Image Image Image Image Image Image Image Image Image Image
Scroll to top

Top

One Comment

La Seguridad Informática No Existe

Samir Estefan

Si usted es de los que que cree que la seguridad informática existe, usted es un optimista. Sólo falta ver las cifras de ataques informáticos, robo de información, hackeo de cuentas, suplantación de identidad y demás reportados durante el 2014 para entender que existen dos tipos de empresas (y de personas): las que ya han sido hackeados y las que van a ser hackeados.  

“Existen dos tipos de empresas: las que ya han sido hackeados y las que van a ser hackeadas”  

La semana pasada tuve la oportunidad de asistir a una charla de los expertos de Eset sobre (in)seguridad informática. Llegué súper confiado, más en actitud de oír lo que querían contar sobre el estado actual de la seguridad en línea y obtener algunas cifras. Salí preocupado, desmotivado, atónito. 

Por qué? Porque el mensaje, a pesar de ser sencillo, sigue siendo el mismo: el eslabón más frágil en la cadena de seguridad sigue siendo el usuario final. Y si uno piensa en una empresa que tenga 100, 1.000, o 20.000 empleados imagínese el tamaño del riesgo que estamos corriendo. 

En un par de reportes titulados “Tendencias 2015: El Mundo Corporativo en la Mira” y “Eset Security Report 2105” el equipo de Eset resume las amenazas más importantes para la seguridad informática durante este año. Y aunque está enfocado en los ambientes corporativos, la verdad es que muchas de las amenazas afectan directamente al usuario final, a la persona. Es más, les recomendaría que visiten el www.welivesecurity.com/latam porque he encontrado información súper interesante acerca de lo que ocurre en materia de seguridad informática. Hay 4 temas que me parecieron interesantes de compartir y que son los focos de lo que se viene este 2015: 

  • Botnets
  • Malware (en los Puntos de Ventas)
  • Robo – Fuga de Información / Ataques Dirigidos
  • Internet de las Cosas

Si usted no está familiarizado con algunos de los términos, no se preocupe; no está sólo. Gran parte de los ataques que son exitosos lo son por el desconocimiento de los usuarios sobre su existencia y funcionamiento. Por eso, todos los expertos coinciden en afirmar que lo más importante que una empresa puede hacer es informar a sus usuarios, entrenarlos, enseñarles y – sobretodo – recordarles sobre los peligros que hay en línea. 

BotNets-America-Latina-EsetLos Botnets no son más que programas que funcionan de manera autónoma, ejecutando un código malicioso, y que buscan encontrar vulnerabilidades en un sistema o red para robar credenciales bancarias, robar información confidencial, guardar información ilegal y atacar sitios para no permitir su funcionamiento.

En el caso de América Latina, México (27.93%) y Perú (20.97%) fueron los países en los que más ataques con código malicioso de este tipo se presentaron. 

Este tipo de programa requiere de una instalación, una autorización de acceso, por parte de un usuario final. No pueden ejecutarse por sí solos a menos que alguien lo haya corrido por primera vez. Y es ahí donde el eslabón más frágil de la cadena, usted, entra en el juego. 

Por medio de algo que se conoce como “Ingeniería Social” los atacantes buscan información sobre los intereses de los usuarios y le envían un archivo “disfrazado” que muchos de estos terminan ejecutando en sus máquinas. Una vez ejecutado, este código malicioso se propaga por su máquina y por la red de la empresa.

Lo más loco del tema es que cerca del 50% de los usuarios de Facebook están seguros que no hay peligro de ser atacados dentro de esa red social y el número de ataques dentro de la misma viene creciendo de manera importante dentro de la misma. 

El Malware es la pesadilla más grande del mundo cibernético. Y en el 2014 su impacto se disparó por el reporte de casos súper notorios de Malware en terminales y puntos de venta. Este malware, que fue instalado en los lectores de tarjetas débito / crédito de compañías como Target y HomeDepot, permitió a los delincuentes robar miles de millones de registros y millones de dólares de los tarjetahabientes. Pero cómo pudo alguien instalar este software que roba información en los llamados POS? Fácil: el eslabón más frágil de la cadena olvidó cambiar los passwords de los dispositivos y dejó el password genérico, con el cual el ingreso fue tan fácil y sigiloso que las compañías se demoraron entre 2 y 5 meses en detectar que estaban siendo atacados. 

El Robo de Información es pan de cada día y, sin embargo, cada vez son menos los ataques que se presentan. Por qué? Porque cada día son más dirigidos y cada vez son más los datos que se roban en un mismo ataque. Este par de gráficas lo resumen claramente: 

Ataques-Mas-Dirigdos-Eset

Y por último está el tema más de moda en el mundo tecnológico: El Internet de las Cosas. Es un tema del que hemos hablado hasta el cansancio (un ejemplo aquí y otro acá), que está creciendo de forma exponencial y del que ya se han visto casos de vulnerabilidades que en la mayoría de los casos son poco conocidas por los usuarios.

Y es que si los usuarios no entienden los riesgos de aceptar invitaciones de amistad de personas que no conocen o de abrir cualquier attachment que reciben un su correo, menos caerán en cuenta de que los nuevos dispositivos que ahora se conectan a internet (su nevera, su cerrojo de la puerta de la casa, sus cámaras de seguridad inalámbricas) pueden ser vulnerados para obtener información suya, personal y confidencial.

Hace unos meses conocimos el caso de una compañía que había rastreado miles de cámaras de seguridad conectadas a internet, cuyos administradores habían dejado las claves genéricas, y ahora compartía su feed de video y su ubicación con cualquier persona! Piense: cámaras en cuartos de bebés, cámaras en puertas de edificios, etc., etc. Información que puede ser usada por cualquier delincuente para planear un robo. 

La seguridad informática NO EXISTE. Así como la seguridad total en el mundo físico tampoco. Lo único que uno puede hacer es minimizar los riesgos, siguiendo algunas pautas mínimas de seguridad a nivel personal y utilizando sistemas y programas, como los que comercializa Eset a nivel corporativo, que le permitan mitigar los riesgos.

Nota: las gráficas y datos usados para este artículo hacen parte del reporte de Eset