fbpx

La Seguridad Informática No Existe

La seguridad informática no existe. La razón ? Los usuarios son el eslabón más frágil de la cadena y siguen cometiendo errores

Si usted es de los que que cree que la seguridad informática existe, usted es un optimista. Sólo falta ver las cifras de ataques informáticos, robo de información, hackeo de cuentas, suplantación de identidad y demás reportados durante el 2014 para entender que existen dos tipos de empresas (y de personas): las que ya han sido hackeados y las que van a ser hackeados.  

“Existen dos tipos de empresas: las que ya han sido hackeados y las que van a ser hackeadas”  

La semana pasada tuve la oportunidad de asistir a una charla de los expertos de Eset sobre (in)seguridad informática. Llegué súper confiado, más en actitud de oír lo que querían contar sobre el estado actual de la seguridad en línea y obtener algunas cifras. Salí preocupado, desmotivado, atónito. 

Por qué? Porque el mensaje, a pesar de ser sencillo, sigue siendo el mismo: el eslabón más frágil en la cadena de seguridad sigue siendo el usuario final. Y si uno piensa en una empresa que tenga 100, 1.000, o 20.000 empleados imagínese el tamaño del riesgo que estamos corriendo. 

En un par de reportes titulados “Tendencias 2015: El Mundo Corporativo en la Mira” y “Eset Security Report 2105” el equipo de Eset resume las amenazas más importantes para la seguridad informática durante este año. Y aunque está enfocado en los ambientes corporativos, la verdad es que muchas de las amenazas afectan directamente al usuario final, a la persona. Es más, les recomendaría que visiten el www.welivesecurity.com/latam porque he encontrado información súper interesante acerca de lo que ocurre en materia de seguridad informática. Hay 4 temas que me parecieron interesantes de compartir y que son los focos de lo que se viene este 2015: 

  • Botnets
  • Malware (en los Puntos de Ventas)
  • Robo – Fuga de Información / Ataques Dirigidos
  • Internet de las Cosas

Si usted no está familiarizado con algunos de los términos, no se preocupe; no está sólo. Gran parte de los ataques que son exitosos lo son por el desconocimiento de los usuarios sobre su existencia y funcionamiento. Por eso, todos los expertos coinciden en afirmar que lo más importante que una empresa puede hacer es informar a sus usuarios, entrenarlos, enseñarles y – sobretodo – recordarles sobre los peligros que hay en línea. 

BotNets-America-Latina-EsetLos Botnets no son más que programas que funcionan de manera autónoma, ejecutando un código malicioso, y que buscan encontrar vulnerabilidades en un sistema o red para robar credenciales bancarias, robar información confidencial, guardar información ilegal y atacar sitios para no permitir su funcionamiento.

En el caso de América Latina, México (27.93%) y Perú (20.97%) fueron los países en los que más ataques con código malicioso de este tipo se presentaron. 

Este tipo de programa requiere de una instalación, una autorización de acceso, por parte de un usuario final. No pueden ejecutarse por sí solos a menos que alguien lo haya corrido por primera vez. Y es ahí donde el eslabón más frágil de la cadena, usted, entra en el juego. 

Por medio de algo que se conoce como “Ingeniería Social” los atacantes buscan información sobre los intereses de los usuarios y le envían un archivo “disfrazado” que muchos de estos terminan ejecutando en sus máquinas. Una vez ejecutado, este código malicioso se propaga por su máquina y por la red de la empresa.

Lo más loco del tema es que cerca del 50% de los usuarios de Facebook están seguros que no hay peligro de ser atacados dentro de esa red social y el número de ataques dentro de la misma viene creciendo de manera importante dentro de la misma. 

El Malware es la pesadilla más grande del mundo cibernético. Y en el 2014 su impacto se disparó por el reporte de casos súper notorios de Malware en terminales y puntos de venta. Este malware, que fue instalado en los lectores de tarjetas débito / crédito de compañías como Target y HomeDepot, permitió a los delincuentes robar miles de millones de registros y millones de dólares de los tarjetahabientes. Pero cómo pudo alguien instalar este software que roba información en los llamados POS? Fácil: el eslabón más frágil de la cadena olvidó cambiar los passwords de los dispositivos y dejó el password genérico, con el cual el ingreso fue tan fácil y sigiloso que las compañías se demoraron entre 2 y 5 meses en detectar que estaban siendo atacados. 

