Cada vez son más frecuentes las noticias que salen a la palestra relacionadas con el ámbito de la ciberseguridad y, por tanto, relacionadas con la seguridad de la información en sentido amplio.
Así, nos encontramos con casos que ya tienen un cierto tiempo, como es el archiconocido ataque a Sony Pictures o el robo de fotografías a celebridades alojadas en iCloud. A éstos, se les unen cada día noticias como el mediático caso de la web de citas Ashley Madison o la ridícula expoliación y posterior difusión pública de toda la información corporativa de la compañía italiana –autoproclamada experta en seguridad– Hacking Team.
A la fecha de este artículo seguro que habrá otras muchas noticias similares que se habrán dado a conocer, ya que la tendencia alcista de este tipo de incidentes es clara. Estos ataques mediáticos casi siempre están vinculados con grandes corporaciones, agencias gubernamentales con gran presencia en Internet y mucha visibilidad. Hay que tener en cuenta, que solamente se conocen aquellos casos que han conseguido publicidad suficiente y tienen cierta repercusión social. Pero sin duda, cientos de ataques en el mundo suceden cada día.
Las causas y motivaciones que incitaron estos ciberataques pueden ser de lo más diversas. En la mayoría de los casos puede ser bastante complejo llegar a conocer el objetivo final del mismo, el detalle de qué técnica se utilizó o qué vulnerabilidad concreta se explotó para llevarlo a cabo. De igual modo, únicamente se suelen dar a conocer aquellos casos en que los que se ha logrado franquear exitosamente las medidas de seguridad de las compañías. Muchas veces, los propios artífices son los que se encargan de filtrar esa “exitosa hazaña” bajo seudónimos.
Entender la ciberseguridad nos ayudará a evitar problemas presentes y futuros.
Recientes estudios indican que las inversiones en ciberseguridad a nivel mundial supondrán varios cientos de miles de millones de dólares, y que en algunos sectores empieza a ser un factor de peso frente a terceros. Por ejemplo, Standars&Poors ha publicado recientemente que bajará el rating a los bancos que no estén bien protegidos frente a los ciberataques.
Con casos como los que acabamos de mencionar sería lógico pensar que el público general va siendo consciente de la importancia de la seguridad de la información en el día a día, pero lo cierto es que a día de hoy muchos directivos (más de los que pensamos), a pesar del temor al impacto que una hipotética brecha en la seguridad podría hacer a sus compañías, no lo acompañan de la inversión o atención suficiente.
El caso de Ashley Madison es un claro ejemplo de ello. En esta ocasión, la confidencialidad fue el objetivo de los hackers, pero ¿qué pudo fallar?
Es posible que durante el ciclo de vida de creación de la web no se siguieran técnicas de desarrollo seguro o simplemente no se testearan. En ese caso, el código web se convierte en algo vulnerable y susceptible de ataque. Muchas veces, la creación de una web se externaliza con una empresa a la que no se exigen ciertos requisitos de seguridad. También podría ser que hubiera fallos o retrasos de actualizaciones en los servidores, que no se realizaran pentestings periódicos, que se hicieran transferencias inseguras de datos por errores de diseño en la arquitectura o que hubieran insuficientes medidas de seguridad de red, entre otras muchas cosas.
Otro enfoque podría ser que no existiera un protocolo adecuado en la gestión de usuarios o contraseñas y quedaran cuentas de antiguos empleados –probablemente descontentos-, que hayan decidido convertirse en el dolor de cabeza de la compañía.
Fallos en la cadena de suministro (brechas de seguridad en proveedores), filtrado de información mediante el uso de ingeniería social a empleados o colaboradores, o simplemente la inexistencia o incorrecta configuración de mecanismos de monitorización proactiva para identificar posibles ataques o brechas, alertas de anti-intrusión o alarmas frente a patrones de salida masiva de datos.
Todas estas medidas y muchas más hubieran ayudado a identificar el punto de fallo lo antes posible, contenerlo y evitar el desastre: que no te copien 20 gigas de información y que, metafóricamente, se te queme la casa y encima ni te enteres -o lo hagas el último-.
Para enfrentarse a estas y otras amenazas, poco a poco las compañías van estableciendo más y mejores mecanismos de seguridad para protegerse. Así, hemos pasado de copias de seguridad y antivirus locales en los equipos, a anti-spam en el correo electrónico, firewalls de nueva generación para proteger las redes corporativas o cifrado de comunicaciones y portátiles. Pero aún queda mucho camino por recorrer.
El ámbito tecnológico, y en este caso la ciberseguridad, es una dimensión más de la vida, donde igual que en las relaciones humanas y empresariales, coexisten amigos de lo ajeno de guante blanco o de baja estofa. Por eso, hay que entender lo relacionado con la seguridad de la información como una parte vital de las compañías, a la que prestarle toda la atención e inversión necesaria.
No sólo las grandes corporaciones son objetivo de ciberataques. Las empresas de tamaño pequeño y mediano ya son víctimas de ataques como los malware Cryptolocker o Cryptowall -secuestran archivos-, que avanzan progresivamente como una plaga. Por lo general, este tipo de empresas, la empresa “común”, avanza en seguridad pero sin cubrir todos los frentes o tapando todos los huecos que podrían tener.
Toda precaución es poca. La ciberseguridad, a pequeña o gran escala, debe ser el escudo al que alimentemos permanentemente y nunca descuidemos.
Si a cualquiera de nosotros trata de robarnos un carterista de primer nivel o entra en nuestra casa un experto caco, las medidas convencionales de seguridad no le supondrán un gran impedimento, pero no por ello dejamos la puerta blindada de nuestra casa abierta, la combinación de la caja de seguridad en una nota autoadhesiva o 1.000€ en billetes encima de la cómoda.
Entender la ciberseguridad del mismo modo nos ayudará a evitar problemas presentes y futuros. Pregúntate si haces suficiente, seas quien seas.
Socio en el Área de Seguridad de la Información de AUREN
