Simulacros de 'phishing' para rechazar los 2.000 ataques que reciben en segundos: así blinda su ciberseguridad la empresa detrás de Infojobs, Fotocasa o Milanuncios

La pandemia y la consecuente digitalización de la sociedad desató unos niveles de estrés hasta la fecha insólitos para sectores como el de los marketplaces. El segmento de los mercados electrónicos vio cómo se disparaba su oferta de mascarillas a precios desorbitados o productos milagrosos contra el COVID-19 en la primera mitad de 2020.

También ocurrió en distintas plataformas en España, algo que tuvo muy en cuenta Adevinta Spain, la filial en el país de Adevinta, un grupo de origen noruego que se dedica a los clasificados y que es fruto de la división en 2019 de la corporación de medios Schibsted. El auge de estas estafas y fraudes al inicio de la crisis sanitaria pudo desembocar en crisis de reputación para diversos portales.

Adevinta Spain es la propietaria de marcas bien conocidas en España: Milanuncios,Infojobs, Fotocasa o Coches.net son algunas de las plataformas que opera en el mercado local. Y su responsable de tecnología, el CTO Albert Sellares, confirma algunos de los desafíos a los que se tuvieron que enfrentar en pandemia. Muchos de ellos, relacionados, además, con la ciberseguridad.

Sellares reivindica, en una entrevista con Business Insider España, que aunque cuentan con herramientas de inteligencia artificial para tratar de automatizar procesos de moderación, Adevinta Spain cuenta con un equipo que se dedica expresamente a revisar todo el contenido que aflore en sus portales. El riesgo de sufrir crisis de reputación existe.

Esto es lo que piensa el CEO de Fotocasa, InfoJobs y Milanuncios de Google y Facebook

"La calidad de nuestro contenido es algo clave. Si en nuestras plataformas se encuentra contenido con algo que no es cierto, con alguien que te está intentando timar, los usuarios no querrán regresar a las plataformas". Todavía era febrero de 2020 cuando en plataformas como Milanuncios, de Adevinta, o Wallapop, se encontraban mascarillas a la venta hasta un 370% más caras de lo habitual.

De hecho, Amazon, que se dedica al comercio electrónico pero también ofrece su plataforma como marketplace a terceros, se vio obligada a retirar muchas de estas ofertas por el precio injustificado de algunos productos sanitarios, como reconocía la responsablepara España e Italia de la multinacional, Mariangela Marseglia, en declaraciones a este medio.

No solo ocurre en el marketplace de artículos de segunda mano. Los intentos de fraude y estafa en otros, como el de ventas de coches o motos de segunda mano o portales especializados en anuncios inmobiliarios también conllevan riesgos. "Tenemos un equipo y herramientas desarrolladas que retiran estos anuncios al más mínimo indicio de fraude".

Al comienzo de la pandemia muchos de los clientes de Adevinta tuvieron que cerrar porque no podían teletrabajar. "A medida que pudieron regresar, comenzaron a usar herramientas más digitales, y Adevinta ha funcionado un poco como aceleradora" en esa digitalización, asevera el CTO de la firma. Pero su estrés en la operativa no se disparó.

"Nosotros creamos el producto tecnológico, las aplicaciones, la web. No hay una carga operativa como en los comercios electrónicos, donde sí tienen algo físico que transportar", reseña el responsable de Tecnología. "Sí a nivel de soporte y sí a nivel comercial", matiza. Pero los desafíos en pandemia continuaron siendo digitales.

Se disparan los ciberataques

La pandemia pilló a Adevinta Spain en un proceso por el cual solo tuvieron que aplicar lo que habían aprendido previamente. Los pilotos de teletrabajo ya se habían dado en la compañía, lo que les permitió pasar a remoto días antes de que fuese obligatorio trabajar desde casa a causa del estado de alarma que se decretó en marzo del año pasado.

Lo que ocurre cuando eliminas la oficina es que el perímetro de seguridad que envuelve los activos de una compañía se disipa todavía más. "Es difícil que alguien entre en una oficina con unas credenciales y haga un ataque desde dentro", relata Albert Sellares. "Sin embargo, desde casa cualquiera puede conectarse con mi nombre y contraseña, ¿cómo sabemos si soy realmente yo?".

Adevinta, propietaria de portales como Fotocasa, InfoJobs o MilAnuncios, compra el negocio de clasificados de eBay por 8.000 millones de euros

Un elevado porcentaje del tráfico de internet no es humano. Son bots o redes de bots (botnets) circulando y secuestrando máquinas (desde ordenadores, servidores e impresoras a cámaras web, sensores o cafeteras y electrodomésticos conectados) para reunir su capacidad de computación y perpetrar sofisticados ciberataques.

