De lo que hemos aprendido de seguridad de la información a lo largo de los años, todo se puede reducir a que por un lado existen los chicos malos, que tratan de acceder a los sistemas sin autorización, generan, distribuyen y explotan el poder del código malicioso; y por el otro, están los chicos buenos, entre los que se cuenta a los administradores de seguridad de la información, los consultores, los especialistas de seguridad y las organizaciones que ponen a disposición de una empresa mejores prácticas, productos y servicios de toda índole con la finalidad de minimizar los daños.

¿Se ha puesto a pensar en el hecho de que la seguridad de la información no debe ser vista como un proyecto acotado en el tiempo, con un presupuesto y alcances limitados, sino que más bien se trata de un esfuerzo permanente? El crimen organizado trabaja todo el tiempo en mejorar sus técnicas y está en constante búsqueda de nuevas herramientas de ataque para obtener un beneficio financiero o competitivo.

.

¿Qué hace usted al respecto?

Si ya tiene definido un plan de seguridad, a partir del cual trazó una estrategia que incluye adoptar o mejorar procesos que se sustenten en la combinación efectiva de recursos humanos y tecnológicos que den cumplimiento a los objetivos de negocio. También ha terminado de conjuntar una poderosa infraestructura que se encarga de proteger el almacenamiento de sus activos de información y la transmisión de datos, ¿cree que ha concluido este esfuerzo?

En caso de que responda afirmativamente, probablemente ha omitido considerar que su contraparte continúa depurando su arsenal, afinando sus técnicas de ataque y apuntalando una estrategia a la que usted debe responder en consecuencia con acciones que la contrarresten, sin dejar de lado que nuestro entorno presenta los siguientes hechos:

  • Conforme las herramientas de ataque se vuelven más económicas y sofisticadas, los riesgos a los que están expuestos los sistemas de información y los datos almacenados en ellos aumentan. Por ejemplo, el crimeware PiceBOT se comercializa en América Latina en $140 USD y se utiliza para sustraer información bancaria confidencial de la víctima[1].
  • El robo de identidad cobra nuevos bríos y ahora no solamente se traduce en robo de información, impacto financiero y el mal rato que se llega a pasar por descubrir gastos no realizados; hoy también, y de una forma mucho más alarmante, se comienza a utilizar para tramitar permisos de trabajo, visas o documentos que afectan ahora a los gobiernos que los otorgan.  Esto facilita nuevos caminos al crimen organizado y al terrorismo por la posible infiltración de espías, criminales o mártires extremistas[2].
  • La aplicación de la legislación concerniente a la protección de datos personales enfrenta retos cada vez más complicados de cumplir. Hoy, el ciudadano común es más consciente y exigente sobre el trato que se le da a su información personal. La fuga de esta información puede transformarse en un auténtico dolor de cabeza para las empresas[3].
  • Las soluciones de protección han evolucionado de manera considerable en los últimos años, no obstante, el nivel de daño que puede ocasionar la materialización de un riesgo informático también lo ha hecho: un servicio para inundar buzones con correo spam puede cobrar tan solo $10 USD por generar un millón de correos[4].
  • Hoy utilizamos múltiples soluciones dedicadas a la productividad y al entretenimiento,  también disponemos de nuevas dinámicas de trabajo en las empresas: interactuamos con colegas que colaboran sobre un mismo documento, almacenamos información en sistemas alojados en la nube o adquirimos contenidos y mercaderías en línea. Todo ello nos vuelve más susceptibles a ataques.
  • Hasta que los usuarios no tomen conciencia de la importancia de actualizar sus sistemas y se mantengan en una cultura de postergación de crecimientos y mejoras, estarán expuestos a la explotación de vulnerabilidades ocasionadas por herramientas que están en constante evolución.
  • Las amenazas pueden entrar en acción por la simple actividad cotidiana que realiza el usuario –por ejemplo, navegar páginas Web en  búsqueda de información o acceder a sus cuentas de correo en la nube, o bien publicar y visualizar contenidos en redes sociales- todo esto es más complicado de detectar y prevenir con las herramientas tradicionales.
  • Los dispositivos móviles, que extienden el poder de cómputo del usuario y sus posibilidades de procesamiento, igualmente son susceptibles de extender el alcance de las amenazas emergentes para estas plataformas.
  • Las redes sociales, por su penetración y acepción se han transformado en vehículos para código malicioso; la posibilidad de manejar nuevos tipos de contenido y la inclusión de  características que mejoran la experiencia del usuario, han permitido de la misma forma que se adhieran inadvertidamente scripts que atacan los sistemas del usuario sin que estos se percaten de ello.
  • La nube se ha convertido en el siguiente objetivo para los criminales cibernéticos, un solo ataque exitoso puede desatar un impacto de magnitud considerable en una gran cantidad de empresas.

.

¿Y qué hacen los malos?

Para lograr su cometido, los criminales informáticos han desarrollado diferentes modelos de operación, algunos de ellos en clara alusión a esquemas que vemos en diferentes segmentos de la industria:

  1. Presencia comercial. Crean un negocio legal, como pantalla, que comercializa información, productos y servicios con un tratamiento diferente: ganan por trabajar con la información de la víctima y ganan por apoyar a otros cibercriminales con esa información.
  2. Delincuencia organizada. Reclutando grupos y asociaciones como Anonymous, LulzSec o Topfox, financiando sus actividades y trabajando de forma conjunta, el rastreo de la actividad criminal se complica porque los hackers usualmente están distribuidos en diferentes países
  3. Outsourcing. Contratando a criminales que controlan redes de zombies (botnets) que a su vez crean un modelo mucho más sofisticado de ataque y más complejo para detectar.
  4. Esquemas mentor-aprendiz. Reclutan talento de países con economías emergentes (en África, América Latina o  Asia) y que finalmente poseerán mayor capacidad de ataque. Hoy, los países que lideran estas tendencias son Rusia, China y Brasil, pero conforme sus aparatos legales mejoran, la delincuencia organizada apunta a economías y países emergentes como sus nuevos semilleros de talento.

Ante este escenario, es muy importante informarse oportunamente y anticiparse a las acciones que efectuará la delincuencia. Aquellas empresas que desarrollen una estrategia de defensa más proactiva se encontrarán en una mejor posición para enfrentar los riesgos latentes que plantea un crimen cada vez más organizado.

Le sugerimos, si usted tiene inquietudes sobre este tema, integrarse a foros y comunidades en sitios como Linkedin,  asociaciones como los capítulos locales de ISACA e ISC2 o fuentes reconocidas como el SANS Institute, para estar al tanto de todo lo que ocurre actualmente en el medio de la seguridad de la información.  También cabe mencionar que en el sitio Web de Magazcitum tenemos a su disposición una considerable cantidad de artículos que abordan temas de concientización y protección en diferente ámbitos.  Los colaboradores de esta publicación estamos igualmente al pendiente de sus comentarios para tratar en mayor profundidad estos temas y estrechar la comunicación con usted.

[email protected]