataque no debería asumir resultados por los aparentes indicios iniciales