Por Rubén Chorny
No venía como un viernes cualquiera el 14 de mayo de 2017. Al menos no para Federico Pérez Acquisto, el presidente de una asociación civil que se dedica a la “concientización sobre el uso seguro de Internet y tecnologías, que se conoce como Argentina Cibersegura. Acababa de tomar estado público un virulento ataque informático con epicentro en Europa que había propagado el virus Wannacry por 200 mil computadoras en 150 países, incluido el nuestro.
Lo empezaron a llamar desde todas las radios y la televisión para que explicara cómo podrían verse afectados los archivos de los celulares, tabletas y PC.
Había sucedido lejos, en España, y estaba claro que era un atentado muy distinto al que el grupo terrorista islámico ISIS tiene acostumbrado al mundo. No había escenarios dantescos, ululares de sirenas ni trágicas consecuencias humanas. Salvo los escalofríos que daba pensar que, de un modo silente, se estaba propagando a través de Internet, como reguero invisible de pólvora, una violación masiva e indiscriminada a los dispositivos inteligentes interconectados.
En eso, al joven especialista en enfrentar incidentes informáticos se le aparece en el teléfono, entre tantas comunicaciones, la voz de su hermano, un abogado sin vinculación alguna con la cibernética. Le hablaba en un tono visiblemente excitado y sin parar: “¿Viste lo que pasó en lo que vos hacés? Hackearon hasta a Telefónica”. Y lo deja perplejo al desarrollarle la noticia con lujo de detalles, cuando muy raramente abordaban la temática profesional de la ciberseguridad en los encuentros familiares.
Al final, el saldo en Argentina fue que se denunciaron sólo 2.500 equipos afectados. Y en la atenuación de los perjuicios causados por el virus, que literalmente se traduce “Quiero llorar”, mucho tuvo que ver lo rápido que los proveedores de servicios de seguridad informática se movieron con su clientela.
La sales manager SOLA Región de Kaspersky Lab, Andrea Fernández, recuerda que tuvieron que armar de urgencia un webinar para atender simultáneamente las consultas de los clientes, a la mañana, a la tarde, a la madrugada. “Era una locura, porque había que avisarles a todos a la vez el modo en que el gusano no penetraría en el disco rígido, y aconsejábamos tomar otros recaudos”, rememora.
Cecilia De Maio
Un antes y un después
Lo cierto es que este año WannaCry señaló un antes y un después en la toma de conciencia sobre la ciberseguridad aplicada en la región a los negocios privados, aunque la historia registra seis antecedentes de ataques informáticos no menos contundentes:
1. Morris (1988), cuando apenas había cerca de 60 mil ordenadores con conexión a Internet en todo el mundo;
2. CIH /Chernobyl (1998), que infectó a más de 60 millones de usuarios en todo el mundo y provocó unos daños económicos cercanos a los US$ 1.000 millones;
3. Melissa, en 1999, que pegó duro en compañías como Microsoft, Intel o Lucent Technologies;
4. I love you, 2000, que perjudicó a más de 50 millones de usuarios;
5. Mydoom (2004) que inutilizaba herramientas de seguridad de Windows;
6. Conficker (2008) desactivaba Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting.
Otros más recientes, anteriores a WannaCry, no repercutieron del mismo modo. Cecilia De Maio, directora de Business Intelligence de la prestadora de soluciones de ciberseguridad Kroll, enumera una conocida retahíla de ciberataques contra distribuidoras audiovisuales, como el perpetrado contra Sony Pictures, que empezó hace tres años, en el que se revelaron documentos internos confidenciales, incluyendo la filtración en Internet de sus inminentes estrenos, lo que llevó a la dimisión del principal ejecutivo de la empresa y a concluir acuerdos multimillonarios con los empleados.
“Los hackers atacaron unos años después y esta vez el objetivo fue una empresa de posproducción de Netflix: amenazaban con filtrar programas inéditos si no se pagaba el rescate exigido. Dicha modalidad persistió y el ataque más reciente fue el reconocido caso contra HBO. Allí los hackers aumentaron la cifra del rescate exigiendo millones de dólares para interrumpir la filtración de correos electrónicos internos, contraseñas, salarios, números de teléfono de artistas, guiones y capítulos de la reconocida serie ´Game Of Thrones´”, rememora.
Sin embargo, este fue el año señalado como el del pequeño salto en la concientización para los países de la región y de Argentina. Y fue por la impresión que causó el ataque de chantaje de ransomware, en el que encriptaron discos y pidieron rescates en bitcoins. También lo afirma Pablo Silberfich, socio de BDO API (Aseguramiento de Procesos Informáticos).
Y si algún aditamento le faltaba a 2017 para que la temática se introdujera en la trama novelesca del espionaje, empezó a cobrar fuerza una presunta injerencia rusa en favor de Donald Trump durante la campaña electoral de Estados Unidos, y en la incubación del movimiento independentista catalán.
Ciberseguridad y ciberdefensa se concatenaron: el presidente Trump vetó el uso de los antivirus rusos a los organismos federales, en medio de un intenso debate en el cual el gobierno estadounidense asegura que el Kremlin de Moscú utiliza los programas de Kaspersky para ejercer actividades de espionaje.
La ejecutiva argentina de la firma rusa relativiza tal desacreditación: “Tenemos acuerdos con Interpol, con Europol, y trabajamos muy de cerca con muchas organizaciones de inteligencia; es un tema geopolítico”, afirma.
