Consultoría & Consultores

Titular del 22 de septiembre, “Obama y Xi Jinping alcanzan un acuerdo sobre el espionaje cibernético”. El cibercrimen pasa a formar parte de la agenda política de dos potencias en esta materia. No en balde el cibercrimen ha sido definido por parte del Director del Departamento de Inteligencia Nacional de los Estados Unidos como la amenaza número uno, por encima del terrorismo, el espionaje o las armas de destrucción masiva.

Ambas potencias están preocupados, estudian a la otra parte e invierten en medios materiales y humanos para garantizarse la supremacía en un área en permanente evolución.

Para ilustrar la realidad con algunos hechos;

Tan sólo el año pasado más de tres mil empresas americanas fueron víctimas de ciberataques según datos del FBI.Una gran compañía petrolífera recibe un ataque con el resultado del borrado permanente de los datos de los discos de 30.000 ordenadores.Varias entidades financieras en Corea del Sur recibieron una oleada de ataques que culminaron con el borrado de los discos de miles de ordenadores.

En todos los casos el daño ocasionado fue superior al coste de limpieza y reparación de los ordenadores afectando de forma clara a las operaciones y a la reputación de las entidades. Y es que, el dinero es cobarde y los inversores y accionistas ya no miran del mismo modo a esas organizaciones especialmente después de ver las sacudidas en la cotización de sus acciones.

En un reciente estudio basado sobre una encuesta en los Estados Unidos, el 7% de las organizaciones consultadas declararon pérdidas iguales o superiores al millón de dólares como consecuencia de incidentes cibercriminales durante el 2013.

Esta cifra se incrementó al siguiente año con un 19% de las empresas y pérdidas que iban desde los 50.000 dólares al millón de dólares.

Tres de cada cuatro empresas encuestadas experimentaron ataques y una tercera parte de ellas vio como el número se incrementaba respecto al año anterior.

No es de extrañar pues que un 59% de los CEOs dijera que se trata de una preocupación creciente y que el 69% de ellos expresaran su preocupación sobre el hecho de que las actividades cibercriminales supusieran una amenaza real en sus perspectivas de crecimiento empresarial.

Estamos hablando de herramientas de alcance global, capaces de acotar la extensión e intensidad del daño con precisión quirúrgica y de permanecer en estado latente durante el tiempo necesario hasta recibir la señal de su dueño, o de tomar decisiones por su cuenta en función de las variables del entorno.

Los que llevan a cabo dichos ataques son criminales, terroristas, espías y otros ciber-actores maliciosos cada uno con sus propias motivaciones y objetivos, otros sin embargo aprovechan las debilidades del momento adecuado para actuar, como son los casos de Siria, Irán o Rusia al amparo de los disturbios que allí se han vivido y con el objetivo de atacar servicios financieros y otras entidades que albergan o gestionan infraestructuras críticas.

Tanto unos como otros tienen algo en común; el continuo ritmo de actualización de sus tácticas para mantener la ventaja sobre los avances en seguridad implementadas por las empresas y las agencias gubernamentales. Un ejemplo de esto son los ataques DDoS (Distributed Denial of Service) capaces de generar tráfico a un impresionante ritmo de 400 Gigabits por segundo, los ataques DDoS más potentes registrados hasta la fecha. Uno de estos ataques llevado a cabo por por un grupo llamado Anonymous Brasil consiguió tumbar un buen número de websites de entidades financieras en Brasil, entre ellas Citigroup.

En ese mismo país los hackers comprometieron la seguridad de 4,5 millones de routers domésticos. Una vez “hackeados” y mediante una elaborada ingeniería social, los ciberdelincuentes indujeron además a los usuarios a facilitar datos personales o a instalar malware en sus ordenadores.

El nivel es alto, sostenido y en permanente movimiento. Según los expertos el conjunto de medidas tomadas por las organizaciones americanas no pueden rivalizar con la tenacidad, conocimientos tácticos y pericia tecnológica de sus potenciales ciber-adversarios.

Además, lejos de mostrar descoordinación hay evidencias de organización y trabajo cooperativo lo que permite la compartimentación de actividades y un elevado nivel de especialización y excelencia en sus ataques. Como consecuencia el nivel de complejidad de las investigaciones  y la capacidad para realizar un daño efectivo a empresas e individuos también se ha incrementado en la misma proporción.

