Los ciberataques y la ciberseguridad

|
23/3/2015 00:00
|
Actualizado: 23/3/2015 00:00
|

Javier Puyol, abogado y socio de Ecix Group

Un ciberataque es cualquier tipo de acción ofensiva que apunta a los sistemas informáticos, las infraestructuras, las redes de ordenadores o los dispositivos digitales personales y que se realiza mediante diversos actos malintencionados con el fin de sustraer, modificar o destruir un objetivo concreto. El objetivo puede ser el de obtener dinero, datos o tecnología de la información. La seguridad es algo que incumbe no sólo a los profesionales de la informática, sino a todos los empleados de una empresa. Los aspectos legales y organizativos, así como gestionar las incidencias o definir responsabilidades, son del mismo modo aspectos vitales para evitar amenazas, debiéndose implementar las garantías adecuadas al efecto, aunque es cierto que  hay muchas amenazas que requieren de la adopción de medidas específicas.  

La seguridad, para que esté en pleno estado de forma, hay que entrenarla. Por tanto, es necesario llevar a cabo un mantenimiento diario, actualizando los sistemas, los conocimientos y adaptando todo lo relacionado con la informática de la empresa a todos los requerimientos legales. En este sentido, debe tenerse en cuenta que la confidencialidad es también algo sumamente para cualquier empresa, y que desde luego vincula a todas. Es muy importante establecer acuerdos de confidencialidad, y que los mismos vinculen a todas las personas (empleados, proveedores, clientes) que estén en contacto con la información secreta de la empresa, y por ello se hace imprescindible adoptar una estrategia permanente en el seno de la empresa de concienciación en seguridad de la información

Los ciberataques se han convertido en una de las mayores amenazas para cualquier entorno con información digital de valor. Además, la pérdida o robo de datos debido a la inseguridad de la infraestructura, puede afectar seriamente la imagen de una entidad. La temprana reacción ante un ataque informático podrá permitir minimizar las consecuencias negativas y favorecer una posible investigación del caso. No obstante, la falta de profesionales que dispongan de las competencias, ofrece serias ventajas a los ciberdelincuentes, que ven como la mayoría de entornos disponen de agujeros debidos a la poca o nula monitorización de sistemas y la falta de expertos capaces de reaccionar ante un incidente. En definitiva, se hace necesario entender las nuevas ciberamenazas, y tomar las decisiones para reaccionar ante ellas, así como adoptar las medidas de protección y detección necesarias para minimizar el impacto de los posibles ataques.

En el examen de las cuestiones derivadas de la implantación de las medidas de seguridad en la red, es necesario distinguir entre los daños causados por una amenaza informática y un ciberataque. A primera vista puede parecer que hablamos de dos cosas iguales, pero hay diferencias. Cuando se habla de amenazas informáticas, normalmente se refiere a todo tipo de malware que busca infectar el mayor número de sistemas, sin diferenciar entre ordenadores de usuarios particulares y de empresas. En estos casos se busca el beneficio inmediato por parte del ciberdelincuente y no se discrimina entre los datos obtenidos si la finalidad del malware es el robo de información.  En la práctica habitual, los ciberdelincuentes lanzan sus ataques para sustraer dinero o datos, para cometer fraude, espionaje ilegal o extorsión. La ciberdelincuencia puede dañar las principales redes y servicios de los que se depende para la salud, la seguridad y el bienestar económico, incluidas las redes gubernamentales, de transporte y de energía.

La amenaza de los ataques cibernéticos crece al mismo ritmo que se incrementa la dependencia de internet y de la tecnología digital. Debe tenerse muy presentes que los ciberataques pueden tener un impacto importante en las empresas y en la economía en general. Y normalmente se materializan en las siguientes acciones:

— Fraude en línea

— Usurpación de identidad

— Robo de propiedad intelectual

— Espionaje

— Pérdida de datos de los clientes

— Robo en línea (directo) a empresas

— Extorsión

— Fraude fiscal

Los ciberataques causan enormes daños económicos cada año. El coste debe tener en cuenta lo siguiente:

— pérdida de propiedad intelectual y de datos confidenciales;

— costes de oportunidad, incluidas las interrupciones de servicio y de trabajo;

— daños a la imagen de marca y la reputación de la empresa;

— sanciones e indemnizaciones a los clientes (por los inconvenientes o las pérdidas consiguientes), o compensaciones contractuales (por retrasos, etc.);

— coste de las medidas para contrarrestar los daños y de los seguros;

— coste de las estrategias de mitigación y recuperación de los ciberataques;

— pérdida de actividad comercial y de competitividad;

— distorsión de los intercambios comerciales; y

— pérdida de empleos.