Estas botnets pueden alojar malware de todo tipo que tratarán de inocular allá donde impacten, en una serie de espasmódicos movimientos que en Adevinta cifraban antes de la pandemia en más de 2.000 cada pocos minutos. "Ahora son unos 2.000 ataques cada pocos segundos", señala Sellares.

Para mantener la infraestructura de una compañía digital como Adevinta Spain en línea, es necesario garantizar un "monitoreo continuo", refleja Albert. "Es esencial para detectar eventos o patrones que no sean los normales". Aunque se traten de ataques automatizados, es esencial para los departamentos de Ciberseguridad contar con que sus productos tengan un alto grado de observabilidad.

De esta manera, Adevinta Spain puede adelantarse a posibles ataques de denegación de servicios (DDoS) o a otras circunstancias anómalas que se reflejen en sus métricas, y que puedan ser indiciarias de un intento de intrusión para desplegar un ransomware, por ejemplo.

Entrenamiento y formación constantes

Junto con el monitoreo de sus redes, Adevinta Spain también implementó el factor de doble autenticación (2FA) a la hora de conectarse a las redes corporativas. Este es un elemento esencial en la ciberseguridad, y permite que los usuarios (en este caso, los trabajadores) necesiten tener a mano un dispositivo físico (su móvil) para iniciar sesión en los servicios de la compañía.

Sellares tiene un pasado como hacker. Antes de incorporarse a Adevinta Spain hace 7 años, trabajó durante otros 13 años en gestión de IT, consultoría, formación, administración de sistemas y seguridad informática. Ha sido finalista en competiciones mundiales de ciberseguridad como la Defcon en EEUU, la PH Days en Rusia, la Codegate en Corea del Sur o la RootedCON en Madrid.

Por eso no es de extrañar que en la compañía se hayan adoptado medidas para garantizar la formación continua en ciberseguridad de sus empleados. Una de ellas son los simulacros de phishingque el propio Sellares detalla: "Los empleados suelen recibir correos falsos cuyo emisor se hace pasar por Tesorería o por el CEO pidiendo un pago o que remita un presupuesto".

Esta es la técnica que utilizan en Fotocasa, InfoJobs y Milanuncios para transformar digital y culturalmente a los empleados, según su CEO

En realidad muchos de esos correos de phishing los envía el propio equipo de Sellares con un panel de conversión para comprobar cuántos de los empleados caen en la 'trampa'. "El riesgo es realmente grande, y por eso cuando vemos el porcentaje de personal que puede haber caído en nuestro phishing recomendamos ciertas formaciones".

"Nunca se puede decir que estamos 100% seguros, nunca se sabe. Lo que sí sabemos es que a día de hoy no hemos tenido un gran ataque o una gran filtración, así que por el momento estoy contento. Como compañía seguimos invirtiendo en el futuro, que cada vez es más privado. Los datos personales de nuestros usuarios son oros, es un ítem que tiene que estar muy protegido", remacha.

Por esa misma razón Adevinta Spain también ha participado en diversas campañas de bug bounty en algunas de las plataformas más populares para tal fin. El bug bounty es un tipo de programa mediante el cual hackers de sombrero blanco tratan de encontrar vulnerabilidades en los sistemas de una empresa. A cambio de lo que encuentren, reciben recompensas.

"Durante estos años se han detectado unos 95 bugs, de los cuales 50 han sido recompensados. El rango que pagamos, según lo grave que sea la vulnerabilidad, oscila entre los 100 euros y los 3.000 euros", explica Sellares.

La seguridad, esencial para la confianza del usuario

"Para nosotros, trabajar con los datos de los usuarios es clave. Y esos datos son muy valorados para los ciberdelincuentes, ya que los pueden vender muy caros en el mercado negro. Mi labor es evitar que eso pase". Sellares enfatiza que el objetivo de Adevinta Spain es "ayudar a los usuarios a encontrar un nuevo propósito".

Un artículo de segunda mano, una nueva oportunidad laboral, una nueva vivienda o un nuevo vehículo son algunos de los "nuevos propósitos" que Adevinta ofrece a través de sus distintas marcas en España. Son elementos que conllevan grandes reflexiones, "mucho esfuerzo". "Nuestra misión es reducir al mínimo esa fricción" para cambiarse de trabajo, casa o coche.

"La única manera para ello", continúa, "es la confianza". "No solo en ciberseguridad, también con lo que me voy a encontrar en la plataforma". "Por eso también hacemos esa inversión en las plataformas, para que las transacciones e intercambios siempre cuenten con la mayor fiabilidad posible".