Sobre la pregunta de si todo esto es directamente extrapolable a nuestro entorno directo;…en Seidor constatamos año tras año como la seguridad es un área de preocupación creciente, que lejos de estancarse, sigue ganando protagonismo en un igualmente creciente número de clientes; es decir “más y mejor”.

Otro indicador de esta tendencia es la cada vez más común incorporación/creación de la figura del CISO (Chief Information Security Officer) en empresas de otros sectores, aparte de los ya tradicionales como la Banca, Seguros, Utilities, etc…, con una arraigada cultura en materia de seguridad y donde esta posición ya se encuentra consolidada.

El grado de receptividad que estas organizaciones muestran para hablar sobre las distintas vertientes de la seguridad también ha cambiado en los últimos años, especialmente en aquellos casos donde ya han oído silbar las balas o incluso han sufrido un ataque directo. La predisposición para la adopción de medidas preventivas o para la definición e implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), es tanto mayor cuanto lo ha sido el nivel del ataque o el riesgo de sufrirlo.

Cada vez son más las empresas que solicitan nuestro asesoramiento en materia de seguridad no sólo las que han pasado ya por la amarga experiencia, sino las que por iniciativa de los propios accionistas exigen que el departamento de sistemas de información acredite un nivel de seguridad de sus infraestructuras que preserve el valor del negocio.

Entre la casuística más común de ciberataques está el acceso a datos económicos, detalle de operaciones bancarias, etc.,relacionadas con el fraude financiero pero también acceso a todo tipo de datos sensibles sobre productos y planes estratégicos. Hasta aquí lo que sabemos, pero en otros casos el delito se realiza desde el interior y a menudo de forma totalmente indetectable. Vemos como empresas que focalizan su atención en la seguridad perimetral se quedan a medias en lo tocante a la seguridad interna, y que intuyen más que evidencian que tienen un problema de fuga de información  al no existir ni conocimiento ni control sobre la información saliente de la organización. Es como si en una ciudad amurallada con paredes inexpugnables todos sus habitantes tuvieran acceso a las dependencias reales, a la armería o al arsenal de explosivos.

En estos casos la empresa nos solicita herramientas que permitan monitorizar y auditar los casos de sustracción de información desde el interior, llevar un registro o implantar medios para evitar la divulgación no autorizada de información sensible.

Resulta chocante que la mayoría de nosotros tengamos una percepción mucho más real de las amenazas en otros muchos ámbitos de nuestra vida, que se atenúa inexplicablemente cuando se refiere a nuestro sistema de información o a otro nivel a nuestro propio ordenador de uso personal.

¿Ignorancia?, ¿relajación?…Quizás pensamos que las ciber-amenazas son propias de un ámbito mucho más reducido y selectivo, propio de las cumbres diplomáticas o las multinacionales petrolíferas. Pero la mala noticia es que los datos demuestran que el número de ciber-delitos y ciber-delincuentes crece de forma sostenida y lo hace en la misma medida en que crece el número de datos sensibles que todos, (personas individuales y empresas) ponemos diariamente en nuestros ordenadores conectados a internet.

En la medida en que el volumen de estos datos se incrementa en progresión geométrica, también lo hace el del número de oportunidades de lucrarse para quien posee los conocimientos y la tecnología adecuados. Sólo las contramedidas adoptadas por un todavía incipiente número de empresas y particulares frenan la relación matemática directa entre número de delincuentes y el de delitos exitosos. No así el número de ataques.

Nuestra recomendación es clara. Infórmese, pregunte, recabe información y póngase en manos de profesionales cualificados. Pregúntese que tiene usted o su empresa que pueda interesar a un tercero; detalles de la próxima campaña de lanzamiento de su nueva línea de productos, detalles sobre las oportunidades de negocio en curso de sus clientes TOP-20,  currículums de sus empleados, planes de expansión, datos de facturación, nuevos proyectos en curso, etc.

En definitiva, ser consciente de la realidad y tener el mapa de los riesgos a los que está expuesta su organización es el primer paso para empezar a andar en la dirección correcta.

David Domenech