Las técnicas de ataque cibernético están en constante evolución, y en este sentido, se puede establecer la siguiente clasificación:

— Un ciberataque por lo general implica utilizar un vector de ataque mediante el cual un ciberdelincuente puede obtener acceso a credenciales de identidad en línea, a un ordenador o un servidor a fin de conseguir un resultado malintencionado. Entre los vectores de ataque más comunes se incluyen dispositivos USB, ficheros adjuntos en el correo electrónico, páginas web, ventanas emergentes, mensajes instantáneos, foros de diálogo (chats), y también técnicas de engaño, como los ataques por suplantación de identidad (phishing).

— Las formas más comunes de ciberataque implican introducir los llamados «programas maliciosos». Un programa malicioso (malware) es un programa informático que piratea un dispositivo digital con objetivos ilícitos, por ejemplo, para robar credenciales o dinero, o para expandirse a otros dispositivos. Los programas maliciosos incluyen virus (incluidos gusanos y troyanos), ransomeware, spyware, adware, scareware y otros programas malintencionados. Por ejemplo, el ransomeware es un tipo especial de programa malicioso que bloquea el acceso al sistema al que infecta y exige un rescate para desbloquearlo.

— Los programas maliciosos también pueden hacer que un ordenador se convierta en un «zombi» conectado a una red infectada (botnet), que el delincuente controla para atacar a las víctimas.

— Los ataques de envío de correos basura, también denominados spam, se producen enviando mensajes de correo electrónico masivos no deseados, con frecuencia para engañar a la víctima para gastar dinero en productos falsificados. Las redes infectadas se utilizan para enviar la mayoría de los mensajes de correo basura.

— Los ataques por suplantación de identidad son intentos de hacerse con la identificación de usuario, la contraseña y los detalles de las tarjetas de crédito de un usuario, haciéndose pasar por una entidad de confianza, de modo que el delincuente pueda asumir el control de las cuentas de correo electrónico, las redes sociales y las cuentas bancarias de la víctima. Los ataques por suplantación de identidad son un instrumento especialmente eficaz para los delincuentes, ya que el 70 % de los usuarios de internet eligen la misma contraseña para casi todos los servicios web que utilizan.

— Los ciberdelincuentes a veces utilizan un ataque de denegación de servicio (Denial of Service, DoS) para extorsionar a las empresas u organizaciones. Un ataque de denegación de servicio es un intento de saturar un sistema o un recurso de red con solicitudes externas de comunicación, de manera que no pueda responder al tráfico legítimo de datos o que su respuesta sea tan lenta que en esencia quede indisponible. En los ataques de denegación de servicio los delincuentes utilizan, nuevamente, las redes infectadas.

Por todo ello, los ciudadanos y las empresas deben adoptar medidas prioritarias para protegerse de los ataques cibernéticos. Estas prácticas deberían comunicarse en todos y cada uno de los programas de formación y sensibilización en materia de ciberseguridad:

a). Los ciudadanos deben:

— utilizar contraseñas de acceso sólidas y fáciles de recordar;

— instalar programas antivirus en los productos nuevos;

— controlar la configuración de su privacidad en las redes sociales;

— comprar en línea de forma segura, controlando siempre que los puntos de venta minorista en línea sean seguros; y

— descargar los parches de las aplicaciones y los programas informáticos cuando se les solicite que lo hagan.

b). Las empresas deben:

— crear «listas autorizadas» (whitelisting);

— utilizar configuraciones de sistema seguras y conformes con las normas;

— aplicar parches de actualización de programas de aplicaciones en un plazo de 48 horas;

— aplicar parches de actualización de sistemas en un plazo de 48 horas; y

— reducir el número de usuarios que tienen «privilegios de administración».

