#TECNOLOGÍA Credential stuffing y economía criminal Los nuevos procesos empresariales impulsados por la transformación digital incrementan el riesgo a la expo- sición de datos. Y ante este escenario, crecen los robos de credenciales. ¿Cómo se generan? ¿Quiénes pueden ser víctimas? ¿Cómo evitarlos? Por Ricardo Sotelo, gerente de Operaciones en Dimtec De acuerdo con un estudio global realizado por Akamai en ¿A quiénes y cómo atacan? julio de este año, las motivaciones del credencial stuffing, también conocido como ataque de relleno de credenciales, Veamos un ejemplo de cómo opera esta actividad.Actualmente, están en la economía criminal. Además, el informe precisa que las tarjetas de fidelización contienen gran cantidad de infor- en tanto toda la información está conectada de alguna mane- mación personal, la cual está disponible a la compra de cre- ra, ninguna información pierda valor. Más aún y dado que las denciales. Por ejemplo, las cuentas de medios de vídeo cotiza- personas reciclan contraseñas, credential stuffing es cada vez ban entre USD$ 1 y USD$ 5; y algunas ofertas que incluyen más rentable: los delincuentes pueden utilizar las credenciales múltiples servicios se vendían por USD$ 10 a USD$ 45. obtenidas en una plataforma y explotarlas en otras. Un caso expuesto en octubre de 2020 señala que por USD$ Cualquier persona puede ser víctima de credential stuffing. 13 se podría tener un ahorro teórico de USD$30 al comprar Estos ataques son ejecutados con bots, de los cuales hay credenciales con recompensa de gasolina. No es sorprendente muchos en Internet. Y ante la situación de confinamiento que los criminales sean poco amigables con el medio ambien- generada por el COVID-19; en la industria de medios de te. Otras opciones son por USD$ 30 tener saldo para hoteles entretenimiento, hasta los niños son objetivo para la obtención (40,000 puntos de recompensa), e incluso hay sitios que llegan de credenciales. Pueden caer en la trampa con tan solo des- a ofrecer SLA de retorno del dinero si no funciona cierto cargar un juego o accesorio “gratis”, en donde deben ingresar porcentaje. En mayo de 2019 se estimaron pérdidas de 4 un usuario y contraseña. El 74% de las aplicaciones/servicios millones de dólares por ataques de credential stuffing. todavía utilizan nombres de usuario / contraseñas tradiciona- les para iniciar sesión (feb-2020). Sin embargo, también hay criminales versados. Credential stuffing de contenido premium de periódicos, libros y revistas En tanto, de mayo a octubre de 2019, los ataques de relleno de ha estado experimentando crecimiento de 7.000%. Los obje- credenciales dirigidos a la industria de servicios financieros tivos son libros de texto universitario, los portales de noticias fueron orientados a las API, que a menudo representan el 75% en línea, las emisiones bloqueadas por la región, y los servicios o más del total de ataques de inicio de sesión contra servicios de libros electrónicos. Aparentemente a los delincuentes tam- financieros. Y según datos de febrero de 2020, los inicios de bién les gusta la cultura. sesión maliciosos que apuntan a las API fueron de 19% prome- dio para todas las verticales –con picos de 50%-, y de 10% De acuerdo con un reporte del estado de Internet de Akamai, promedio para servicios financieros –con picos de 88%-. los ataques de credential stuffing están ocurriendo también de manera volumétrica. El 7 de agosto del 2019 se identificó un CTCS 50 | #TECNOLOGÍA