Hasta las amenazas terroristas a objetivos estratégicos de infraestructura en varios países se asociaron para poner en alerta a los organismos de defensa e inteligencia del mundo. Hubo apenas un par de meses después un bis con una variante de aquel software malicioso, el “Petya”, que afectó a diferentes empresas y bancos de Rusia, Ucrania, Francia, España, Dinamarca, Alemania, Noruega, Reino Unido, Estados Unidos y la India. También deshabilitó el sistema de monitoreo de radiación en Chernobyl y afectó los servidores del gigante petrolero ruso Rosneft.
Y por si algo faltaba para convulsionar el mundo de la seguridad en tecnología informática, el presidente de la red global de transporte a particulares, Uber Technologic, Dara Khosrowshasi, sacudió a la opinión pública cuando admitió que, a fines de 2016, habían sido pirateados los datos de 57 millones de usuarios, entre los que figuran los nombres y números de licencia de conducir de 600.000 choferes, la identificación de clientes, sus correos electrónicos y números de teléfonos móviles.
Es moneda corriente para las empresas ocultar cuando se es víctima de un ataque informático por temor a que afecte su reputación. Sólo basta ver el último Informe Global sobre Fraudes y Riesgos que realizó Kroll, en el que demuestra que los incidentes cibernéticos son la regla más que la excepción, al representar el 85% de los casos de fraude que sufren las empresas en el plano global.
Accenture transita la misma senda en el reporte “Building Confidence: Facing the Cybersecurity Conundrum”, que contiene 2.000 entrevistas a expertos de seguridad de compañías de ingresos anuales de US$ 1.000 millones, en más de 15 países. Concluyó que, en los últimos 12 meses, uno de cada tres ciberataques se debe a temas de seguridad en las empresas, lo cual equivale a entre dos y tres ataques efectivos al mes.
Bancos, compañías de telecomunicaciones y organizaciones gubernamentales en Sudamérica se encuentran entre los objetivos señalados.
No por nada las startups de cíberseguridad se han convertido en las vedettes internacionales del momento: en un solo trimestre reunieron más de US$ 1.000 millones, si bien por estos lares la mayoría de los ejecutivos encuestados (75%) las gambetea cuando aduce confiar en su propia habilidad para proteger a sus compañías de potenciales ciberataques.
De todos modos, la compañía eslovaca de seguridad informática, ESET, tomó datos de empresas de Argentina, Chile, Colombia, Costa Rica, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú y Venezuela para advertir que 40% de las empresas sufrió algún tipo de ataque de malware (que es la denominación genérica de los troyanos).
Pablo Silberfich
De meseta a pista de despegue
La cuestión medular pasa porque un estudio conjunto de la Organización de los Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID) certifica, con datos de 2016, que cuatro de cada cinco países de Latinoamérica no tienen estrategias de ciberseguridad. El contexto agrava la omisión, ya que los ataques informáticos masivos han sido incluidos varias veces en los últimos años entre los cinco mayores riesgos globales, en una clasificación elaborada por el Foro Económico Mundial que relaciona ese fenómeno con la creciente dependencia tecnológica.
“En nuestra geografía aún es baja la asignación de presupuesto”, sostuvo Federico Tandeter, director de Accenture Security, quien participó en CA World, un evento organizado por la firma estadounidense CA Technologies, que se encuentra entre las más importantes en creación de software, donde se congregaron cientos de especialistas en Las Vegas (Nevada, Estados Unidos).
Nada nuevo bajo el sol asomó, según el enviado de Accenture, en los ámbitos industriales, mineros, petroleros, generadores de electricidad, en cuanto a la forma de recepción de datos que transmiten los sensores en las plantas, los de los proveedores, cobranzas, explotación de refinerías, etc, y su procesamiento. Pero si antes en 6 de cada 10 casos estudiados por la consultora se daba prioridad a los controles perimetrales en vez de enfocarse en las amenazas internas, ahora que se incluyeron sensores intermedios extremos cambiaron los parámetros de seguridad y son necesarias auditorías que decidan soluciones digitales que enlacen los distintos dispositivos que intervienen en el proceso.
De manera que “se tienen que ir agregando capas de seguridad sin comprometer el funcionamiento”, afirma, lo cual no es sencillo porque suele haber un tira y afloje entre los operativos por la prioridad de la opción versus el negocio que necesita inteligencia de los datos que extraen los sensores para procesarlos sin poner en riesgo la operación.
Advierte que el mantenimiento o los parches de sistemas suelen ser incompatibles con la tecnología informática, por lo que la convergencia hace mucho ruido y obliga a organizar la seguridad en las empresas para comunicarla con un área única.
El problema que le ven los expertos radica en cuando se llega a la conclusión de que las probabilidades de riesgo son bajas y se ajusta el plan de negocios. Aseguran en Accenture que los paquetes de sistemas de seguridad informática no superan el 5% del costo total del servicio de pura seguridad operativa, que incluye preparación, monitoreo, controles débiles del sistema, gestiones; y que en las operaciones protegidas en industrias como la petroquímica se elevan al 10%, porcentaje que se repite en la tecnología informática con seguridad por control.
Argentina no está al margen de las mayores exigencias y riesgos que traen aparejadas las condiciones internacionales por la inversión en tecnología. “La protección no es mala, pero la conectividad potencia las necesidades de cobertura, ya que la única forma de no contagiarse sería el aislamiento”, afirma Pablo Silberfich, socio de BDO API (Aseguramiento de Procesos Informáticos). Recomienda que se debe apelar a medidas de ciberseguridad disponibles, debido a que lo primero que se elige como fuente de información y de ataque son las redes abiertas, celulares y tabletas.
