Necesitamos más ciberprevención

El reciente ataque cibernético de WannaCry ha puesto en evidencia la necesidad de invertir más tiempo, dinero y recursos en garantizar la seguridad de los datos de los usuarios.

Telefónica, Iberdola, Gas Natural y cientos de otras organizaciones sufrieron un ataque cibernético hace pocas semanas. Más de 75.000 ordenadores de casi un centenar de países fueron atacados en este ‘hackeo’ masivo. Los hackers penetraron en entidades como el sistema nacional de salud británico (NHS), e infiltraron un software llamado WannaCry, desarrollado originalmente por la Agencia de Seguridad Nacional estadounidense, como arma cibernética.

El software se extendió rápidamente en forma de “gusano” y encriptó archivos de los ordenadores afectados. Un mensaje en la pantalla exigía un rescate de 300 dólares en bitcoin para liberarlos. Afortunadamente, a diferencia del NHS, los servicios de Telefónica parecen no haberse visto afectados en gran medida. Para cuando el gusano cruzó el Atlántico, las alarmas se habían disparado y las empresas de Estados Unidos estaban más preparadas.

Sólo en este año hemos visto más de 20 brechas de seguridad importantes y casi 2.000 millones de documentos robados, desde direcciones de email a detalles completos de cuentas bancarias, según informationisbeautiful.net. Sin embargo, la atención pública parece que se limita al corto plazo.

La mayoría de usuarios parece ignorar el impacto en su vida diaria de una filtración de datos. ¿A quién culpar? Pero. lo más importante: ¿qué se debe hacer?

Las ‘ciberamenazas’, como cualquier otra amenaza, son una combinación de intención y capacidad. Hace unos meses, el mundo vivió el mayor ataque DDoS, de denegación de servicio distribuido, del mundo sobre la compañía de internet Dyn. Servicios como Spotify, Twitter, Paypal y Netflix se vieron afectados. En un ataque DDoS, el autor intenta desactivar el sitio web de una empresa visitándolo repetidamente millones de veces por segundo. Este ataque, en concreto, se atribuye a una persona enojada con Sony y la red de PlayStation.

Para lanzar el ataque, el individuo compró un software en los oscuros rincones de internet. Lo que otrora requería la habilidad de inteligentes programadores pudo comprarse esta vez por solo 7.500 dólares. Dado que la intención era relativamente no delictiva, a pesar del alcance de los servicios afectados, la amenaza fue bastante limitada.

La mayoría de las empresas han aprendido a protegerse de la amenaza más bien leve que supone un ataque DDoS. Pero no siempre es el caso.

En el ataque de ransomware que vimos recientemente la intención es claramente ¡robar! A diferencia de un ataque DDoS, que solo desactiva un sitio web, un ataque de ransomware implica que el hacker penetra en la red de la organización, y llega a acceder a los archivos, que luego secuestra y cambia por dinero. Lo primero es más como desfigurar la pared de un negocio con un grafiti para enviar un mensaje, mientras que lo segundo es como allanar y robar. Lógicamente, los ataques de ransomware u otros que implican allanamiento requieren mayor capacidad. Con una intención más seria y una mayor capacidad, la amenaza es claramente más fuerte. Se podría esperar entonces que grandes organizaciones como Telefónica y Gas Natural hubieran prestado atención a sus defensas para frustrar tales amenazas.

Lo interesante del último ataque es que el parche que podría haberlo evitado fue lanzado por Microsoft en marzo, cuando la brecha se detectó por primera vez. Esto plantea la pertinente cuestión de por qué estas empresas no han actualizado sus sistemas correctamente, los parches son gratuitos y Microsoft recomienda encarecidamente su actualización.

¿No lo aplicaron proactivamente grandes empresas con enormes presupuestos de TI (Tecnologías de la Información)?

En algunos países, cada seis meses los dueños de coches deben certificar que no son contaminantes. La mayoría de los automóviles no pasan drásticamente de máquinas no contaminantes a trampas mortales móviles en seis meses. Sin embargo, cada medio año nos aseguramos de que nuestros vehículos no han cruzado los límites, ni siquiera por unos pocos puntos porcentuales. Por otro lado, en cuestión de pocas horas hemos visto sistemas de TI pasar de “funcionar bien” a “perdón por haber perdido todos sus datos”. ¿Cómo puede ser que los sistemas de TI no sean auditados cada seis meses?

Es comprensible que, si estas amenazas fueran débiles, no merecerían inversiones en una política de seguridad estricta. Sin embargo, con los recientes ataques, queda claro que las amenazas no son leves. La intención no es solo avergonzar a una organización, sino más bien mantenerla como rehén. La capacidad desplegada no es obra de aficionados ni se ha vendido en el mercado gris online, sino más bien ‘ciberarmas’ fuera de lugar desarrolladas por organizaciones gubernamentales internacionales.

Es hora de que las empresas rindan cuentas, de que la prensa no olvide fácilmente y de que los Gobiernos ejerzan cierta presión sobre las organizaciones para que inviertan tiempo, esfuerzo y dinero en garantizar que los datos de los usuarios están seguros.

Kiron Ravindran. Profesor. IE Business School