Imagínese que usted es un directivo de una empresa que va a sellar la compra de una compañía del sector salud en el extranjero. Está revisando su correo electrónico cuando, de repente, en su bandeja de entrada aparece el mensaje de un desconocido que le exige una suma astronómica en bitcoins para no divulgar información sensible y archivos de las personas que intervienen en la negociación. La operación está a punto de irse al traste. ¿Denunciar? ¿Contestar? ¿Pagar?
En medio de la sorpresa, en ese instante un nuevo mensaje alerta de que toda la información personal de cada uno de los clientes fue robada y podría ser publicada en redes sociales a cualquier hora. Como si fuera poco, internamente se conoce que delincuentes acaban de tomar el control de los ascensores del edificio, y hay personas encerradas.
Acto seguido, una llamada entra por el conmutador: en cámaras de seguridad se ve a una periodista que comienza a transmitir en vivo desde la sede de la compañía tras enterarse de que hay personas atrapadas. Se desató una crisis sin precedentes y usted debe tomar decisiones ya.
Así comienza la experiencia en el X-Force Command, el ‘cuartel general’ que IBM creó en Cambridge, Massachusetts (Estados Unidos) para entrenar a personas de todas las áreas que deben responder ante un ciberataque.
La nueva cara del crimen organizado
Para Marc van Zadelhoff, gerente general de seguridad de dicha compañía, el ciberdelito es desde hace un muy buen tiempo “la nueva forma de operar del crimen organizado”, en la que delincuentes llevan una vida “normal” de familia, oficina, compañeros, horarios, carga laboral y salarios bien definidos.
Alemania sufre uno de los mayores ataques informáticos de su historia
CES 2019: Inteligencia artificial hasta en la cerveza
Gigantes de tecnología usan IA para combatir ciberataques
Entró en vigencia nueva ley en Vietnam que amenaza una internet libre
Un ciberataque paralizó grandes diarios en EE. UU.
De hecho, el nivel de innovación al servicio de la ilegalidad en el sector informático es tan alto que, según comenta Caleb Barlow, vicepresidente de Inteligencia de Amenazas de esta empresa, los criminales en la internet oscura hasta tienen mecanismos para ser calificados y reseñados por sus clientes según la “calidad” de sus servicios, como si se tratara de pedir un domicilio desde el celular.
Pérdidas multimillonarias
El informe ‘Estado de la ciberseguridad en el sector bancario en América Latina y el Caribe’, publicado por la Organización de Estados Americanos (OEA), revela que el 92 por ciento de los bancos de la región fueron víctimas de ciberataques en 2018 y que en el 2017, a estas organizaciones el responder a estas amenazas y recuperarse de ciberataques les costó 809 millones de dólares.
IBM a su vez publicó un estudio en julio del 2018 en el que se encuestaron 500 empresas en 15 países. En él se calculó que los costos asociados a ‘megaviolaciones’ (rango entre uno y 50 millones de registros perdidos) les cuestan a estas compañías entre 40 y 350 millones de dólares, respectivamente. Según esta investigación, la violación de datos aumentó 6,4 por ciento en comparación con 2017 y llegó a los 3,86 millones de dólares.
El informe ‘Estado de la ciberseguridad en el sector bancario en América Latina y el Caribe’, publicado por OEA, revela que 92 % de los bancos de la región fueron víctimas de ciberataques en 2018
Por su parte, Dmitry Volkov, cofundador de la firma de ciberseguridad Group-IB, presentó a finales de octubre en el congreso CyberCrimeCon algunas cifras preocupantes: hasta ese momento del año se habían robado 748 millones de euros con ataques a criptomonedas (una de las tendencias en ciberataques que predijo el MIT para ese año) y 137 millones de euros en asaltos al sistema bancario.
Pero como la plata no lo es todo, el riesgo para la integridad de las personas es latente: ciberterroristas pagos por gobiernos amenazan cada vez más con apoderarse de infraestructura de empresas de energía nuclear, transporte y de servicios públicos.
De hecho, Holanda denunció a inicios de octubre que en abril los servicios secretos militares del Kremlin (GRU) intentaron sin éxito penetrar en el sistema informático de la Organización contra la Proliferación de las Armas Químicas en La Haya OPAQ. Onno Eichelsheim, director del Servicio Holandés de Inteligencia Militar, aseguró que los funcionarios rusos parquearon un carro junto a la entrada de la entidad y que esta “tuvo problemas en sus redes informáticas internas, aunque no llegaron a ser infectadas”.