“La respuesta en América latina es tardía, falta know how por escasez de profesionales, lo cual requeriría de nafta premium para acelerar”, grafica.
Diagnostica la falta concientización en las empresas para notificarse de los riesgos y las soluciones.
Federico Tandeter
Brechas en controles
Es precisamente sobre lo que los CISO (Chief Information Security Officer, o director de seguridad de la información) machacan cuando piden más presupuesto ya que, en general, tienen brechas en controles y capacidad de respuesta ante incidentes, como ratifica Andrés Gil, socio líder de Cyber Risk para Deloitte Latinoamérica.
Hace hincapié en que muchas organizaciones protegen de la misma forma todos sus activos sin clasificarlos, ni identificar lo que en Deloitte llaman “joyas de la corona”, que serían esos activos críticos a proteger y monitorear.
González, de Accenture, diferencia puntualmente, en tal sentido, a las Pymes locales, que “no compran inteligencia de análisis, sino el monitoreo de las operaciones, y cuanta data aporte la información recogida, mejor”. Sin embargo, aclara que “si un virus impacta en el servidor principal y hace caer la facturación, la cuenta pasa a ser cuánto se perdió por hora. Cuánto cuesta un out operativo en un sector”.
En principio, el consultor informático especialista en ciberseguridad, Mariano Kabakian, quien actualmente es asesor de la Subsecretaría de Ciberdefensa, donde hacen instalaciones para prevenir atentados contra objetivos estratégicos de seguridad nacional (como centrales nucleares, provisión de agua potable comúnmente conocido como “infraestructura crítica”), previene que “no se suele considerar en nuestro país el ROSI (retorno de inversión de seguridad de la información) en materia de ciberseguridad y, por lo tanto, “decidir una política en la materia está más relacionado con el costo de la inversión comparado con el posible daño económico que podría ocasionar un incidente si no se hace”.
Las soluciones de seguridad informática que implementan las empresas, según declaran al eset security-report, forman una pirámide, cuya base son los antivirus, firewall, backup y encriptación. Continúa con heurística avanzada, cuando los productos tienen ya un tiempo, y se habla de machine learning, que significa detectar comportamientos dentro de la infraestructura de la empresa y en base a eso prevenir, explica Pérez Acquisto.
La capa siguiente consiste en hacer un análisis de toda la empresa para ver sus riesgos y vulnerabilidades y de ahí surge un reporte que detalla cómo están los controles de seguridad respecto del estándar necesario. Se ven las configuraciones que están funcionando, se hacen simulaciones de ingeniería social, se aplica una herramienta anti-ransomware que revisa las capas de seguridad a fin de evitar el secuestro de archivos, los expertos inspeccionan redes y servidores para ver si hay amenaza de intrusión o espionaje de información de datos, clientes y demás, llamado penetration test.
En cuanto a las tareas de laboratorio, los ingenieros en seguridad, que están certificados y capacitados, chequean más de 200 muestras de malware que se reciben a diario y, con ese expertise, van a las empresas que los llaman a dar un diagnóstico para marcarles los gaps de inseguridad y donde están bien cubiertos. Hasta proporcionan recomendaciones en cuanto a la seguridad física, accesos y demás.
La etapa que sigue es infinita: la investigación, donde se avanza pero no siempre se puede encontrar quién vulneró la seguridad, porque los hackers saben mucho y esconden el rastro al hacer un daño. “Se puede ir a parar a China cuando por ahí están a 20 metros”, afirma el ejecutivo de ESET.
Fernández de Kaspersky concuerda: “El nivel de avance de las organizaciones que se ocupan de gestionar el delito ha sido muy importante: son especialistas, son muy grandes y están repartidas por el mundo. Tienen a hackers en un lado, administración en otro, son difíciles de encontrar, trabajan con criptomonedas, juegan con la falta de contenido legal. Digamos, si hackean un teléfono y roban la información, ¿qué se hace, a quién se recurre? Cómo lo agarran si está hackeando desde Brasil”.
Para su colega de ESET, los rastreos son muy difíciles si no hay organizaciones a escala mundial que se agrupen y lo estudien, de lo cual los países, los gobiernos, se están dando cuenta. Pone también como ejemplo que hoy China podría estar hackeando a Brasil.
Silberfich, de BDO, diferencia de todos modos las dimensiones: “Argentina no es foco específico de ataque, sino un canal de comunicación intermedio, pero el objetivo final puede ser una empresa o institución para lo cual somos un medio de paso”, sostiene.
Iniciativa privada
Por ahora, las prestadoras comerciales privadas de soluciones de seguridad informática en Argentina están más integradas que el propio gobierno nacional en el combate activo contra el ciberdelito, quizá porque su raíz proviene de los países que viven en pie de guerra fría en materia de inteligencia y espionaje, como el Este europeo y Estados Unidos.
Fernández apunta que en Rusia el nivel de formación es de excelencia y atribuye la “supremacía de los países del Este europeo en materia de inteligencia a la formación universitaria que le dan al estudiante desde hace años en la facultad de ingeniería, la de ciencias, la de matemáticas, que es el eje, lo mismo que histología”.
