Es hora de un código de conducta para los proveedores de herramientas de acceso remoto

Deleitando y protegiendo a nuestros clientes: Reflexiones de Mark

los proveedores de acceso remoto deberían adoptar un código de conducta

Cualquiera que tenga un teléfono móvil o una cuenta de correo electrónico está familiarizado con los intentos de estafa. Una voz o un correo electrónico que se hace pasar por alguna organización legítima -tal vez la Seguridad Social, Amazon.com o un banco- le informará de un problema con su cuenta, o de un reembolso que se le debe, o de algo que parece requerir su atención inmediata.

¿Alguna vez se ha preguntado cómo funcionan esas omnipresentes estafas telefónicas o por correo electrónico y cómo es posible que la gente caiga en ellas?

Aquí hay un vídeo que da una idea: https://youtu.be/VrKW58MS12g. Dura algo más de 20 minutos e incluye bombas de purpurina, entregas de paquetes, vigilancia encubierta y muchos otros giros. Si no te apetece ver todo el vídeo, este es el punto que quiero que saques de esto: Una de las claves del éxito de estos estafadores es el uso del software de acceso remoto AnyDesk.

Del mismo modo, este artículo del New York Times Magazine describe el papel que desempeñó el software TeamViewer en una ciberestafa de 2019 a una anciana en Tennessee. Y estafas como esta son un gran negocio. El artículo del NY Times informa de que el Centro de Denuncias de Delitos en Internet del FBI sitúa las pérdidas totales de las víctimas de estafas en 2019 en 3.500 millones de dólares, frente a los 1.400 millones de 2017.

No son casos aislados en los que el software de acceso remoto ha estado implicado en una estafa. En 2016, se descubrió que el llamado ransomware Surprise llegó a sus primeras víctimas a través del software de acceso remoto TeamViewer. Según la revista InfoSecurity : "...el desarrollador del ransomware Surprise fue capaz de cooptar las credenciales de un usuario de TeamViewer, y luego utilizó esas credenciales para acceder a otros usuarios de TeamViewer y descargar el archivo de malware a través de TeamViewer."

También de ese mismo artículo de InfoSecurity : "El vector de ataque es similar a los casos de apps de acceso y control remoto, incluyendo LogMeIn y JoinMe, que están siendo utilizados por los hackers para acceder a las redes corporativas e instalar el infame malware Backoff, que roba los datos de los puntos de venta."

Responsabilizar a los proveedores de acceso remoto

Podría ser tentador llegar a la conclusión de que el proceso de acceso remoto en sí mismo es problemático. Pero como director general de un proveedor de software de acceso remoto, quiero dejarlo claro: aunque no hay forma de acabar con todas las posibles estafas cibernéticas, la supervisión responsable de de los usuarios de prueba de software de acceso remoto puede evitar con éxito muchas de ellas.

El problema es el siguiente. Varios proveedores de herramientas de acceso remoto ofrecen productos freemium que permiten a la gente descargar y empezar a usar su software sin requerir ninguna información de los usuarios: No se requiere una dirección de correo electrónico ni la creación de una cuenta para empezar a utilizar sus productos. Como no se recoge nada de los descargadores, no se valida nada. Como resultado, estos proveedores de acceso remoto se han convertido en herramientas populares entre los estafadores. Proporcionar acceso al software de esta manera es simplemente una irresponsabilidad social.

Irónicamente, estos proveedores comparten con orgullo con los inversores que su software se descarga millones de veces al mes; sin embargo, muchas de estas descargas son realizadas por estafadores, y sus herramientas se utilizan para atacar a víctimas de todo el mundo.

Adoptemos un código de conducta entre los proveedores de acceso remoto

La razón por la que estas herramientas de acceso remoto son populares entre los estafadores es que los fabricantes del software han dado prioridad a atraer al mayor número posible de usuarios a sus productos ofreciendo descargas instantáneas sin hacer ninguna pregunta ni validar ninguna información. Han optado por no tener el cuidado necesario para proteger a la gente de los estafadores.

En Splashtop, creemos que los proveedores de herramientas de acceso remoto tienen la responsabilidad social de hacer todo lo razonable para evitar que los estafadores utilicen nuestras herramientas.

La adopción de un "código de conducta" para los proveedores de acceso remoto podría empezar por:

  • Validación de todos los usuarios, incluso para las pruebas gratuitas. Si tienes una casa en venta, no entregas las llaves a todas las personas que expresan su interés en visitarla. Entonces, ¿por qué algunos proveedores de acceso remoto entregan pruebas gratuitas de su software basándose sólo en una solicitud anónima, sin validar quién hace esa solicitud? Los proveedores de acceso remoto deben exigir el registro de los usuarios, así como la validación de sus direcciones de correo electrónico y otras credenciales, antes de permitir el uso de las herramientas, tanto en las pruebas gratuitas como en las compras de pago.
  • Supervisión de posibles abusos de la plataforma. Splashtop lleva mucho tiempo implementando metodologías para supervisar, identificar y recibir alertas sobre posibles estafadores que utilicen nuestros productos de software. Por ejemplo, cuando nuestro sistema detecta que un usuario de prueba se comporta de forma anormal, como tener muchas sesiones conectadas a ordenadores de diferentes países o estados, se genera automáticamente una alerta. La supervisión del comportamiento de los usuarios de prueba para ayudar a identificar a los estafadores debería ser una práctica habitual en nuestro sector.

Tomar estas medidas requiere una inversión, pero lo consideramos un aspecto importante para ser un proveedor de acceso remoto responsable. Al generar confianza con nuestros usuarios, muchas marcas importantes -como Disney, Marriott, FedEx, UPS, Toyota, los Centros para el Control y la Prevención de Enfermedades (CDC) de Estados Unidos, Stanford Health Care, la Escuela de Medicina de Harvard, Turner Broadcasting y Tapestry (empresa matriz de las marcas de moda de lujo Coach, Kate Spade y Stuart Weitzman)- han adoptado Splashtop como su solución de acceso remoto.

Descubra por qué Splashtop es la solución de acceso remoto más segura de . Y tú qué opinas: ¿Ha llegado el momento de que los proveedores de software de acceso remoto adopten un código de conducta para el uso responsable de nuestros productos?

Banner de Prueba Gratuita en la Parte Inferior del Blog