#TECNOLOGÍA ataque de 55.141.782 intentos maliciosos de inicio de sesión. Mínimo privilegio y denegación predeterminada. Se Es importante implementar las mejores prácticas para el flujo requiere una arquitectura de seguridad Zero Trust basada de información para contener los ataques, y así evitar alertar en el mínimo privilegio y la denegación predeterminada a los atacantes y que generen nuevos vectores de ataque de para reducir el riesgo. manera más rápida. Esto puede ocurrir si utilizamos estrate- gias contra DDoS para un ataque ruidoso (volumétrico) en Visibilidad e inspección completas y gestión centraliza- lugar de estrategias contra credential stuffing. da. Los equipos de seguridad y TI responsables de proteger a los usuarios y proporcionar acceso a las aplicaciones cor- Además, los bots evolucionan rápidamente y pueden llevar a porativas necesitan un único conjunto de controles de segu- pérdidas financieras, por lo que es importante su administra- ridad y acceso para reducir el riesgo y escalar sus recursos ción. Por ejemplo, hay bots que acaparan inventario para finitos para satisfacer las demandas del negocio. vender lo encontrado a un precio más alto; pero si eso no se vende y el negocio que tiene acaparado el inventario pide más, » Integrarse con soluciones de SIEM existentes u ofrecer se generan pérdidas financieras. También los bots contaminan elaboración de informes completos. la analítica: por ejemplo, de preferencias y a qué se hace click, entre otras. Si esto está contaminado, las estrategias de mar- Mejores prácticas en el tratamiento de las solicitudes keting se generarán de manera incorrecta. (request) en el flujo de información. Modelo de seguridad de red: verificación de identidad DNS en CDN. Solicitud DNS, una solución DNS distribui- da permitirá entregar respuestas DNS de manera rápida y Qué debemos hacer para mejorar la seguridad. La respuesta estar preparado contra ataques de denegación de servicio está en entender que la botnet está en la nube y que para hacia el DNS. Ejemplo Edge DNS. contrarrestar un ataque pensado en actuar de manera distri- buida, se requieren soluciones de seguridad en la nube. Esto Client Reputation. Evaluar la reputación del origen de la nos lleva a la necesidad de implementar el marco de seguridad solicitud, esto implica llevar una estadística de los visitan- Zero Trust y aplicar las mejores prácticas para el flujo de tes. Esto permitirá detener a los clientes maliciosos antes información (cada request) que viene de la nube. de que puedan lanzar un ataque, aprovechando la visibilidad que tiene de los comportamientos anteriores de las direc- Zero Trust es un modelo de seguridad de red basado en un ciones IP. Ejemplo Client Reputation. proceso estricto de verificación de identidad, presentado por Forrester Reaserch. Sus principios son: Bot Manager. Aplicar el marco de referencia para trata- miento de solicitud de un bot o usuario legítimo (se detalla Nunca confiar, siempre comprobar. La arquitectura de más adelante). Ejemplo Bot Manager. referencia Zero Trust defiende que la confianza basada en el perímetro de la red y la ubicación ya no es relevante. DDoS Defender. Determinar si hay un comportamiento de denegación de servicio. Definir cual es la tasa permitida de » Los actores maliciosos están penetrando el perímetro, solicitud en ráfaga (burts atack); como por ventana de debido a obtención de credenciales en canales poco monito- observación, para detener los ataques lentos (slow post reados y avanzando en función de los privilegios obtenidos. atack). La observación de ataques DDoS se coloca aquí y no desde el principio; debido a que puede haber ataques » Los usuarios, los dispositivos, los datos y las aplicaciones desde máquinas zombis/infectadas que son utilizadas por se están trasladando fuera del perímetro de la empresa y un usuario válido, es aquí donde se debe implementar inte- de la zona de control. ligencia para determinar de este mismo equipo que tráfico se debe dejar pasar y cual contener; esto es variable para » Los nuevos procesos empresariales impulsados por la trans- cada sitio, pero nos podemos auxiliar de uno o una combi- formación digital incrementan el riesgo a la exposición. CTCS #TECNOLOGÍA | 51