Con casa matriz en la capital de la Federación Rusa y un plantel muy joven, Kaspersky está asociada a Interpol y Europol para trabajar en forma conjunta. Asimismo, adhiere a una página que se llama www.nomoreransom.org, que es un tipo de malware, donde está codo a codo con todas las entidades que impulsan esta modalidad, y desde este año también la integra la Ciudad de Buenos Aires, además de fuerzas de seguridad de todo el mundo y competidores.
ESET es eslovaca y, si acá en seguridad maneja el expertise con dos centenares de empresas, en Bratislava recogen para analizar 300 mil muestras diarias de malware que aportan más de 200 mil clientes. “Así como los hackers avanzan y se sofistican, las empresas de seguridad también lo hacen”, asevera el joven gerente general.
Argentina, en cambio, está en pañales, por no decir sin ellos tampoco, en ciberseguridad y ciberdefensa. La prueba es que, después de 15 años de que empezó a discutirse en el mundo el primer convenio de Budapest sobre ciberdelincuencia, recién ahora la Cámara de Diputados acaba de aprobar la adhesión del país.
Esta demora explica que la participación argentina en las tecnologías del grooming, sexting, aplicadas a temas como la pedofilia, haya venido siendo marginal desde entonces. Sólo en 2008, con la ley 26.388 de Delitos Informáticos, empezaron a aplicarse algunos conceptos vinculados al comercio y Argentina quedó incorporada a la lista de países que cuentan con regulación legal.
Un giro inesperado
Uno de los letrados pionero en delitos informáticos y ciberseguridad e integrante del consejo asesor del Foro Global de Especialistas en Cibernética (impulsado por el gobierno de Holanda y conformado por ONU y OEA) y que luce entre sus pergaminos ser miembro de UPS-AFIP, Centro de Ciberseguridad del Gobierno de la Ciudad de Buenos Aires (BA-CSIRT), Global Forum on Cyber Expertise (GFCE), Daniel Monastersky, recuerda que la inserción argentina se activó en mayo de 2006 gracias a un inesperado envión: le hackearon la computadora personal al presidente de la Corte, Ricardo Lorenzetti, usando al operador Telmex, y rápidamente impulsó para que se convirtiera en ley el anteproyecto de delitos informáticos.
En 2013 se le agregó la ley de grooming sobre acoso a menores impulsada por el juez Carlos Fayt, y empezaron a aparecer demandas por hostigamientos, calumnias e injurias en la web.
Monastersky asegura que el código penal argentino atrasa y recién ahora, en el artículo 153, equipara el acceso indebido a correspondencia electrónica a la figura de la violación epistolar.
La aprobación legislativa del convenio de Budapest implica poder aplicar procedimientos que en el país no se usaban por no estar adherido a convenios internacionales e integrarnos en el sistema mundial de cooperación. La próxima etapa sería adecuar todo lo que viene atrás, como puede ser la legislación.
Ya empezaron a haber auditorías de activos, funciona el Centro de Respuestas de Incidentes, en el ámbito de la policía de Seguridad Aeroportuaria, dependiente del Ministerio de Seguridad, a cargo de Pablo Lázaro, y también el gobierno de la Ciudad de Buenos Aires constituyó el Centro de Ciberseguridad como servicio al ciudadano.
Se habilitó asimismo una agencia en el ámbito del Ministerio de Justicia, la Dirección Nacional de Datos Personales, y como ventanillas al público están, además, la División Delitos Tecnológicos de la Policía Federal Argentina, el Ãrea Especial de Investigaciones Telemáticas de la Policía Metropolitana, Instituto Nacional contra la Discriminación, la Xenofobia y el Racismo (INADI).
La estrategia nacional de ciberseguridad quedó, teóricamente, a nivel de subsecretario en la órbita del Ministerio de Modernización, al que en el organigrama del gabinete se lo identifica más con administración de software y compras. Se designó en el cargo a Raúl Martínez. Pero además se integró a esa cartera por decreto en un comité que comparte con la de Defensa y la de Seguridad.
Una dispersión en la que no aparecen niveles políticos superiores, desde el Presidente al jefe de Gabinete, y ni siquiera la ministra de Seguridad (que fue hackeada hace poco, dicho sea de paso), directamente comprometidos en una estrategia nacional de ciberseguridad.
El socio de BDO advierte que “la infraestructura nacional no ha sido alcanzada por regulaciones, hay sólo un texto que maneja la SIGEN sobre la privacidad, confidencialidad, y una agencia para la información privada que recibe mayor presupuesto para alinearse en la mejora de la defensa de ciberseguridad en las empresas públicas y nacionales”, dice.
Lejos del mundanal ciberruido
En el resto del planeta, las amenazas a la seguridad informática jaquean a los sistemas defensivos internacionales, con las telecomunicaciones, la generación eléctrica y la banca, entre los principales objetivos de terroristas y ciberdelincuentes, que utilizan a empleados descontentos con información privilegiada como caballo de Troya para penetrar en las redes y acceder a datos críticos.
Otros que se sienten en capilla son las aerolíneas y los aeropuertos, que se proponen invertir durante este año, principalmente, millones en seguridad cibernética y servicios en la nube.
Pero el great team, como llaman en Kaspersky a sus investigadores que están más allá de la instancia comercial, emitió un alerta para la región de América latina para el 2018, llamado Securelist, que sintetizó en 7 puntos:.
1. Adopción y uso de técnicas de ataques dirigidos (APT) en ciberataques contra usuarios finales de la región.
2. Múltiples ataques directos hacia los activo de la banca mediante el uso de insiders, tecnologías maliciosas para los cajeros automáticos, servidores internos y otras estaciones.
