Seguridad informática, en la agenda del CIO

    Por Leandro Africano

    Los ataques informáticos a compañías y particulares se han sofisticado tanto que en el sector ya no se habla de que la solución es un software antivirus, sino un conjunto de prácticas, soluciones y servicio de consultoría que excede la problemática que comúnmente se solucionaba con una licencia. Desde las revelaciones del espionaje sobre el correo electrónico que llevó a cabo la NSA (National Security Agency) de Estados Unidos sobre los mensajes de correo de varios mandatarios de todo el mundo, hasta las apariciones de fotos comprometedoras de famosos extraídas del servicio de cloud de Apple, existen innumerables grietas de seguridad que, este año figuran como prioridad para los responsables de los departamento de tecnología de muchas empresas de América latina.
    La consultora IDC señaló hace semanas en su informe anual que para 2016, la seguridad de la información será “TOP3 en las prioridades de negocio para 70% de los CEO de empresas globales”. Asimismo, para 2017, 80% del tiempo de los CIO se utilizará en enfocarse en analítica, ciberseguridad y en crear nuevos flujos de ingresos a través de servicios digitales.
    En este contexto, 41% de las empresas de América latina sufrió ataques de malware (software malicioso) en el último año. Este dato se desprende del análisis desarrollado por el Laboratorio de Investigación de Eset Latinoamérica en el Eset Security Report 2014 que analizó el estado de la seguridad informática en Latinoamérica y que presenta los resultados de encuestas realizadas a más de 3.300 profesionales de distintas organizaciones.
    La infección por código malicioso es el incidente más recurrente entre las empresas de la región desde hace ya tres años consecutivos. Sin embargo, cabe resaltar que en el último período el porcentaje de empresas infectadas disminuyó notablemente. Se estima que este hecho responde a una mayor inversión en recursos de seguridad y a la relevancia que poco a poco va cobrando el departamento de seguridad informática en las diferentes corporaciones.
    De la investigación se desprende que las empresas en general implementan los controles de seguridad pero no realizan actividades para prevenir incidentes relacionados con sus trabajadores. Un ejemplo que grafica esta situación tiene que ver con las acciones que se toman frente a BYOD (BringYourOwnDevice): el reporte detalla que 42% de los encuestados no tiene una política de definida y 14% permite el uso de dispositivos personales pero no gestionan su configuración.
    Finalmente, cabe destacar que en la actualidad lo que más preocupa a las compañías en términos de seguridad, tiene que ver, en primer lugar, con la explotación de vulnerabilidades mientras que en el segundo puesto figura la infección de malware. Luego continúan los fraudes, casos de phishing (suplantación de identidad) y ataques DOS (un ataque de denegación de servicios).

