NYPD: una lección sobre seguridad y combate al cibercrimen

En la conferencia RSA 2020, el exdirector del departamento de investigaciones e inteligencia cibernética del NYPD habló sobre cómo la policía había aumentado su concientización en ciberseguridad.

¿Puede ayudar el NYPD a capacitar a tu personal?

Cuando eché un vistazo a las sesiones la conferencia RSA 2020, una charla llamada Afrontar el crimen cibernético: impulsar la procuración de justicia llamó mi atención. Como aficionado a la serie La Ley y el orden y a la ciberseguridad, pensé que sonaba como una versión real de un programa de televisión sobre cibercriminales, pero situada en el Departamento de Policía de Nueva York (más conocido por sus siglas en inglés, NYPD).

El locutor, Nick Selby, tenía mucho que contar. Ya sabes que Nueva York tiene un serio problema con el cibercrimen, un problema de nueve cifras. Al parecer todos, desde los nativos digitales hasta los baby boomers, han sufrido los ataques de los cibercriminales, desde estafas telefónicas hasta ransomware, pasando por un tipejo nigeriano que necesita una transferencia bancaria y mucho más.

La mayoría de las veces, las víctimas llaman al NYPD. No obstante, cuando los oficiales que responden a la llamada escuchan palabras como Bitcoin,  su respuesta inmediata es algo como “no es mi competencia”, ya que, bueno, se trata de un asunto de crimen cibernético. En los mapas mentales de los detectives y oficiales de policía, son otros organismos los que tienen que encargarse de este tipo de asuntos, como el secuestro de las computadoras de los gobiernos locales. De hecho, todo lo que suelen hacer los oficiales de policía es aconsejar a las víctimas que llamen al FBI.

Pero para una ciudad de las dimensiones de Nueva York, esto representaba un gran problema de ciberseguridad. Y Selby lo sabía, al igual que sus superiores del NYPD, que le encomendaron la tarea de ayudar a cambiar la cultura y capacitar a los oficiales de policía para que comenzaran a preocuparse también por la ciberseguridad.

La presentación me fascinó por completó y abordó todo el proceso que llevó a cabo el equipo con el objetivo de frenar el cibercrimen y ayudar a la gente a recuperar ese dinero que tanto les había costado ganar. No voy a contar toda la historia, pero te aconsejo que veas la charla completa aquí:

 

https://www.youtube.com/watch?v=-_F8QdyKkeQ

 

No obstante, aquello que no pude pasar por alto en la presentación fue esta idea: Selby tenía que ayudar a cambiar esta cultura y capacitar a los oficiales de policía para que comenzaran a preocuparse por la ciberseguridad.

Cualquiera que haya impartido capacitaciones de seguridad habrá escuchado preguntas o comentarios sarcásticos como estos:

Trabajo en finanzas, ¿por qué me iba a preocupar?

Trabajo en la recepción, ¿por qué me iba a preocupar?

Vamos, trabajo en asistencia técnica, ¡ya sé sobre seguridad!

Y mi queja favorita:

Uf, capacitación en seguridad, ¿OTRA VEZ?

Todos hemos pasado por ahí y hemos tenido que hacer algo que no pensábamos que fuera necesario para la ciberseguridad en el trabajo. Sin embargo, el problema es que la ciberseguridad sí nos afecta a todos. En serio. Por ejemplo, estas son algunas situaciones comunes:

Finanzas: gestionan el dinero. ¿Cuántas estafas hemos mencionado que estuvieran relacionadas con haber enviado dinero a la cuenta equivocada?

Recepción: la primera cara que ves, la persona que permite acceder a la gente al edificio. Los recepcionistas también pueden facilitar a los invitados las credenciales del wifi. ¿Crees que el papel del recepcionista debería ser proteger a las empresas de gente como los criminales que conecten hardware malicioso a las redes corporativas?

Asistencia técnica: Arreglan computadoras y administran dispositivos. ¿Quién podría darte una memoria USB si necesitas mover una presentación PowerPoint de una computadora a otro? Sin el departamento de informática, la gente podría tomar cualquier USB abandonada que encontrara por la oficina.

¿Ves a dónde quiero llegar? Todos los empleados son vectores de ataque potenciales, pero normalmente no piensan en lo que acabo de mencionar.

 

¿Qué podemos aprender del NYPD?

A diferencia de los capacitadores en ciberseguridad corporativa, el NYPD capacitaba a los oficiales de policía, pero sus tareas y desafíos eran muy similares, al igual que sus principios rectores:

Hazlo simple. Seguramente el factor más importante del éxito del equipo de NYPD era que se trataba de capacitaciones en ciberseguridad claras y directas. Creo que establecieron un máximo de 20 diapositivas en sus sesiones de capacitación. A la hora de planear los materiales de capacitación para tu personal, asegúrate de que incluya objetivos claros que demuestre al personal por qué deberían preocuparse y cómo afrontar este asunto con éxito.

Impulsa al personal. Otra estrategia interesante de Selby y su equipo fue el uso de una aplicación que ayudara a los policías a codificar los cibercrímenes, lo que facilita una investigación adecuada. Ahora bien, no estoy diciendo que tengas que desarrollar una aplicación para tu empresa. Eso sí, encuentra la forma de impulsar a tus empleados practiquen las medidas de ciberseguridad aprendidas durante la capacitación. Si ven algo sospechoso, ¿cómo pueden informar al respecto? Si reciben un e-mail de phishing, ¿cómo pueden bloquearlo para toda la empresa o a dónde deberían enviarlo?

Muestra los resultados. El NYPD mide todo lo que puede y con este programa el departamento comenzó a medir también los asuntos “cibernéticos”, de manera que los policías pudieran ver que su trabajo estaba ayudando a la investigación de más delitos en sus distritos. También pudieron apreciar la magnitud del problema y cómo su papel ayudaba a luchar contra el cibercrimen. Es probable que tus empleados no estén luchando contra los cibercriminales, pero puedes mostrarles cómo ayudan con su labor. Por ejemplo, nueve ataques ransomware frustrados o 200 correos electrónicos de phishing evitados durante el año podrían ser buenos datos que compartir en una actualización periódica.

Tu capacitación no tiene por qué ser cara o implicar alta tecnología. Compartir tus conocimientos especializados internos puede llevar a cambios importantes en tu organización.

Aunque elaborar un proyecto de capacitación en ciberseguridad no esté en los planes de tu empresa este año, puedes confiar en nosotros. Kaspersky ofrece una serie de cursos gratuitos de capacitación en seguridad con los que puedes empezar a capacitar a tus empleados.

Consejos