Vinculados a esta política de prevención en materia de seguridad, se recomienda por Josep Albors, seguir las siguientes pautas o criterios:

a). Controlar los activos, posibles riesgos y los recursos disponibles: muchas veces se desconocen la cantidad de sistemas que se manejan en la empresa y esto supone un riesgo potencial para la seguridad. Si se catalogan todos los sistemas los mismos se pueden  controlar y mantener seguros, evitando así que alguien se aproveche de una vulnerabilidad en una máquina de la que no se conoce su existencia y consiga acceder a la red corporativa. Del mismo modo, ha de asegurarse que se cumplan una serie de procedimientos que eviten riesgos innecesarios. Tareas tan básicas como mantener al día una política de actualizaciones de seguridad en todos los sistemas son muchas veces olvidadas y suponen uno de los vectores de entrada de muchas amenazas. Es importante también controlar las conexiones entrantes y salientes, definiendo muy bien quién podrá acceder a los recursos de la empresa desde el exterior y cómo.

b). Definir los procedimientos: para controlar el punto anterior se han de definir una serie de procedimientos o políticas que nos ayuden a catalogar y manejar los activos y recursos. Un ejemplo clásico es el control de acceso a la información por parte de los empleados. Muchas empresas suelen definir diferentes niveles de acceso y controles para que según qué tipo de información no sea accesible desde el exterior. Es importante recordar que el control de la información no es algo opcional, sea cual sea el tamaño de la empresa. No solo por los controles que se impongan por la legislación vigente, sino también porque, a la hora de cerrar acuerdos o contratos, estos aspectos son también muy importantes y no es extraño ver que se solicite el cumplimiento de estos requisitos.

c). Implementar controles para asegurar el cumplimiento de las políticas: se ha de asegurar la aplicación de las políticas mencionadas en el punto anterior mediante una serie de controles. Si, como se ha dicho, se quiere controlar el acceso a la información por parte de los empleados, se debe implementar un mecanismo de autenticación que permita verificar la identidad de los empleados autorizados. Estos controles han de ser probados a conciencia para asegurar que no se deja algún aspecto por revisar. Además se han de ir renovando constantemente según se vaya viendo que se incrementan o cambian los activos y sistemas a controlar.

d). Educar a todo el personal de la empresa: aunque no lo parezca, esta es la tarea más complicada. Todos los que utilicen los recursos de la empresa o tengan acceso a su información deben estar informados de las políticas y procedimientos que se aplican y de cómo reaccionar ante un incidente de seguridad para comunicarlo a través de los canales adecuados. Esto implica que desde los empleados en pruebas hasta la dirección de la empresa, y que cubra el uso de todos los dispositivos que se almacenan  o se disponga de acceso a información privada, incluyendo estaciones de trabajo, servidores, portátiles, móviles, tablets, discos extraíbles, etc.

e). Auditorías, pruebas y más pruebas: una vez implementado todo lo anterior es muy recomendable que una empresa externa especializada audite las políticas y procedimientos aplicados para revisar que se adecuan a nuestras necesidades y a cumplir la legislación vigente. A día de hoy existen muchas empresas capacitadas para realizar esta tarea pero se ha de tener en cuenta que una buena auditoría tiene sus costes en dinero y tiempo, y que se han de realizar periódicamente. De nada sirve realizar una auditoría cuando se termina de implementar las políticas si, al cabo de un tiempo, no se revisa que se cumplan todas las políticas y aparecen nuevos problemas.

La información sensible de las PyMEs, tales como los números de cuentas bancarias, información de tarjetas de crédito, datos de clientes y registros de los empleados se está enfrentando cada día a más y nuevos riesgos. Constituye un hecho cierto que las pequeñas empresas a menudo carecen de suficiente apoyo en materia de TI para mantenerse al día de las amenazas cibernéticas potenciales; por ello necesitan una ayuda especial con el fin de protegerse contra los ciberataques. Del mismo modo, constituye un hecho cierto que las PyMEs muestran un interés cada vez mayor y un incremento en  las inversiones para  proteger su información, ya que sitúan la pérdida de datos y los ciberataques entre sus principales riesgos empresariales, por delante de la actividad delictiva tradicional, de los desastres naturales y del terrorismo. 