    Snowden y después

    En este contexto la compañía eslovaca Eset especializada en seguridad informática para sistemas corporativos y de usuario final llevó a cabo semanas atrás en Brasil el Primer Foro Regional de Seguridad Informática donde identificó la problemática en el mundo de los dispositivos móviles y de escritorio. Una de las exposiciones más destacadas que se escucharon en el encuentro perteneció a Stephen Cobb, CISSP (Certified Information System Security Professional) y Security Researcher de Eset Norteamérica, que planteó los dilemas éticos que se debaten a partir de las revelaciones del caso Edward Snowden y presentó los resultados de una investigación que llevó a cabo su empresas donde analizó el comportamiento de los usuarios luego de conocido este caso.
    “74 % de las personas que entrevistamos dijeron que admirarían a una empresa que se pronunciara explícitamente contra el acceso ilimitado del gobierno a la información personal“, afirmó Cobb. En su presentación, titulada “La ética de la industria de la seguridad en la era digital”, comenzó con un video que mostraba la cronología de los hechos que sucedieron una vez que Edward Snowden reveló las cuestiones vinculadas con los programas de vigilancia en Internet por parte de NSA, como lo fue el proyecto PRISM (programa de vigilancia electrónica de la NSA).
    “Yo soy ciudadano estadounidense y quiero decirles, principalmente, que debemos considerar que la NSA no está apoyada por todos los estadounidenses, de hecho, hay quienes están intensamente en contra“, afirmó. Para argumentar sobre este hecho, comentó que desde Eset Norteamérica realizaron varias encuestas en donde 80% de los encuestados comentó que apoyarían una revisión de la legislación, especialmente para tener nuevas leyes que controlen y limiten los programas de vigilancia del gobierno. Es que lo que aconteció con la NSA no se quedó solo ahí, “se derramó hacia otras agencias como el FBI, la Agencia de Alcohol, Tabaco, Armas de Fuego y Explosivos (ATF); y la oficina para el Control de Drogas (DEA)”. Asimismo, Cobb comentó que otros de los índices que arrojaron las encuestas fueron que 26% limitó el uso del correo electrónico, 26% limitó el uso del homebanking y 24% redujo sus compras online.
    Estos números son un hito en la historia de Internet, ya que a lo largo de los años el uso de la Web fue creciendo; nunca antes se había desacelerado. “Básicamente, los hechos que se revelaron de la NSA y el Gobierno se tradujeron en una pérdida de confianza frente a la industria de la tecnología: 50% de los encuestados afirmó que confía menos en las compañías de tecnología como los ISP y las que se dedican al software”.
    Dentro del dilema ético que generó el comportamiento de Snowden, Cobb aclaró que la mejor forma de acercarse es a través del conocimiento y la concientización de las personas, en todos los niveles: ejecutivo, escolar, estatal o a “cualquier persona que camine por la calle”. De esta manera, nos aseguramos de que todos puedan estar más informados a la hora de tomar decisiones. Por último, comentó que luego de la NSA, las compañías de antivirus estuvieron en la mira ya que públicamente se presentaron preguntas de los usuarios como: “¿los programas antivirus espían?” o “¿las empresas de antivirus comparten datos con la NSA?”. Si pensamos en que los programas antivirus necesitan tener prácticamente un acceso total dentro de los equipos de los usuarios, estas preguntas tienen total sentido. “Por lo tanto, es muy importante que tengamos en cuenta que si hablamos abiertamente de estas cuestiones y nos dedicamos a educar y concientizar, nos verán mucho más transparentes y recuperaremos la confianza de los usuarios”, concluyó.

    Cuestión de laboratorio

    Una de las cuestiones relevadas en el Foro de Seguridad es la importancia que las compañías que ofrecen servicios de protección y consultoría tengan laboratorios de investigación en contacto directo con la realidad de sus clientes. De esta manera el laboratorio cuenta con materia prima para acercar sus soluciones de manera inmediata. “En nuestro caso, desde el momento en que identificamos un código malicioso reportado en nuestra red de usuario hasta que elaboramos una actualización de nuestros productos con la solución, pueden pasar no más de 12 horas”, explicó Sebastián Bortnik, gerente de Investigación y Análisis de Eset Latinoamérica. En los laboratorios, por ejemplo, se llevan a cabos procesos de identificación, análisis y detección de códigos maliciosos como de otras amenazas informáticas y a la vez el desarrollo de contenidos educativos para la comunidad.
    De lo expuesto por los oradores quedó también en claro que en todos los casos de ataques, ya sean destinados a usuarios finales o a empresas, está de por medio lo que el sector denomina ingeniería social. Se ha definido a este concepto como la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
    El principio que sustenta la ingeniería social es que en cualquier sistema “los usuarios son el eslabón débil”. En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la Web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
    Con relación a las tendencias hacia 2015, los especialistas del foro señalaron que dentro de los ataques a empresas y organizaciones en búsqueda de su información, los delitos más destacados estarán enfocados en los datos de los usuarios, tarjetas de crédito, Botnet (conjunto de redes infectadas) y ataques regionalizados. Asimismo, crecerá la preocupación de los usuarios por su información y quién accede a ella, se comenzará a hablar del concepto de Internet of things (Internet de las cosas) y sus implicancias en temas de seguridad y el desembarco en América latina de amenazas para los puntos de venta, hecho que ya tuvo alta repercusión en Estados Unidos en casos de fraude en Home Depot o e-Bay. Finalmente se estima que habrá nuevas amenazas para dispositivos móviles y se profundizará el debate sobre el rol de los investigadores de seguridad dentro del sector.

    Factores de seguridad

    Hay consenso entre los especialistas de seguridad informática que hay al menos siete factores que son importantes para las empresas y que redimensionan la problemática de los denominados ciber ataques.