#TECNOLOGÍA nación de cookies, query string, header, entre otras opcio- Bots buenos y malos nes. Ejemplo Kona DDoS Defender, Web Application Protector, Kona Site Defender. Existe una gama amplia de bots. En los extremos están los buenos, que se suelen colocar en una lista blanca, y los malos, WAF. Utilizar un firewall de aplicación (WAF). Los ata- que se envían a una lista negra. En el intermedio están los bot ques de aplicación van dirigidos a distintos tipos de funcio- grises, que se pueden catalogar en función del impacto al nalidades del sitio, ya sea atacando al propio sitio en sí o a negocio y/o desde el punto de vista de seguridad. A continua- una base de datos con información que se puede ver com- ción, se detalla el marco de referencia para atender bots. prometida. OWASP presenta un listado de riesgos para las aplicaciones web entre ellas están: SQL Injection, Cross- • Usuarios legítimos. Claramente la acción es permitir que Site Scripting, Local File Inclusion, Remote File Inclusion, todos sus usuarios legítimos reales lleguen al sitio y monito- Command Injection. Es importante proteger tanto la aplica- rear su actividad. ción web, como las API. Ejemplo Web Application Protector, Kona Site Defender. • Bots de SEO. Estos bots pueden considerarse buenos y una práctica posible es enviarlos a una página sencilla que per- Identity Cloud. Utilice una solución confiable para admi- mita ejecutar sus acciones de manera más eficiente, esta nistrar los accesos e identidades desde su sistema, redes puede estar en una infraestructura independiente de donde sociales que proteja a sus usuarios/clientes de actividades son atendidos los usuarios legítimos. maliciosas, como las cuentas fraudulentas y el robo de cre- denciales. Ejemplo Identity Cloud. • Socios o terceros. Supongamos que se tienen socios y otras partes terceras beneficiosas a las que también desea- Esconda su origen del internet; utilice una red de entrega mos permitir acceder al contenido del sitio, pero esto causa de contenido [Content Delivery Network (CDN)] para que problemas de rendimiento. Entonces, uno opción es detener- las IP de los servidores de la CDN sea lo que vean sus visi- los durante el horario comercial/atención/pico (de 9am a tantes. Ejemplo Site Shield. 3am, por ejemplo) y dejarlos entrar fuera de ese horario. Page Integrity. Existen ataques cuyo origen son sitios • Competidores. Imagínese que ha detectado que sus com- considerados de confianza, además del formjacking, comple- petidores hacen scraping de sus precios. Quizás pueda servir mente la protección WAF con soluciones que evalúen la a sus competidores precios falsos, para controlar mejor esas integridad del portal. Ejemplo Page Integrity Manager. dinámicas competitivas y aumentar sus ingresos de ventas. • Defraudadores. Aquí debe decidir qué hacer con este tráfico malicioso. Tal vez quiera bloquearlos. Tal vez quiere servirles páginas de inicio de sesión falsas para confundirlos. O sino incorporar su detección en una herramienta SIEM para que puedan analizar mejor sus actividades. • Bots desconocidos. Nuevamente, tiene que decidir si blo- quearlos o analizarlos, para después determinar cómo quie- re manejarlos. Dimtec (www.dimtec.com) es una empresa mexicana, dedicada a desarrollar e integrar soluciones tecnológicas que mejoren y protejan la distribución de contenidos digitales. Ricardo Sotelo abordó estos contenidos en el webinar sobre seguridad informática realizado por TOTS en noviembre. CTCS 52 | #TECNOLOGÍA
///P R O F I L E S Estudio Palmero de IGECH LatinCloud Belizan & Asociados www.igech.com.ar www.latincloud.com/argentina www.epb.com.ar Tel: 7078-8500 |Reconquista 660 Tel: 0379 497-8000/441-0910 Tel: +54 11 5258 8400 | Darwin 1154 C.A.B.A - Argentina Bolívar 1074 | Corrientes C.A.B.A - Argentina Nos especializamos en la gestión de cobranza de saldos IGECH construye soluciones corporativas. La compañía LatinCloud es una plataforma líder de soluciones cloud, de deuda elevada para Bancos, Empresas y PyMES. Con nació en el año 2011, como fruto del crecimiento de la con productos y servicios que brindan la mejor alterna- más de 20 años de experiencia, brindamos la mejor so- unidad de negocio del Estudio Ingaramo Gomez Vara, tiva de alojamiento en la nube. Además, se consolida lución para cada cliente en el recupero de activos. Con- con más de 40 años en la región, con la visión de dise- como especialista en soluciones de cloud hosting para tamos con un equipo