3. Ciberoperaciones militares secretas en la región con el fin de sustraer información confidencial de los estados vecinos.
4. Adopción de los fabricantes de malware móvil internacionales y la preparación de plantillas regionales en español.
5. Aumento de ataques a pequeñas y medianas empresas, principalmente las que manejan sistemas de puntos de venta (PoS por sus siglas en inglés), en especial aquellas encargadas de procesar transacciones de tarjetas protegidas con chip y PIN.
6. Ataques a los sistemas y usuarios de criptomonedas y abuso en el minado para su generación.
7. Vulnerabilidades no solo de seguridad sino de privacidad por la inclusión masiva de dispositivos inteligentes en los hogares e inclusive desde implantes médicos hasta autos conectados.
Por esta parte del continente, estos peligros se asocian más a series americanas de espionaje que al día a día.
Han aparecido Ethical Hackers, o hackers de “sombrero blanco”, avenidos en showmans, que les buscan vulnerabilidades en los sistemas a entidades y empresas. Realizan ataques programados y consensuados, por lo que cobran hasta un 30% más que cualquier otro perfil. Uno de los más famosos es Chema Alonso, actualmente máximo responsable de la división de Datos de Telefónica, quien descalificó en su blog Hacking y anonimato: para pasar un buen rato el impacto mediático causado por el virus calificado como ransomware.
Otros son argentinos: Sheila Berta, autora de “Ciberhéroes en la era de los delitos informáticos”, César Cerrudo, a quien un artículo de Forbes presenta como “hacker profesional” y CTO (Chief Technology Officer) de IOActive Labs, una empresa de seguridad informática que tiene base en Seattle, Londres, Madrid y Dubai; y Julio Ardita, que en 1995, con solo 21 años, logró hackear a la NASA y al Pentágono.
De Maio no cree demasiado en esos executive hackers para detectar problemas en los sistemas de la compañía y neutralizarlos de manera más sencilla: “Es muy importante trabajar con especialistas en esta temática y no recurrir a amateurs”, aconseja, y tira un dato impactante para 2022: se necesitarán 1,8 millones de trabajadores en seguridad de la información.
Apuesta al segmento de la inteligencia
Juan Manuel González
El área afectada a la seguridad informática de Accenture para Sudamérica Hispana, prestadora de servicios de consultoría, tecnológicos y outsourcing, lleva un año de crecimiento orgánico e inorgánico orientando a los clientes en una visión integral, según detalla, Juan Manuel González, director ejecutivo del área en esa firma.
De afrontar riesgos distintos en las puertas activas que se quieran controlar, donde el nivel de exposición es mayor, se trata el objetivo comercial que plantea la nueva unidad de negocios. Ofrece asesorar, gestionar las operaciones diarias de seguridad presenciales, remotas, técnicas, informes finales, a fin de encarar después mejoras, hacer proyectos de migración para aprovechar la nube, SOC (System on a Chip o System on Chip on), implementar sistemas, realizar la transformación digital de clientes, abarcar la seguridad natural aplicativa, analítica, social network, los móviles.
Fiel a su estilo en otros rubros, la consultora concretó adquisiciones e hizo fusiones en segmentos de inteligencia y comerciales para agregar carteras de prestaciones, de gestiones y de clientes, como la compra de una firma de servicios secretos israelí Maxland, que integró con una compañía americana del metier a su red global de laboratorios tecnológicos, que incluyen los centros de Silicon Valley, Arlington, Sophia Antipolis, Dublín, Pekín y Bangalore.
Accenture Security puso el foco en la seguridad informática de grandes industrias que se encuentran en pleno proceso de modernización, donde se suman la tecnología, los procesos y el cambio cultural. Les hace un monitoreo inteligente copiando los falsos positivos para la emisión de reportes, gestiona incidencias en los activos a fin de resolver y mitigar impactos y crea áreas de comunicación dentro de la organización.
El papel del responsable de IT ayuda a tomar decisiones
Gustavo Maggi
Conforme las aplicaciones, la información y los servicios fluyen más rápido a través del diverso y creciente panorama de usuarios y dispositivos, se agrava la complejidad para asegurarse contra las cambiantes amenazas.
Los dispositivos de seguridad del mañana necesitarán de la inteligencia artificial para ver y operar internamente entre ellos, a fin de reconocer los cambios en los ambientes interconectados y así, de manera automática, ser capaces de anticipar los riesgos, actualizar y hacer cumplir las políticas de seguridad. Nuestra Security Fabric –advierte Gustavo Maggi, director regional de Ventas de Fortinet Argentina– integra y opera las soluciones de ciberseguridad como una sola entidad. Los servicios y la inteligencia agregada sobre amenazas son componentes fundamentales que toda empresa debe considerar en sus inversiones en ciberseguridad.
En 2016 fuimos el proveedor de ciberseguridad con el mayor número de unidades de equipamiento de ciberseguridad entregadas en América latina. Somos líder en el segmento de UTM (ciberseguridad orientada a Pymes) y firewalls empresariales. Además, somos número uno en la Argentina en ventas de equipamiento de ciberseguridad. Este año, también figuramos como “líderes” y “visionarios” en el cuadrante mágico de tecnologías de ciberseguridad que publica periódicamente la firma de analistas Gartner.
