En el mundo de la seguridad informática, una de las frases más escuchadas es: “La pregunta no es si va a sufrir un ataque, sino cuándo lo va a sufrir“. Pero para Diego Samuel Espitia –embajador e investigador en ciberseguridad de ElevenPaths, la unidad de ciberseguridad de Telefónica– la pregunta ni siquiera debería ser esa. Para él, debería ser: “¿Se dio cuenta de que ya sufrió un ataque?“.
El problema es que cada vez es más difícil notarlo. Síntomas como que el computador se recalienta, que se pone lento o que se abren ventanas sospechosas son cada vez menos evidentes. “Eso era antes, en los ataques de los 80, de los 90, en los que el atacante pensaba en generar muestras de su impacto para adquirir fama. Hoy esto es un negocio y hemos visto casos en los que al hacer el análisis y la reconstrucción de los incidentes, nos damos cuenta de que los delincuentes llevan 8 meses, un año en la red de una empresa, y en ella no se habían dado cuenta“.
Las cosas para las compañías y los usuarios se complican en la medida en que el volumen de ataques parece inmanejable. Cada mes, la empresas de seguridad informática reportan entre 1.200 y 1.800 CVE (la sigla en inglés para los reportes de las vulnerabilidades comunes). En ese orden de ideas, señala Espitia, el análisis cada semestre o cada mes resulta inútil, si hay entre 1.200 y 1.800 alternativas para recibir un ataque en ese lapso. La protección tiene que ser una política “permanente y persistente“.
Esos reportes, sin embargo, son los que les permiten a las empresas generar los parches de seguridad para los sistema operativos, por lo que los usuarios no deberían dejar de instalar ninguna de las actualizaciones que se distribuyen con frecuencia. Una actualización semanal puede llegar a contener más de 100 parches de seguridad.
Parece un escenario muy crítico… pero puede ser incluso peor: según estadísticas citadas por Espitia, en Estados Unidos, el 60 % de las empresas medianas o pequeñas que sufre un ataque cibernético no se recupera. El 80 % de los ataques que se produce comienza con un correo malicioso (phishing), y recientemente se ha encontrado que hay casos en los que el mensaje ni siquiera le llega directamente al personal de una empresa atacada, sino a un miembro de su familia que está trabajando o estudiando en forma remota, desde la misma red que el empleado. “Empezó por el niño o la esposa, que entraron a la red de la casa; desde ella [los atacantes] saltaron al computador del empleado que está teletrabajando, se dieron cuenta de que lo hacía para una compañía que podían afectar, saltaron a la red de la empresa, la analizan, lanzaron el secuestro de información y… apague y vámonos“.
Y el personal de ciberseguridad en las empresas es como el arquero de un equipo de fútbol: puede sacar 100 balones durante los 90 minutos, pero si le entra uno en el descuento, se pierde el partido. Para el investigador de ElevenPaths, la diferente es que en el mundo de la seguridad informática no es un arquero contra un delantero que lleva un balón, sino un arquero contra 10.000 delanteros, cada uno de los cuales lleva 10.000 balones. “Ahí es cuando se debe tener conciencia de que si te piden cambiar la contraseña o poner doble factor de autenticación, o cuando te instalan un controlador de navegación no es porque el de Sistemas quiera molestarte la vida e incomodarte el trabajo“.
¿Y entonces? ¿Qué podemos hacer para protegernos?
En un escenario en el que los ciberdelincuentes parecen tener el sartén por el mango, Diego Samuel Espitia da algunas recomendaciones para reducir la probabilidad de ser víctima de un ataque cibernético, que resumimos de la siguiente manera:
- Mantener actualizados los equipos y las herramientas de seguridad. Aquí, Espitia es enfático al recordar que los equipos no son solo los computadores de escritorio y portátiles, sino también los celulares y virtualmente cualquier dispositivo conectado a la red. Y no importa el sistema operativo: las actualizaciones y las herramientas de seguridad son para todos.
- Ser cuidadosos con la información que se divulga de uno mismo. Algo tan sencillo como publicar la foto del carro nuevo, en la que se ve el número de la placa y se puede identificar el lugar donde vive el nuevo propietario es una acción peligrosa. Hoy, lo que se publica en redes sociales se comparte con el mundo. “Cuando éramos pequeños, nuestros padres nos decían ‘no hables con nadie, no recibas nada de nadie; si estás en el bus, concentrado en ti, no te vas a poner a hablar con nadie’. Así mismo, hazlo en tu entorno digital. Tú no tienes por qué estar aceptando a quién no conoces, contando tu vida…“.
- El correo electrónico merece un capítulo aparte, pues muchos de los ataque comienzan con mensajes que usan la ingeniería social para asustar a las personas y generar acciones (abrir un archivo adjunto, visitar un enlace) que desencadenan acciones más complejas y perjudiciales. En ese orden de ideas, Espitia recomienda:
- No abrir nada que llegue a la carpeta de spam. “Si llegó ahí, es por algo. ¿Por qué digo esto? Porque existen varias campañas de vishing en las que te llaman y te dicen ‘oye, te ganaste algo, te vamos a dar algo, tienes una subvención… el correo te lo enviamos, ¿no lo has recibido? Mira en la carpeta de spam, que muy seguramente está ahí’. Entras y caes“. De hecho, ilustra el especialista de ElevenPaths, si los sistemas de correo no tuvieran todos los mecanismos de defensa que tienen, un usuario promedio recibiría al día entre 100.000 y 200.000 mensajes… (por si usted creía que los 100 que recibe al día ya son muchos).
- “Lo que te llegue a la bandeja de entrada, analízalo bien. En Latinoamérica, en los últimos 8 o 10 meses se han incrementado bastante los ataques que se llaman BEC (Business Email Compromise), que son suplantaciones a personal de alto perfil en las organizaciones […]. Si te llega un correo de tu jefe diciéndote que es urgente que le hagas una transacción, que es urgente que le envíes una información, tómate el tiempo de pensarlo, de llamarlo, de confirmarlo, porque por ahí están robando mucho dinero. A una empresa española le robaron 100.000 euros en 10 minutos con un correo así“.
- Hay que analizar bien los adjuntos. En los macros de los documentos adjuntos puede venir oculto código malicioso. ElevenPaths desarrolló una herramienta gratuita llamada Diario, que puede descargar en este enlace… y bueno, hace un rato le dijimos que no haga clic en todos los enlaces, pero esperamos que tenga en cuenta que Impacto TIC y ElevenPaths son fuentes confiables.
- ¡Desconfíe de todo! Hasta de los mensajes de la tía. “Si te llega un mensaje de texto diciéndote que bajes la mejor aplicación de juegos que puede existir, ese mensaje de texto no te llega por casualidad; ese mensaje te llega porque ya te han hecho un análisis previo, una ingeniería social. Te llega porque te están cazando. Todo eso es lo que la gente tiene que empezar a entender“. Y la mención de la tía tampoco es casualidad: “La gente cree que esto es solo técnico, que si tú no sabes de bits y de bytes, nadie te va a poder atacar y que si en la foto no apareces con dinero, no pasa nada. Pero hay mil ataques no técnicos que son la base de cómo arranca realmente un ataque sofisticado“.
Pero incluso con todas las precauciones de por medio, garantizar la seguridad no es completamente posible: “No recuerdo el nombre de quien lo dijo, pero alguien afirmó que el único computador seguro es aquel que está apagado, desenchufado, desconectado de la red, bajo tierra y con escoltas… y aun así no confiaría en su información“, sentencia Espitia.
Educación, educación, educación
Sin embargo, el mundo ya está lo suficientemente paranoico con el COVID-19 como para agregarle una más a las causas de estrés. Si bien todo lo dicho hasta ahora es una verdad de a puño, también es cierto que las empresas que se especializan en seguridad informática hacen un trabajo cada vez más preventivo –hasta hace unos años era más reactivo, pero en esa materia se ha evolucionado bastante–, para ayudarles a las organizaciones a elevar sus estándares de protección.
Y la mejor noticia es que lo hacen de manera colaborativa, destaca Diego Samuel Espitia. No va cada una por su lado guardándose secretos y fórmulas mágicas, sino que establecen alianzas para enfrentar de manera cada vez más eficiente la diferentes amenazas que hay en el ciberespacio, pero que cada vez afectan más al mundo real: “El mundo físico no es muy diferente al mundo cibernético en muchos sentidos, y hoy día que están tan juntos y tan mezclados puede haber ataques ciberfísicos, que pueden iniciarse con un correo y terminan vendiendo tu casa“.
Al respecto, el investigador de ElevenPaths también destaca el hecho de que la seguridad informática ya no es un asunto aislado de los departamentos de tecnología de las empresas, sino que sus implicaciones son una preocupación clara de la cúpula de las compañías, por lo que en ella se involucran todos los empleados, desde el CEO.
Y ese “todos los empleados” tiene un valor fundamental, por lo que todas las iniciativas que se emprendan para mejorar las condiciones de ciberseguridad de las empresas deben tener un componente fundamental: la educación.
No ganamos nada poniendo 200 máquinas, gastándonos millones de dólares en tecnología, si el empleado sigue usando “diosmio” como contraseña.
Diego Samuel Espitia
Y no, no es un mensaje con carácter religioso. Igual, entre las comillas podría estar “12345678“, “qazwsx” o el nombre de la pareja o la fecha de nacimiento del empleado. Lo cierto es que, como todo lo que tiene que ver con Transformación Digital, lo que se invierta en tecnología es inútil si no hay una cultura que respalde los avances que pueden lograr con el cambio.
[su_box title=”‘Curiosidad malsana…'” style=”default” box_color=”#F73F43″ title_color=”#FFFFFF” radius=”0″]
Aprovechamos la oportunidad de hablar con Diego Samuel Espitia para hacerle un par de preguntas, por física ‘curiosidad malsana’, cuyas respuestas nos ayudaron a entender un poco más claramente algunos temas a los que los ciudadanos normales nos enfrentamos a diario.
¿Por qué recomiendan que las contraseñas tengan números, letras y caracteres especiales pero, por ejemplo, hay entidades bancarias que no admiten caracteres especiales dentro de las contraseñas para acceder a sus servicios en línea?
A todos nos recomiendan no dar nuestros números de cédula, pero en Internet hay bases de datos de aspirantes a cargos públicos que tienen su número de cédula, o en los edificios nos la piden y la escanean para poder entrar. ¿Estamos un poco desalineados en temas de seguridad?
[/su_box]