El Robo de Información es pan de cada día y, sin embargo, cada vez son menos los ataques que se presentan. Por qué? Porque cada día son más dirigidos y cada vez son más los datos que se roban en un mismo ataque. Este par de gráficas lo resumen claramente: 

Ataques-Mas-Dirigdos-Eset

Y por último está el tema más de moda en el mundo tecnológico: El Internet de las Cosas. Es un tema del que hemos hablado hasta el cansancio (un ejemplo aquí y otro acá), que está creciendo de forma exponencial y del que ya se han visto casos de vulnerabilidades que en la mayoría de los casos son poco conocidas por los usuarios.

Y es que si los usuarios no entienden los riesgos de aceptar invitaciones de amistad de personas que no conocen o de abrir cualquier attachment que reciben un su correo, menos caerán en cuenta de que los nuevos dispositivos que ahora se conectan a internet (su nevera, su cerrojo de la puerta de la casa, sus cámaras de seguridad inalámbricas) pueden ser vulnerados para obtener información suya, personal y confidencial.

Hace unos meses conocimos el caso de una compañía que había rastreado miles de cámaras de seguridad conectadas a internet, cuyos administradores habían dejado las claves genéricas, y ahora compartía su feed de video y su ubicación con cualquier persona! Piense: cámaras en cuartos de bebés, cámaras en puertas de edificios, etc., etc. Información que puede ser usada por cualquier delincuente para planear un robo. 

La seguridad informática NO EXISTE. Así como la seguridad total en el mundo físico tampoco. Lo único que uno puede hacer es minimizar los riesgos, siguiendo algunas pautas mínimas de seguridad a nivel personal y utilizando sistemas y programas, como los que comercializa Eset a nivel corporativo, que le permitan mitigar los riesgos.

Nota: las gráficas y datos usados para este artículo hacen parte del reporte de Eset 

  1. Es increíblemente preocupante la sensación que me deja este artículo, saber que a medida que ahondamos en un mundo de ensueño lleno de tecnología, donde todo lo podemos hacer de manera rápida, sin cables y elegantemente para facilitarnos la vida “objetivo de la tecnología” también nos volvemos supremamente vulnerables ante esta “inseguridad informática”, sin embargo estoy de acuerdo que a medida en que tomemos conciencia acerca de los riesgos que nos puede traer incursionar en la tecnología de las cosas y en lo que me gusta llamar, la tecnología de la vida, debido a que aproximadamente el 80% de nuestra vida diaria lo hacemos gracias a este acceso tan llamativo y tan sencillo a los dispositivos tecnológicos, nos iremos preparando para no dejar tantas aberturas en los procesos de seguridad, crear contraseñas fuertes, cambiarlas regularmente, no abrir correos extraños, no aceptar a extraños en redes sociales, en realidad son situaciones que dado el avance tecnológico de la última década se pensaría ya no cometemos, sin embargo aún hay una gran cantidad de la población mundial que siguen cayendo en ellos, quizá debido a la globalización de esta tecnología y al poco tiempo o preparación que han tenido al respecto, y que para algunos tecnología significa sólo redes sociales y fashion, cuando en realidad hay un sin número de actividades interesantes y realmente tecnológicas que se pueden realizar actualmente incluso desde tu iphone, es increíble un servicio como apple pay, o descargar apps sólo con la huella en tu celular, debido a esto debemos generar conciencia para saber que a medida que aumenta el desarrollo aumenta el riesgo y es nuestra responsabilidad después de quienes nos ofrecen los servicios, crear las estrategias para ser lo menos vulnerables posibles y por qué no, que nuestro sistema de seguridad informática sea realmente seguro… valga la redundancia.

Deja un comentario