Simanthec, de manera específica ha establecido una serie de recomendaciones de carácter preventivo a seguir para las Pymes, ante la posibilidad de producción de ciberataques, que son entre otras las que se citan a continuación:

a). Capacitar a los empleados: desarrollar lineamientos para seguridad en Internet y educar a los empleados sobre mejores prácticas y las últimas amenazas.  Parte de la formación debería centrarse en la importancia del cambio periódico de contraseñas y en la protección de dispositivos.

b). Proteger información empresarial importante: Las PyMEs enfrentan mayores riesgos para su información confidencial, por lo que hay que protegerla. Una fuga de datos podría significar la ruina financiera de una PyME. Es recomendable implementar una solución de protección completa para garantizar la seguridad de la información confidencial (como datos de tarjetas de crédito, información de clientes o registros de los empleados).

c). Implementar un plan efectivo para la recuperación y realizar copias de seguridad:  La protección de la información deber ir más allá de la simple puesta en marcha de una solución antivirus.  Las copias de seguridad y la recuperación de datos y equipos son componentes esenciales para proteger de forma integral la información y para mantener los equipos de escritorio, servidores y  aplicaciones para las PyMEs funcionando perfectamente cuando ocurra algún problema—ya sea una inundación, un terremoto, un virus o un fallo del sistema.  Un corte de luz podría generar clientes descontentos y una inactividad costosa, algo que puede ser catastrófico para el negocio.  

d). Proteger los recursos del correo electrónico y Web: seleccionar una solución de seguridad Web y de correo electrónico que pueda ayudar a mitigar el spam y las amenazas al correo electrónico para que las PyMEs puedan proteger sus datos confidenciales y dedicar más tiempo a sus actividades diarias. Los spammers y estafadores utilizarán acontecimientos actuales y tácticas de ingeniería social para que los usuarios entreguen información personal como datos de tarjetas de crédito, contraseñas e información bancaria.

En aras de ello, se hace necesario proceder a divulgar la producción de los ciberataques y los puntos vulnerables del sistema es esencial para luchar contra los ataques cibernéticos, especialmente a la hora de abordar los llamados «ataques de día cero», es decir, nuevas variedades de ataques no conocidos previamente en la comunidad responsable de la ciberseguridad. No obstante, las empresas muchas veces no hacen públicos los ciberataques debido al miedo de que sean perjudiciales para su fiabilidad y su reputación. Este silencio atenta contra la capacidad general para responder con celeridad y eficacia a las amenazas cibernéticas, y para mejorar en general la ciberseguridad mediante el intercambio de conocimientos. 

Constituye una práctica habitual que los ciudadanos y las empresas compren accesos y servicios de internet a través de los proveedores de servicios de internet, por ello, y debido a su papel fundamental en la prestación de servicios en línea, es vital que los proveedores de servicios de internet proporcionen a sus clientes el mayor nivel posible de protección contra los ataques cibernéticos.  Y todo ello debe producirse además de garantizar que sus propios servicios e infraestructuras, siendo también necesario que los mismos estén diseñados y mantenidos para garantizar los máximos niveles de ciberseguridad, y para ello los proveedores de servicios de internet deberían proporcionar un excelente asesoramiento a sus clientes en materia de seguridad cibernética, y poner en marcha protocolos especiales para ayudar a detectar y combatir los ciberataques a los clientes en el momento en que se produzcan. 

Finalmente, debe indicarse que dado que la confianza en la computación en nube para las aplicaciones personales y empresariales está aumentando, es importante que se garantice también y de manera especial la ciberseguridad de los proveedores de tales servicios. La incertidumbre sobre la seguridad de los mismos repercute también de manera negativa en el ritmo de adopción de esta tecnología dinámica. 

Noticias Relacionadas: