Según el último estudio sobre la Delincuencia Económica Global de Price Waterhouse Coopers, el 7% de las organizaciones de Estados Unidos perdió un millón de dólares o más debido a los incidentes informáticos en 2013 y casi un quinto de éstas perdió entre 50 mil y un millón de dólares en el mismo período.
El 2014 fue el año en que la fuga de información tuvo como objetivo millones de registros de consumidores comprometidos en las principales tiendas. La noticia de la intrusión a Target ocurrió justo antes del nuevo año, Nieman Marcus llegó poco después, y las malas noticias al parecer no se han detenido. Todo indica que el año comenzó con las amenazas cibernéticas migrando a amenazas terroristas.
Sony Pictures ha estado en los titulares por una infracción que ha sido embarazosa y costosa para el gigante de los medios. El grupo que se atribuyó la responsabilidad por el hackeo amenazó con realizar ataques terroristas en las salas de cine que proyecten la película de Sony «The Interview». El autonombrado grupo «Guardianes de la Paz» advirtió a los espectadores: «Recuerden el 11 de septiembre de 2001. Le recomendamos que se mantenga alejado de estos lugares en este momento».
Como resultado, la premier de Nueva York de la película fue cancelada, mientras que Regal, AMC Entertainment, Cinemark y Cineplex Entertainment, entre otros, retiraron la película de los estrenos programados para las vacaciones. Al mismo tiempo, el grupo de delincuentes amenazó con dar a conocer información adicional (más allá de los mensajes de correo electrónico, números de seguridad social de celebridades, guiones de cine y más material que se haya publicado) en las próximas semanas.
A pesar de esto «The Interview» se exhibió en 320 cines en Estados Unidos, menos de un 10% del número de salas que se preveía originalmente. La película recaudó más de 1 millón de dólares en su estreno y 15 millones de dólares en cuatro días.
Sin embargo, esto no es realmente acerca de Sony, o Target, o Home Depot, o Marshalls (la lista, lamentablemente, es más extensa). La historia de Sony es sólo la culminación de una serie de tendencias de seguridad preocupantes que hemos observado este durante el 2014. El problema es tan importante que el Director de la Inteligencia Nacional considera que el delito cibernético es la máxima amenaza para la seguridad nacional.
¿Qué pasa con las organizaciones que no cuentan con los recursos para la ciberseguridad?
El 2014 debe ser una llamada de atención para las empresas y para los individuos. Todas las grandes empresas que he mencionado tienen personal dedicado a la seguridad y presupuestos de seguridad considerables. Los hackers son audaces e increíblemente sofisticados, lo que les permite atacar con éxito una variedad de empresas con empleados dedicados a la seguridad de los datos. ¿Qué pasa con el gran número de organizaciones que no cuentan con los recursos para contratar a un jefe de seguridad o dedicar a personal de IT para la ciberseguridad? Lo que estamos encontrando es que nadie es inmune, ya sea que el ataque sea un hackeo avanzado contra una corporación multinacional o una infección que pide un rescate a una pequeña empresa.
Como explica Richard Henderson, Estratega de Seguridad para FortiGuard Labs de Fortinet, «Es claro cómo las empresas simplemente no están recibiendo el mensaje acerca de lo fácil que puede ser para un atacante ganar la entrada inicial a una red al comprometer el elemento humano de la ecuación de IT». Las famosas campañas de “spear-phishing” dirigidas a los empleados con mensajes de correo electrónico que parecen legítimos o ataques de “watering hole” en los que sitios web confiables se ven comprometidos para capturar datos e instalar malware, son herramientas comunes y eficaces que los hackers utilizan todos los días. Recientemente, la ICANN, la organización responsable de los dominios de Internet, anunció que sus sistemas habían sido comprometidos como resultado de un ataque de phishing.
En una reciente entrada al blog de New York Times, Nicole Perlroth fue directo al asunto. Según explicó, «… los expertos en seguridad dicen ahora que hay sólo dos tipos de empresas en los Estados Unidos: aquellas que han sido hackeadas y aquellas que aún no saben que han sido hackeadas.” Y a pesar de que la ciberseguridad «se ha visto obligada a ingresar en la conciencia nacional», explicó, todavía no tiene el sentido de urgencia que necesitamos.
Francamente, no hay más tiempo para esperar en el tema de la seguridad cibernética. Las agencias gubernamentales y corporaciones, por igual, deben educarse y comprometerse a detener el delito informático ahora. Tampoco pueden permitirse enfoques mediocres a la seguridad, y los clientes (ya sean los ciudadanos en el caso del gobierno o de clientes en el caso de las empresas) deben exigir mejoras. Las organizaciones deben tener los planes correctos y las tecnologías adecuadas en marcha para hacer frente a las amenazas que hemos visto hacer tanto daño en el 2014 y las amenazas que sabemos que están en camino en 2015. Por ejemplo, los investigadores de Fortinet han identificado a «Blastware» como una tecnología clave que esperan que los hackers empleen en 2015, este programa malicioso no sólo destruye los sistemas que infecta, sino que cubre las pistas de los hackers mientras se mueven alrededor de los datos de una organización.
Solo con la combinación adecuada de la investigación de vanguardia por parte de los «hackers de sombrero blanco», que tienen la formación y experiencia para combatir la constante innovación de los «hackers de sombrero negro», con potentes tecnologías emergentes en la detección de amenazas y fuertes regulaciones del gobierno, será viable controlar el abrumador aumento de la ciberdelincuencia. Simplemente no podemos darnos el lujo de mantener el status quo de la buena seguridad y pensar que es suficiente. Hay demasiado en juego, las pérdidas para las organizaciones y los individuos son demasiado grandes, y los intereses de seguridad de cualquier nación son demasiado valiosos.