Optimizar costos en la gestión de tecnología informática
El 22% de las compañías entrevistadas en el último estudio del IBR aún no han realizado análisis para conocer el grado en que están expuestas a los riesgos inherentes a la tecnología de información.
Destaca Daniel Bertone, socio de IT Advisory de Grant Thornton Argentina, que del IBR surge que algunas organizaciones argentinas han tomado medidas concretas como la implementación de una herramienta informática para la gestión de riesgos (20%) y capacitación al personal (32%), mientras otras (30%) de las encuestadas ha realizado acciones orientadas a la mejora de sus procesos de IT, por ejemplo, a partir de la adopción de estándares internacionales tales como COBIT o mediante iniciativas de capacitación (16%). Pero aún el 42% de empresas no realizan acciones formales para maximizar la contribución de la informática en la creación de valor para la empresa.
El especialista las exhorta a realizar acciones concretas que permitan definir lineamientos orientados a fortalecer el gobierno de IT, garantizar transparencia respecto a la gestión de oportunidades y riesgos e implementar un balanced scorecard con indicadores IT orientados al negocio, que refleje su contribución desde el punto de vista financiero, hacia el cliente, en los procesos internos y como fuente de innovación y aprendizaje para la organización.
Hackers de Corea del Norte, al ataque
La industria de generación eléctrica, en Estados Unidos y en Europa, está inquieta por la súbita fragilidad que parece tener sus sistemas frente a ataques cibernéticos, los más recientes, en septiembre.
Los investigadores creen que mails dirigidos a varios directivos de estas empresas fueron el primer paso para infiltrarse en las redes informáticas de las empresas, y desde allí, acceder a los sistemas industriales de control. En diciembre de 2016, algo parecido ocurrió con la compañía eléctrica de Ucrania, dejando a oscuras a la ciudad de Kiev, por más de una hora.
En todos los casos, la visión de los expertos es que no se trata de un travieso y solitario hacker. Creen que son equipos, bien entrenados, con muchos recursos y probablemente –añaden– financiados por algún Estado. Todos los indicios apuntan cada vez más a Corea del Norte, al menos en este tipo de agresiones.
El sabotaje cibernético, e incluso la guerra en este campo, es cada vez más el arma elegida por el terrorismo de Estado. Es que, a pesar de que es mucho más difícil infiltrar un sistema de una empresas de servicios públicos, que una simple computadora, los hackers están teniendo algunos éxitos.
Kaspersky
El robo de información logra generar más dinero que la droga
Diferentes herramientas se desarrollaron para ofrecerles a las empresas y a los gobiernos a fin de que se sientan mejor protegidos y para entender más si reciben un ataque dirigido de organizaciones que se encuentran muy armadas.
Andrea Fernández
Andrea Fernández, regional sales manager SOLA Región de la firma rusa, viaja por toda el área del continente a su cargo: Chile, Paraguay, Uruguay y Bolivia, además de Argentina, donde está a cargo de los negocios b to b, que abarcan desde pequeñas empresas hasta corporativos, y los be to see.
“Este último lo componen empresas pequeñas que nos compran 50 nodos, las medianas que pueden encargarnos 700 nodos y las grandes que absorben 15 mil. Además, tenemos una vertical fuerte del gobierno”, describe.
Cada tanto, es convocada a reuniones en la casa matriz de la compañía, en Moscú. “Cubrimos una parte del SOC (antivirus, servicio, reportes, la posibilidad de crecer bases de datos a los science), por lo que dependemos de si la empresa lo tiene o no”, agrega.
En b to b, el posicionamiento es considerado muy bueno, y be to see es más online. Cada vez menos gente mete la caja de antivirus en el carrito del retail. Compra por la red.
Los presupuestos dependen de la solución que se busque. La firma de origen ruso protege por nodo, que es una licencia sin dispositivo: “Si en una empresa tienen 1.000 computadoras para proteger, la pregunta que sigue es si incluir celulares, 100 más, ¿servidores? 10 más”, ejemplifica.
“Todo lo que desarrollamos es nuestro, no compramos. Si hoy la empresa necesita proteger su desktop pero mañana su storage todo se va a ver en la misma consola, no son soluciones parciales unidas, sino todo el desarrollo nuestro contiene probabilidades absolutas. Tres meses después dicen: “ahora quiero proteger a servidores virtuales sin la gente. Se lo damos y lo ven en la misma consola”, detalla.
Cuenta que la empresa fue fundada en 1997 por Eugene Kaspersky, quien como director ejecutivo y presidente de Kaspersky Lab se ocupa de que se invierta en investigación y desarrollo. “Puede hacerlo porque somos la empresa en seguridad privada más grande del mundo y no hay accionistas que presionen para otra cosa”, explica.
Especialistas en ID
“No cualquiera puede afectar el 33% de los empleados a ID y hacerlo. Tenemos un grupo de especialistas, que es el great team, que está alrededor del mundo (hay 6 en América latina), que se mantiene alejado totalmente del foco comercial”, afirma.
Advierte que lo que está sucediendo hoy con los ciberataques es que están las llamadas amenazas dirigidas, que han crecido casi un 6% en el mundo. “Son las que se llaman AFT (Advanced Persistent Threat). Se instalan en forma muy silenciosa durante 8 meses en un banco, que si no tiene una visión de la seguridad 360°, ni se entera. La prevención sola ya no alcanza y se requiere tener cubiertas las puertas de la inseguridad que pudieran estar abiertas”, expresa.