interdisciplinario de profesionales ñar soluciones corporativas de BPO a la medida de cada contact centers. y un staff de mas de 200 integrantes especializados en cliente con foco en contact centers. contactación, búsqueda de datos, y negociación. Pone- Su atención está orientada a la experiencia de cliente. mos a disposición del cliente capacitación permanente, Garantiza soluciones, convirtiéndose en socio estratégi- Garantiza un servicio de calidad avalado por la última tecnologías innovadoras y un know how destacable que cos, fusionando innovación tecnológica con excelencia tecnología y un equipo de profesionales de IT con más de nos convierten en su mejor aliado. humana. IGECH se integra al negocio de sus clientes, 20 años de experiencia. Su desafío, día a día, es brindar con procesos eficientes basados en estándares de máxi- las mejores soluciones a todos los clientes y entregar Ing Dario Palmero ma calidad, que garantizan resultados a través de la ex- un enfoque personalizado a cada uno de sus proyectos. [email protected] celencia técnica y humana de su equipo. Mariana Rusek Francisco Ingamaro Gerente de Marketing y CX. Coordinador General [email protected] [email protected] [email protected] +54 11 5258 8400 MEGATECH PINES S1 GATEWAY www.megatech.la www.pines.com.ar www.s1gateway.com Tel: 4600-6300 | Corrales Viejos 64 Tel: 54 11 4374 5958 | Av. Callao 420 P11 Tel: 54.9.1156933305 C.A.B.A - Argentina Buenos Aires - Argentina [email protected] Mega Tech es una empresa de capitales nacionales, con Pines S.A. es una empresa de extensa trayectoria en los S1Gateway es una plataforma que permite que las em- más de 20 años de trayectoria, focalizada en brindar mercados Bancario y de Contact Centers. presas brinden servicio al cliente a través de email, chat, servicios profesionales IT. Los mismos incluyen: Mesa formularios web, sms, facebook, twitter, linkedin, youtu- de ayuda para soporte al puesto de trabajo, en sus moda- Posee dos áreas de negocios, la división *SISTEMAS be, mercadolibre, y cualquier red social que tenga API. lidades: telefónica, chat y remote control; Outsourcing y BANCARIOS* que provee el sistema integral y parame- delivery: gestión de incidentes y soporte IT; Desarrollo e trizable OMA SYSTEM PLUS y la división *INFRAES- Permite enrutar los mensajes de manera inteligente, implementación de asistentes virtuales, chatbot y aplica- TRUCTURA* que brinda Servicios Profesionales, Hard- gestionar las colas, tipificar cada interacción, contar con ciones móviles; Consultorías y royecto IT: en HW y SW; ware y Software para Business Intelligence, Quality dashboards en tiempo real, reportes de prodcutividad de O.S., bases de datos, y versiones de aplicaciones. Management, WorkForce Management, Voice & Screen agentes, de tráfico de operación, de satisfacción al clien- Recording, Seguridad de acceso, Virtualización y Acce- te. Actualmente se gestionan un promedio de 500.000 Cuenta con todos los procesos certificados bajo Norma so Remoto a aplicaciones. Pines S.A representa y dis- interacciones por dia para empresas de primer nivel en ISO 9001:2015.Y los servicios que ofrece permiten asis- tribuye Importantes Marcas y Fabricantes como NICE Argentina, México, Perú, Colombia y Brasil. Entre sus tir a las empresas en la operación de soluciones IT en Systems, IEX Totalview, CITRIX y Microsoft entre otros. clientes se encuentran: Claro, Despegar.com, Banco San- diversas plataformas, cubriendo las necesidades de sus tander, BBVA, ICBC, Edesur, Atento, Frávega, SwissMe- Departamentos de Sistemas. Oscar Silva dical, ProvinciaNet, entre otros. Gte. de Ventas Hector Lew [email protected] Leo Sujoluzky CEO Director Comercial leo. [email protected] [email protected] CTCS 54 | #PROFILES
