Deleitar y proteger a nuestros clientes: Reflexiones de Mark
Cualquiera que tenga un teléfono móvil o una cuenta de correo electrónico está familiarizado con los intentos de estafa. Una voz o un correo electrónico que se hace pasar por una organización legítima -tal vez la Seguridad Social, Amazon.com o un banco- te informará de un problema con tu cuenta, de un reembolso que te deben o de cualquier otra cosa que parezca requerir tu atención inmediata.
¿Te has preguntado alguna vez cómo funcionan esas omnipresentes estafas telefónicas o por correo electrónico, y cómo es posible que la gente caiga en ellas?
Aquí tienes un vídeo que da alguna idea: https://youtu.be/VrKW58MS12g. Dura algo más de 20 minutos e incluye bombas de purpurina, entregas de paquetes, vigilancia encubierta y muchos otros giros. Si no te apetece ver el vídeo entero, éste es el punto que quiero que saques de esto: Una de las claves del éxito de estos estafadores es el uso del software de acceso remoto AnyDesk.
Del mismo modo, este artículo del New York Times Magazine describe el papel que desempeñó el software TeamViewer en una ciberestafa de 2019 a una anciana de Tennessee. Y estafas como ésta son un gran negocio. El artículo del NY Times informa de que el Centro de Denuncias de Delitos en Internet del FBI cifra las pérdidas totales de las víctimas de estafas en 2019 en 3.500 millones de dólares, frente a los 1.400 millones de 2017.
No se trata de casos aislados en los que el software de acceso remoto se haya visto implicado en una estafa. En 2016, se descubrió que el llamado ransomware Surprise había llegado a sus primeras víctimas a través del software de acceso remoto TeamViewer. Según la revista InfoSecurity : "...el desarrollador del ransomware Surprise fue capaz de cooptar las credenciales de un usuario de TeamViewer, y luego utilizó esas credenciales para acceder a otros usuarios de TeamViewer y descargar el archivo malicioso a través de TeamViewer."
También de ese mismo artículo de InfoSecurity : "El vector de ataque es similar a los casos de aplicaciones de acceso y control remoto, como LogMeIn y JoinMe, que utilizan los hackers para acceder a redes corporativas e instalar el infame malware Backoff, que roba datos de puntos de venta."
Responsabilizar a los proveedores de acceso remoto
Puede ser tentador llegar a la conclusión de que el propio proceso de acceso remoto es problemático. Pero como director general de un proveedor de software de acceso remoto, quiero dejarlo claro: aunque no hay forma de acabar con todas las posibles ciberestafas, la supervisión responsable de de los usuarios de prueba de software de acceso remoto puede evitar con éxito muchas de ellas.
Éste es el problema. Varios proveedores de herramientas de acceso remoto ofrecen productos freemium que permiten descargar y empezar a utilizar su software sin exigir ninguna información a los usuarios: No se necesita dirección de correo electrónico ni crear una cuenta para empezar a utilizar sus productos. Como nunca se recoge nada de los descargadores, no se valida nada. Como resultado, estos proveedores de acceso remoto se han convertido en herramientas populares entre los estafadores. Facilitar el acceso al software de esta forma es sencillamente una irresponsabilidad social.
Irónicamente, estos vendedores comparten con orgullo con los inversores que su software se descarga millones de veces al mes; sin embargo, muchas de estas descargas las realizan estafadores, y sus herramientas se utilizan para atacar a víctimas de todo el mundo.
Adoptemos un Código de Conducta entre los Proveedores de Acceso Remoto
La razón por la que estas herramientas de acceso remoto son populares entre los estafadores es que los fabricantes del software han dado prioridad a atraer al mayor número posible de usuarios a sus productos ofreciendo descargas instantáneas sin hacer preguntas ni validar ninguna información. Han optado por no tomar las precauciones necesarias para proteger a la gente de los estafadores.
En Splashtop, creemos que los proveedores de herramientas de acceso remoto tienen la responsabilidad social de hacer todo lo razonable para evitar que los estafadores utilicen nuestras herramientas.
La adopción de un "código de conducta" para los proveedores de acceso remoto podría empezar por:
Validar a todos los usuarios, incluso para las pruebas gratuitas.
Si tienes una casa en venta, no entregas las llaves a todas las personas que expresan interés en visitarla. Entonces, ¿por qué algunos proveedores de acceso remoto reparten pruebas gratuitas de su software basándose sólo en una solicitud anónima, sin validar quién hace esa solicitud? Los proveedores de acceso remoto deben exigir el registro de los usuarios, así como la validación de sus direcciones de correo electrónico y otras credenciales, antes de permitir el uso de las herramientas, tanto en las pruebas gratuitas como en las compras de pago.
Vigilancia de posibles abusos de la plataforma.
Splashtop lleva mucho tiempo aplicando metodologías para vigilar, identificar y recibir alertas sobre posibles estafadores que utilicen nuestros productos de software. Por ejemplo, cuando nuestro sistema detecta que un usuario de prueba se comporta de forma anómala, como tener muchas sesiones conectándose a ordenadores de distintos países o estados, se genera automáticamente una alerta. La supervisión del comportamiento de los usuarios de prueba para ayudar a identificar a los estafadores debería ser una práctica habitual en nuestro sector.
Tomar estas medidas requiere una inversión, pero lo consideramos un aspecto importante de ser un proveedor de acceso remoto responsable. Al generar confianza con nuestros usuarios, muchas marcas importantes -como Marriott, FedEx, UPS, Toyota, los Centros para el Control y la Prevención de Enfermedades (CDC) de EE.UU., Stanford Health Care, la Escuela de Medicina de Harvard, Turner Broadcasting y Tapestry (empresa matriz de las marcas de moda de lujo Coach, Kate Spade y Stuart Weitzman)- han adoptado Splashtop como solución de acceso remoto.
Más información sobre por qué Splashtop es la solución de acceso remoto a más segura que existe. Y tú qué opinas: ¿Ha llegado el momento de que los proveedores de software de acceso remoto adoptemos un código de conducta para el uso responsable de nuestros productos?