No se trata solo de prevenir con el firewall, con el antivirus, sino que hay que poder detectar y dar respuesta a los incidentes. “Eso es 360°. Las empresas que los sufrieron ponen en juego su prestigio. Un banco no puede decir así como así, fui atacado y me infectaron los datos. Si una corporación como Telefónica lo tuvo que admitir con el WannaCry fue porque literalmente le habían apagado los servidores y se hizo vox populi”, subraya.
Afirma que Kaspersky tiene una herramienta para evitarlo, que se llama System Watcher que detecta las amenazas mediante motores de investigación. “Está entre nuestras soluciones de firewall y antivirus, contenidas en productos que ayudan a enfrentar, que protegen a los mobiles. Lo que tenemos como empresa de investigación es una batería de servicios de inteligencia”, dice.
Hace tres años, Kaspersky se planteó por qué no salir a vender el know how interno desarrollado. Y a partir de ahí generó una serie de servicios de inteligencia, como reportes financieros, trannings, cómo entrenar especialistas que están en seguridad a que sepan hacer un análisis de marcas, uno forense, o cómo leer las reglas yara.
El papel del responsable de IT ayuda a tomar decisiones
En muchas Pymes es lenta aún la perspectiva de ingresar en ciberseguridad. En las medianas, grandes y subsidiarias de corporaciones el proceso viene rápido, y en gobierno y Estados, crece de modo exponencial.
“Estamos en un escalón superior en lo relativo a seguridad de la información en cuanto al activo único, archivos de datos, facturación, contabilidad. Se amplió a los sistemas de comunicaciones y se habilitaron redes operativas informativas de las tecnologías críticas de un país o ciudad”, indica Pablo Silberfich, socio de BDO API (Aseguramiento de Procesos Informáticos).
Las empresas en Argentina no están maduras en materia de seguridad de la información, pero las que están sometidas a auditorías sí tienen que estarlo.
Muchas ejecutan proyectos de IT pero no los piensan en términos de seguridad y no destinan presupuesto para poner alguien responsable a cargo, sino que los que emplean en tecnología hacen lo que les piden adentro de la empresa.
El CIO debería integrar un comité de crisis con poder de decisión para marcar el rumbo; sería proactivo y así los directivos podrían escuchar sus exposiciones en torno de la ciberseguridad y la ciberdefensa para compartir las decisiones. Debe tener un nivel en la organización proporcional a una mayor eficiencia y servicios con relación a la ciberseguridad. Las normas internacionales obligan al responsable de seguridad a elaborar un plan de contingencia de riesgos y a que participe directamente de la implementación.
Es un tema de recursos humanos decidir si se opta por personal propio o se terceriza en consultoras para economizar el presupuesto en tecnologías. Se les paga a personal de sistemas. La seguridad es probabilística, por las dudas se cubre con seguros.
Las empresas que cambian IT aprovechan los beneficios de haber dado ese paso e incorporan la seguridad a la información.
Las puertas y ventanas que quedan abiertas cuando se realizan esos cambios constantes requieren de inversiones para evitar fugas de información.
Se hacen evaluaciones de riesgo del impacto tecnológico y en el negocio. Hay normas ISO que lo concretan. Aparecen planes por riesgos y se refuerzan. Al no haber presupuesto plano, los distribuyen donde pueden. Se impone administrar la inversión con inteligencia.
ESET Latinoamérica
La concientización es la clave para madurar
Solo 52% de las empresas argentinas están protegidas (antivirus 83%, backup 67), mientras en mercados más maduros, como Europa y Estados Unidos, la implementación de estos controles de seguridad es más avanzada.
Federico Pérez Acquisto
“Hay consultoras que miden el crecimiento de la ciberseguridad, como Darner e IDC, que elabora una encuesta global de software, y dan que es de 7 u 8 % anual en dólares. Nosotros crecemos año a año, en dólares, de a dos dígitos”, sostiene, Federico Pérez Acquisto, gerente general de la firma.
En encuestas de calidad de seguridad a más de 4500 clientes y no clientes de ESET en toda Latinoamérica, se ve que 74% de las Pymes empezó a implementar políticas de seguridad, un 5% más que en 2016. Es en gran parte porque invierten cada vez más a partir de incidentes que toman público conocimiento, por lo que la decisión ya no depende del responsable de TI sino que pasa a ser una prioridad para el gerente general también.
Reconoce que crecimiento hay pero, de todos modos, alejado del que se debería. Existen bases de datos que comparten las empresas de seguridad a escala mundial que contienen las amenazas y en el laboratorio son consultadas permanentemente.
ESET fue fundada en 1992 en Bratislava, Eslovaquia, por Miroslav Tmka. Richard Marko, Chief Executives Officer, dice que “Partimos de ser una pequeña empresa dinámica y crecimos durante tres décadas hasta convertirnos en una marca global con más de 100 millones de usuarios en 202 países y territorios”.
“Dos de los dueños que siguen desde el principio descubrieron en los inicios de los años 80 uno de los primeros virus informáticos, que se llamó Viena, y se dieron cuenta que faltaba una solución de seguridad que después se denominó de antivirus y ahora se le dice de antimalware, porque se entiende que el virus es un tipo de malware. Fue en Estonia, probablemente porque es
un mercado más maduro, ya que disponían de una tecnología que acá no había. Hicieron el NO32, que es nuestro producto de más renombre mundial”.