Latinoamérica, el blanco
Es una realidad que llegó para quedarse y Latinoamérica nunca había sido un blanco tan apetecido. Un estudio divulgado en agosto en Panamá por la compañía rusa Kaspersky Lab registró 746.000 ciberataques en los últimos doce meses, un incremento del 60 por ciento con respecto al periodo anterior, en un promedio de 9 ataques por segundo en la región.
¿Por qué el riesgo ha crecido tanto aquí? Álvaro Santa María, director de seguridad de IBM para América Latina, asegura que “nuestros países y nuestras empresas son blanco fácil para estas organizaciones” pues aún hay muchas compañías que son reactivas y no proactivas y, por esa razón, “estamos moviéndonos muy despacio a tecnologías que ya están disponibles”.
“Pensar como los malos”
Para llegar al X-Force Command de Cambridge hay que ingresar a la sede de IBM en Boston, la casa del sistema de inteligencia artificial para servicios de salud Watson Health. Al interior de este edificio de grandes ventanales que transmiten cercanía con la tranquilidad de los árboles y prado del parque de la calle Rogers, se ven subir y bajar por los ascensores a grupos de jóvenes estudiantes del MIT, en gran medida asiáticos, que toman clases prácticas allí. Unos pisos más arriba, tras un corto pasillo entapetado, se llega al esperado cuartel de la ciberseguridad: un salón con una megapantalla frontal (12 monitores integrados) que da la impresión de estar en una sala de crisis a gran escala.
Pero, en lugar de algún general malhumorado de pelo blanco, aguarda un hombre de camiseta negra de algodón, jeans y tenis: Etay Maor, consejero ejecutivo de seguridad de IBM, quien previamente fue jefe de los laboratorios de investigación sobre amenazas cibernéticas de la firma RSA. Es una especie de ‘evangelizador’ sobre lo fácil que es ser un delincuente informático.
Su sesión de entrenamiento comienza con un ejemplo: aparece en pantalla gigante el perfil de LinkedIn de una rubia atractiva con una hoja de vida llena de estudios y experiencia en grandes compañías. Hace publicaciones constantes y tiene centenares de amigos. ¿Aceptar su invitación a conectar? Nunca: la persona con su nombre no tiene rastro alguno en internet que se asemeje a su formación y experiencia y su foto de perfil es la de otra mujer. Aparte, dice que es menor de 25 años y ni siendo la reencarnación de Stephen Hawking lograría a esa edad lo que dice haber alcanzado. Lo peor, según Maor, es que a estas cuentas llegan hasta propuestas de trabajo y de relaciones íntimas.
Razón de la sin-razón
¿Por qué alguien hace eso? Para robar información privada de sus «amigos», acceder a sus cuentas bancarias o, lo que es peor, llevarse las claves de los correos, programas y sistemas de sus trabajos. En sigilo, así entran los delincuentes a una empresa y, cuando lo tienen casi todo, comienzan a atacar.
“El problema son las personas”, dice este profesor al referirse a los descuidos de los usuarios, mientras muestra en tiempo real los cientos de usuarios en el mundo que han tuiteado recientemente fotos de sus tarjetas de crédito, con números de clave incluidos.
De ahí que el lema de este ‘Cyber Range’ sea “pensar como un atacante para combatir a los atacantes”. Para seguir esta premisa, la siguiente lección es mostrar aparatos del tamaño de un módem y de venta libre que le hacen caer el internet a todo un edificio para suplantarlo por una red wi-fi pirata y así robarse la información de los equipos que se cuelguen a ella.
¿Quién debe responder?
Aunque son los ciudadanos los que se exponen ingenuamente, como quien sale de casa y deja la ventana abierta, no se trata de culpar a las víctimas, pues hay una responsabilidad compartida entre los estados y las empresas para enfrentar a los cibercriminales. Francisco García, líder de seguridad IBM México, coincide con Santa María en que es necesario que en países como Colombia haya leyes de protección de datos cada vez más estrictas.
Por su parte, Diego Macor, gerente de ciberseguridad de dicha compañía para Suramérica, asegura que la necesidad de contar con mayor regulación al respecto es fundamental, teniendo en cuenta que la mayoría de ataques hacia la región provienen de otras partes del mundo donde no hay normativas o donde dichos delitos son orquestados desde los mismos gobiernos.