    1. Las empresas utilizan más aplicaciones basadas en Web.
    Hace algunos años, la mayoría de las aplicaciones corporativas estaban en la computadora de escritorio, portátil o en un servidor en la empresa. Pero las compañías de software se dieron cuenta de las ventajas de poder acceder a esas aplicaciones vía Web, lo que quería decir que esas aplicaciones realizaban una pequeña parte del proceso en su ordenador mientras que la mayor parte del proceso se realizaba en un conjunto de servidores en algún lugar del mundo. Es la forma más barata de hacerlo. Es más flexible. Es más escalable. Pero el problema con las aplicaciones basadas en web es que necesitan gran cantidad de código para que se ejecuten y no solo en el servidor a través de la Web sino también en su ordenador. Y a mayor cantidad de código más impactos en la Web y mayor índice potencial de infección. De esta manera los CIO deben ser conscientes de que el margen de exposición a riesgos, puede aumentar en caso de usar aplicaciones basadas en Web.

    2. Los medios sociales pueden ser buenos y malos para su negocio.
    Las redes sociales ayudan a que la gente sea productiva en su trabajo, ofreciéndoles respuestas a problemas, permitiéndoles comunicarse de forma rápida y sencilla y encontrando la información que necesitan. Algunas de las empresas más eficientes y mejor gestionadas del mundo se aprovechan del uso de los medios sociales a través de la empresa. Pero no todas las redes sociales están bien reguladas. Algunas son notorios criaderos de malware. De la misma forma que las aplicaciones basadas en Web representan una oportunidad de amenaza vía Web, el uso sin restricción de las aplicaciones sociales acarrea peligro.

    3. Muro de protección
    Algunas empresas prohíben la utilización de móviles para uso personal durante las horas de oficina mientras otras son más relajadas en ese aspecto. Lo mismo se podría aplicar al uso Web, particularmente para los medios sociales. La misma funcionalidad que protege contra amenazas Web permite restringir el acceso a redes de medios sociales o a cualquier otro recurso online inapropiado.

    4. Cualquier dispositivo es una computadora
    Otro desarrollo gradual es la proliferación de computadoras, lo que quiere decir que ahora existen muchos más dispositivos que se pueden conectar a su red corporativa, pudiendo exponerla a posibles amenazas. Muchos teléfonos son tan potentes como cualquier PC y al incrementarse el uso de Web y mail a través del móvil (tanto para negocio como para el tiempo de ocio), hay muchas mas oportunidades de ponerse en peligro. A esta proliferación se añaden nuevos dispositivos como tablets, iPad, set-top boxes para televisión y dispositivos de almacenamiento de red. Todos ellos son ordenadores capaces de albergar código malicioso y su presencia significa que incluso una empresa pequeña tenga un complejo sistema de múltiples puntos de debilidad.

    5. El robo de información es un gran negocio
    Hace veinte años, la mayoría de los virus se creaban por hackers adolescentes en sus dormitorios llevados por la curiosidad y el aburrimiento. El problema en la actualidad es que la mayoría de ellos han crecido y tienen hipotecas que pagar, y el cibercrimen es una forma de pagar las facturas. El crimen basado en la Web en general y el robo de información en particular es un gran negocio realizado por organizaciones que cuentan con planificación y agenda se trabajo. Se ha comprobado que no discriminan sus objetivos, lo que quiere decir que cualquier individuo o empresa está en peligro, y no solamente las grandes empresas.

    6. La compatibilidad importa
    Algunas empresas se preocupan más de la seguridad informática que otras. Pero no servirá de nada si no es el propio dueño de la empresa el que se interese. Cada vez más proveedores, clientes, consejos de administración e incluso Gobiernos se interesan en estrategias para la seguridad informática de las empresas con las que tratan. De hecho, muchas empresas se encuentran en una situación donde se requieren ciertos niveles de defensa para conseguir el nivel necesario de compatibilidad.
    En algunos sectores como el legal, financiero y sanitario existe mayor preocupación en regulación y seguridad, mientras que los Gobiernos locales suelen también insistir en cumplir con ciertos niveles de compatibilidad para proveedores.

    7. El efecto exponencial
    Se sabe muy bien cómo se desarrollan las amenazas. El problema no es solo que los ataques son más sofisticados, sino que la forma de distribución ha cambiado completamente. Hace algún tiempo la única forma en la que el código malicioso podía abrirse paso hacia su ordenador era si usaba un programa infectado en un disco floppy. El riesgo era bajo. Pero la reciente explosión de aplicaciones basadas en Web, incluyendo el e-mail, la transferencia de archivos, significan que hoy en día una única fuente puede transmitir de forma simultánea su malware a cientos de recipientes desconocidos.