#PROFILES STARTEK TANDEM TECNOVOZ TECHNOLOGY www.startek.com www.tecnovoz.com www.tandemtech.com.ar Tel: (011) 5080-0000 | Azopardo 1350 25 de Mayo 596, Piso 5 Tel: +54 11 5554 8100 | Federico Lacroze 3194 1º C.A.B.A - Argentina C.A.B.A - Argentina C.A.B.A - Argentina Startek es una compañía global que provee servicios de con- Tandem Technology es una empresa de gestión de co- TecnoVoz es especialista en el desarrollo y comercia- tact center con alcance omnicanal e inteligencia artificial branzas orientada a alcanzar altos ratios de cobranza, lización de software y soluciones multicanal para la aplicada a las últimas tecnologías de mercado. Fundada en Es- manteniendo y cuidando a los clientes finales. Nació en industria de los contact centers y el mercado corpora- tados Unidos hace más de 30 años, cuenta con más de 55.000 1998 como una unidad de cobranza del Estudio Cassini, y tivo. El expertise acumulado a lo largo de 27 años de empleados en 13 países y 63 sites. Su constante movimiento ya en 2001 se lanzó de forma independiente. La compa- historia, potenciado por un recurso humano enfocado en hacia la evolución del servicio y formación de valor hacen de la ñía establece sus bases en tres pilares fundamentales: un la constante innovación, da como resultado una gestión compañía un player de reconocimiento Word Class. equipo de trabajo orientado aportar valor diariamente; centrada en la creación de soluciones a la medida de una operación focalizada en la obtención de los mejores cada cliente que acompañan el crecimiento de sus nego- El éxito de la compañía está basado en la habilidad para ratios de cobranza; y la automatización de tareas repe- cios, desarrollando así vínculos de largo plazo. ejecutar proyectos con calidad en un corto período de tiem- titivas que no generan valor y solo aumentan el costo. po, adaptándose a las necesidades y los requerimientos de Con 35.000 puestos instalados en más de 300 centros sus clientes. Con un amplio rango de servicios que van desde La firma dispone de un CRM propio, que combina pro- de contacto, TecnoVoz lidera el mercado argentino y atención al cliente y telemarketing hasta la tercerización cesos de big data y favorece el ahorro de tiempos en cuenta con representación en Colombia, Estados Unidos, de procesos complejos como los relacionados con recursos la ejecución de procesos, mejora la seguridad de la México, Perú, Puerto Rico y Venezuela, con un modelo humanos o específicos de ciertas industrias, Startek se des- información y potencia la productividad de los colabo- de distribución comercial y soporte estratégicamente taca por trabajar en equipo con sus clientes y acompañarlos radores. Además, cuenta con líderes certificados en regionalizado. durante todos los ciclos y desafíos que se presentan. normas COPC y se encuentra en pleno proceso de im- plementación. Gabriel Bustillo Fernando Benito Gerente Comercial Director Comercial Latam [email protected] [email protected] [email protected] CTCS #PROFILES | 55
#ANUARIO ¿Qué pasó en 2020? LEY DE GÓNDOLAS Ver más info. El Gobierno reglamentó la Ley de Góndolas en diciembre, a través del Decreto 991/2020. La misma permitirá una mayor oferta de productos en las grandes cadenas de supermercados, tanto física como virtualmente, y posibilitará que las pequeñas y medianas empresas, cooperativas y emprendimientos de la agricultura familiar tengan un trato equitativo en el espacio que ocupen en las góndolas. La norma establece que la Secretaría de Comercio Interior será la autoridad de aplicación y quien deberá generar un listado actualizado con la totalidad de los productos alcanzados por la ley. Dispondrá de los requisitos de señalización de los congeladores exclusivos o los exhibidores patrocinados y podrá fijar un porcentaje máximo de los mismos. TRANSFERENCIAS 3.0 El Banco Central aprobó el programa de “Transferencias 3.0”. La normativa, que facilita las operaciones de pagos electrónicos, comenzó a operar el 7 de diciembre. Apunta a garantizar menores costos para los comercios y mayores opciones de pago para los consumidores, con un nuevo esquema de transferencias inmediatas. A través de este sistema, cualquier persona con una cuenta bancaria o billetera digital puede usar su tarjeta de débito o código QR de la app para pagar en un comercio. Y a su vez, este recibirá el dinero en forma inmediata e irrevocable, lo que ayudará a competir con el uso de efectivo. Ver más info. CTCS 56 | #ANUARIO