Uso de sistemas operativos viejos aumenta el riesgo
García también llama la atención sobre el uso en las empresas de sistemas operativos viejos que no ofrecen buen soporte (oportunidad ya aprovechada en Colombia por ataques de secuestro de información como WannaCry en 2017).
Para este directivo, las compañías de la región deben ser más conscientes de sus riesgos y responsabilidades, pues aunque las organizaciones del sector financiero “culturalmente están preparadas para el manejo del riesgo (…) el sector del consumo masivo aún no es consciente”.
Entre los cambios tangibles al interior de las empresas preocupadas por esta problemática destaca la creación de direcciones de seguridad informática con rangos iguales a las cabezas de las áreas de sistemas y/o tecnología. También resalta el poder que la tecnología de cadenas de bloques (blockchain) puede tener para rastrear cualquier tipo de movimiento, aunque advierte esta supone un cambio: “confiar en los demás”.
Bajo presión
De regreso al caos de la empresa extorsionada, ocurrido luego de las clases de Maor, se presenta el desafío de convertir la torre de babel en la que se ha convertido (a propósito) el cuartel en la sede de un equipo multidisciplinar de respuesta. Aunque los teléfonos no paran de sonar, entre los participantes del entrenamiento se forman con urgencia equipos de tecnología de información, seguridad, recursos humanos, jurídica, relaciones públicas, comunicaciones, mercadeo y hasta una junta directiva.
Cada área se va para una esquina de la sala de crisis y, mientras ve en las pantallas cómo se desploman las acciones de la empresa y cómo esta se vuelve tendencia en redes sociales por los miles de mensajes de indignación que se publican, quedan solo cinco minutos para tomar las primeras decisiones y priorizarlas con la junta.
La experiencia del ‘Cyber Range’, por la que ya han pasado cerca de 1.450 ejecutivos del sector privado de todo el mundo, se adapta a las necesidades del tipo de industria y ubicación geográfica al que pertenece el grupo que paga por viajar al comando X-Force de Massachusetts. En este caso, con un ‘ejército’ integrado en su mayoría de periodistas, se decide dar una entrevista en vivo para un canal de televisión nacional. Un minuto después, un reportero designado por el equipo sale en cámara y se debe enfrentar a las preguntas incómodas de una presentadora en horario ‘prime’. Las acciones y las críticas en redes pueden mejorar…o ponerse peor.
El máximo arsenal del comando contra el cibercrimen de IBM se ve cuando aparece en escena Watson para Ciberseguridad, el sistema de inteligencia artificial de la compañía para dicha materia, que trabaja en llave con la plataforma de gestión de seguridad Q Radar. ¿La promesa? Ofrecer a la empresa que se encuentra en problemas investigar cualquier anomalía 72 veces más rápido que un análisis manual complejo y la capacidad de agregarle 10 veces más indicadores procesables que los contemplados en un método convencional para descubrir nuevas amenazas.
Este ritmo frenético se mantiene en sesiones de día completo o medio día y se distingue también entre un “entrenamiento azul” para conocer todos los aspectos de un ciberataque y un “entrenamiento rojo” para aprender cómo se comportan los adversarios en cada momento.
En este caso de demostración el ejercicio duró más de tres horas y aunque no se sale convertido en un ‘Rambo’ exterminador de ciberdelincuentes, se aprende algo más importante: que para una empresa siempre será mejor invertir en la seguridad informática de su personal y de su infraestructura que quedarse en bancarrota y/o sin prestigio por un trabajador que se puso a coquetear en redes con una rubia que resultó ser una red de extorsionistas escondida en internet.
Presupuestos limitados
Una encuesta realizada por la multinacional de servicios profesionales Ernst & Young a 1.400 líderes de riesgo y seguridad cibernética de algunas de las compañías más grandes del mundo muestra que aunque el 87 por ciento de dichas organizaciones “opera con un presupuesto limitado” en ciberseguridad, las partidas de las empresas para enfrentar estas amenazas siguen en aumento: 63 por ciento de los consultados así lo consideran. De hecho, un 77 por ciento de ellos ya buscan técnicas de ciberseguridad avanzadas mediante inteligencia artificial, automatización de procesos y análisis de datos.
FUENTE: DIARIO EL TIEMPO (CO)