“No sólo encaramos los servicios, sino que nos enfocamos en las soluciones, que contemplan todo lo que tiene que ver con la seguridad en las empresas: que tengan firewalll antimalware y backups, y recomendamos integrar medidas a nivel interno y de respuestas eficientes de seguridad en las que participamos”.
“Se necesita una solución eficiente y un usuario educado. Hacemos un ciclo de eventos en toda la región, tenemos el security report, en una gira que llamamos de antivirus recorremos países de América con los especialistas de nuestro equipo de laboratorio, dando charlas y contando la actualidad en todo lo que es seguridad informática”.
“En las carreras de IT no vemos aún una materia que se ocupe de la seguridad, pero con un convenio con UTN que se firmó cuando visitó el país el presidente de Eslovaquia, desde el año pasado damos seguridad dentro de la carrera, que es una capacitación constante en las facultades.”
“Lo que primero se enseña al público joven que asiste es a no hacer click en todo lo que se vea y, como acá está de moda que el estudiante también trabaje, los aprendizajes se trasladan al ámbito de la empresa. En Latinoamérica no es en general así”.
“También capacitamos en forma interactiva a los empleados en las empresas sobre los riesgos o cómo comportarse cuando se recibe un correo de remitente desconocido, si ven algo raro o sospechoso”.
Indicadores de riesgos determinan inversiones
Andrés Gil
En la última encuesta de seguridad y ciberriesgos en Latinoamérica realizada por la consultora Deloitte surgió que el nivel de inversión aumenta respecto de años anteriores, proceso consistente con el aumento de incidentes.
A nivel general, las organizaciones utilizan algún indicador de riesgos (ejemplo: resultados de ejecutar pruebas de análisis de vulnerabilidades) o la propia experiencia de haber sufrido un incidente para determinar inversiones en seguridad. Y para el caso de ser reguladas, se guían por los requerimientos específicos de las normas y/o leyes que se les aplican, según detalla Andrés Gil, socio líder de Cyber Risk para Deloitte Latinoamérica.
Aunque los CISO (Chief Information Security Officer, o director de seguridad de la información) siguen reclamando por presupuesto para atender gaps en controles y tener capacidad de respuesta ante incidentes, la cuenta siempre depende de la criticidad del activo de información y del proceso de negocio afectado.
Sin embargo, muchas organizaciones protegen de la misma forma todos sus activos sin clasificarlos, sin identificar lo que en Deloitte llamamos “joyas de la corona”, que serían esos activos críticos a proteger y monitorear.
Como consecuencia de estas prácticas, puede haber desinversión en ciertas áreas y sobreinversión en otras, sin tener en cuenta un punto óptimo de retorno de la inversión.
Los CISO son conscientes en general de esta debilidad pero muchas veces les resulta muy complejo tener un adecuado inventario y clasificación de activos que les permita definir medidas específicas de seguridad y costo eficiente.
“En nuestra última encuesta, la inversión en IT que se destina a la ciberseguridad nos dio en promedio 4 a 6%; con algunos sectores, como el bancario, que invierte más, registrando picos de hasta 15%”, señala.
El porcentaje depende de varios factores, fundamentalmente de la industria, de que partidas se incluyen dentro del presupuesto de seguridad y cuales en TI (ejemplo: ¿un firewall se cuenta como parte del costo seguridad o de TI?) y obviamente del nivel de madurez.
Muchas organizaciones están invirtiendo fuerte en seguridad porque tienen que “recuperar” la baja inversión del pasado: otras en cambio están sacando provecho de inversiones en tecnología que ya hicieron.
El nivel de inversión adecuado de una organización debería surgir de una estrategia de seguridad clara, un nivel de riesgo consensuado con el negocio y de la madurez de la organización en temas de seguridad, concluye Gil.
PwC Argentina
El eslabón más débil de la cadena suele ser el usuario
Las empresas deberían hacer más de lo que exige la ley: administrar proactivamente los riesgos de ciberseguridad y privacidad, de una manera que vaya más allá de un enfoque de checklist de cumplimiento.
Diego Taich
Para progresar en una nueva economía de datos, las empresas deberían priorizar la seguridad cibernética y la privacidad de los clientes a la vanguardia de su estrategia comercial, generar confianza a través de la acción, implementación de una sólida administración de los datos y brindar a los consumidores más control sobre cómo se usa su información personal, ir más allá de las regulaciones existentes, comprender cómo se sienten los consumidores y ser transparentes al usar nueva tecnología, sostiene Diego Taich, director de tecnología IT en la firma auditora.
Apunta que si las decisiones sobre la seguridad de los datos de las compañías habían quedado en manos de las áreas de tecnología o de seguridad, el incremento de los ciberataques en lo últimos años desplazó la responsabilidad, en gran cantidad de casos, a la Dirección de la organización. Y en ciertas compañías o industrias reguladas hasta podrían caber responsabilidades individuales y directas sobre lo ocurrido en caso de no haber tomado oportunamente “medidas razonables” para evitar y contener un incidente.
Las forma en que reaccionan las distintas compañías frente a incidentes que incluyen fuga de información o su captura con un objetivo de extorsión a la víctima del ataque, es lo que puede hacer la diferencia a favor o perjudicar fuertemente la imagen y, por ende, el valor de una compañía.
En líneas generales, siempre será menos costoso invertir en la protección de los activos de información críticos y establecer medidas de identificación y contención de los ataques, que ceder a demandas de los atacantes o extorsionadores o provocar una negociación para comprar su silencio en el caso de una fuga de información.