#ANUARIO BOTÓN DE ARREPENTIMIENTO Ver más info. Las empresas que comercializan bienes y servicios por internet o teléfono en Argentina deben exhibir un “botón de arrepentimiento” en sus páginas web y en sus aplicaciones. Así lo estableció la Secretaría de Comercio Interior, a través de la resolución 424/2020, que entró en vigor el 4 de diciembre. Este instrumento permite que los consumidores puedan arrepentirse de sus compras o contrata- ciones, en un plazo de 10 días a partir efectuadas. Además, pueden tramitar la devolución de los productos o cancelar los servicios adquiridos, A partir de la solicitud de revocación, el proveedor dentro de las 24 horas y por el mismo medio, debe informar al consumidor el número de código de identificación de arrepentimiento o revocación. CONTRATOS DE ADHESIÓN Desde diciembre, las empresas que proveen servicios a través de Internet deben publicar y exponer de manera accesible en la página principal de sus sitios web los contratos de adhesión y el botón de baja de usuarios. Así lo establece la Resolución 271/2020, de la Secretaría de Comercio Interior. La norma alcanza a empresas de telefonía fija y móvil, Internet, radiodifusión por suscripción y medicina prepaga, que hasta ahora estaban obligadas a visibilizar el botón de baja. El acceso a los ejemplares de contrato, y condiciones generales y parti- culares de contratación, deberá ser de fácil y directo acceso desde la página de inicio del sitio de Internet institucional de las firmas obligadas y ocupar un lugar destacado, en cuanto a visibilidad y tamaño PAGODEREMUNERACIONES La Cámara Argentina de Fintech manifestó su rechazo a la derogación de la Resolución N° 168 6 de abril de 2018. Esta decisión implica que los empleadores no pueden efectuar el pago de las remuneraciones mediante la utilización de dispositivos de comunicación móviles u otros soportes electrónicos habilitados, aun cuando existiere aceptación explícita y feha- ciente por parte del trabajador. Ver más info. CTCS #ANUARIO | 57
#ANUARIO PASES • Marcelo García Cisneros, CEO de Rekket, asumió como presidente de AMDIA por los próximos dos años, en reemplazo de Martín Jones. • Ignacio Plaza, presidente en Primary Ventures, fue designado al mando de la Cámara Argentina de Fintech hasta 2022 y ocupará la posición de Juan Pablo Bruzzo, fundador de Moni. • Sebastián Albrisi, director del Grupo Telemercado, pasó al frente en la Cámara Argentina de Centros de Contactos para el período 2020-2021. Reemplazó en el cargo a Marcos Górgolas, gerente general de Grupo PyD. LEY DE ECONOMÍA DEL CONOCIMIENTO En diciembre, el Gobierno reglamentó la Ley de Economía del Conocimiento, que promueve mediante incentivos fiscales, hasta el año 2029, a las empresas y emprendedores en el diseño, adaptación y desarrollo de producción software y servicios afines a las nuevas tecnologías. La norma reemplaza a la ley 27.506, que había sido aprobada en octubre de 2019, aunque luego en enero de este año, suspendida y sometida a revisión y cambios. Entre las modificaciones intro- ducidas, se encuentran la reducción del impuesto a las Ganancias: será del 60% para las micro y pequeñas empresas, del 40% para las medianas, y del 20% para las grandes. Ver más info. EN CARTERA LEY DE TELETRABAJO Ver más info. La modalidad de remoto desplegada a partir de la cuarentena motivó diferentes proyectos para su regulación del teletrabajo. Finalmente en julio se aprobó el Régimen Legal del Contrato de CTCS Teletrabajo, que “tiene por objeto establecer los presupuestos legales mínimos para la regulación de la modalidad de teletrabajo en aquellas actividades, que por su naturaleza y particulares carac- 58 | #ANUARIO terísticas, lo permitan”.Asimismo, la norma determina que lLos aspectos específicos se establece- rán en el marco de las negociaciones colectivas. Sin embargo, la fuerte reacción empresaria abrió negociaciones posteriores. Actualmente, el Gobierno se encamina a regular la ley con algunas modificaciones.
Search
