Pasar al contenido principal

ES / EN

La nueva generación de hackers que amenaza los datos de las empresas
Lunes, Julio 30, 2012 - 17:43

La información es cada vez más valiosa en en todo tipo de empresas, llegando a costar miles de millones de dólares sólo con un ataque. ¿Quien está detrás de esto y cuáles son los beneficios de estos nuevos cibercriminales?

UniversiaKnowledge@Wharton. El cibercrimen es una amenaza que crece de forma rápida, pero parece que las empresas y los consumidores no le prestan la debida importancia. A medida que un número cada vez mayor de transacciones tiene lugar de forma virtual –a través del computador y de los aparatos móviles- aumenta la posibilidad de robo de informaciones valiosas por parte de criminales.

Al mismo tiempo, los ciberataques son cada vez más sofisticados, lo que hace sospechar que algunos de ellos, como el del reciente virus Flame, tal vez estén siendo patrocinados por Estados soberanos. Aunque la ley esté más atenta a la cuestión, los analistas dicen que las empresas americanas no están haciendo todo lo que está a su alcance para hacer frente a esa amenaza. “El problema ha crecido de forma exponencial en el transcurso de los últimos diez años”, observa Andrea Matwyshyn, profesora de Estudios jurídicos y de Ética en los negocios de Wharton. “A medida que la tecnología avanza, la velocidad y el potencial de ataques aumenta también de forma exponencial”.

Según Privacy Rights Clearinghouse (PRC), un grupo sin fines de lucro especializado en derechos de privacidad del consumidor, ha habido 591 invasiones de datos en un total de 31,1 millones de registros hechos, inclusive de números del Seguro Social y de informaciones financieras. En 2010, los incidentes contabilizaron 12,8 millones de registros. El PRC destaca que esas cifras son conservadoras y no incluyen invasiones que no han salido a la luz pública.

El número de invasiones no percibidas es igualmente significativo. “Muchas veces, nos encontramos con empresas que ni siquiera sabían que sus datos estaban comprometidos”, observa John Brosnan, agente especial asistente encargado de la oficina del FBI en Filadelfia. Aunque las cifras totales sean difíciles de contabilizar, es evidente que el coste del crimen virtual está aumentando. Investigaciones hechas por HP, peso pesado de la tecnología, mostraron que el coste medio para lidiar con un ataque virtual era de US$416.000 en 2011, frente a US$250.000 en 2010.

No es sorprendente que el asunto esté volviéndose prioritario desde el punto de vista legal. En un editorial del 3 de junio en New York Times, Preet Bharara, procurador judicial del distrito sur de Nueva York, dijo: “Pocas cosas me preocupan más que el aumento de la amenaza virtual”. Más tarde, aquel mismo mes, según Economist, Jonathan Evans, director general del MI5, servicio de seguridad de Reino Unido, también dio la alarma al revelar que una empresa de gran tamaño que cotiza en la bolsa londinense había tenido pérdidas de US$1.200 millones en un ciberataque patrocinado por un Estado soberano.

La razón por la cual el cibercrimen está creciendo es muy simple: según la célebre observación de Willie Sutton sobre el asalto a bancos, "es ahí donde está el dinero”. “La seguridad de la información es un asunto serio desde hace décadas, desde cuando los ordenadores comenzaron a almacenar datos valiosos”, observa Kevin Werbach, profesor de Estudios jurídicos y de Ética en los negocios de Wharton. Con la llegada del comercio electrónico en los últimos 15 años, hay un volumen mucho mayor de datos para robar e incontables maneras de hacerlo. En la medida en que Internet esté más presente en todos los aspectos de la vida cotidiana, y el valor de las transacciones digitales aumente, el alcance de las amenazas a la seguridad continuará creciendo”.

El origen de Internet –con su arquitectura abierta– dificulta la resistencia a la ofensiva de los criminales. “La idea inicial era crear una red de comunicaciones militares que fuera invulnerable a un posible ataque en un punto central del sistema, al igual que lo que ocurre en una red telefónica”, dice Michael Levy, director para el combate de crímenes de computación de la procuraduría judicial de EEUU en el distrito Este de Pensilvania y profesor adjunto de la Facultad de Derecho de la Universidad de Pensilvania. “Por lo tanto, Internet no tiene un punto central y dispone de varios sistemas que ejecutan las mismas funciones en duplicidad. No se puede prever de qué manera la información va a viajar. Cuando se corta un nodo [de datos], éstos recorren otro camino. No había necesidad de un sistema de seguridad porque sus usuarios eran personas de confianza. Más tarde, el sistema se abrió a los investigadores, que eran también gente de confianza. Cuando la red se abrió al público en los años 90, no hubo preocupación por instalar componentes fuertes de seguridad en el sistema”.

 

Una lista larga e inagotable de ataques

La lista de víctimas de los ciberataques ha crecido rápidamente. Algunos ejemplos recientes: la red de PlayStation de Sony fue hackeada en 2011, y 77 millones de cuentas se vieron afectadas. Epsilon, empresa de marketing online, fue invadida el año pasado. Los criminales robaron un número no revelado de nombres y de correos de consumidores. Ese tipo de información es una mina de oro para los criminales, que pueden utilizarla para enviar mensajes maliciosos a las personas. La creatividad de los hackers hace muy difícil el trabajo de protegerse contra esas invasiones. Las herramientas disponibles actualmente “no son muy buenas para la detección de malwares dirigidos a usuarios específicos, es decir, programas creados especialmente para un ataque objetivo”, observa Matthew Green, profesor asistente del Instituto de Seguridad de la Información de la Universidad Johns Hopkins. “Desafortunadamente, nadie es muy bueno en eso. En parte, porque los malwares son siempre nuevos, no se habían visto antes, por eso es difícil reconocerlos”.

Lo más preocupante, dicen los especialistas, son los recientes ciberataques que no parecen ser obra de media docena de hackers. En 2009, Google, Yahoo y diversas empresas del Valle del Silicio fueron víctimas de un ataque muy serio. Google reveló que partes de su propiedad intelectual habían sido robadas. Después de constatar que el ataque provenía de China, Google dejó de hacer negocios con los chinos. En 2010, la aparición del virus Stuxnet llevó a los especialistas a creer que el objetivo del virus era damnificar la infraestructura de uranio de Irán. Otro virus, el Flame, creado con el objetivo de infiltrarse en los ordenadores a través del sistema operativo Windows, de Microsoft, fue descubierto en 2012 y tenía también como objetivos grupos localizados en Oriente Medio. Reportajes de Washington Post y de otros vehículos de comunicación vincularon el malware a Israel y EEUU.

“La mayor parte de los programas maliciosos son obra de criminales, cuyo interés único es ganar dinero”, observa Green. “Eso significa robar números de tarjeta de crédito y cuentas de bancos del ordenador de las personas por medio de spams y falsas webs”. Pero hay intrusiones de carácter más tecnológico que son totalmente distintas. “Flame y Stuxnet tienen muchas semejanzas superficiales con el malware típico de criminales comunes, pero por debajo son una especie totalmente distinta: son armas”, dice Green. Stuxnet se hizo famoso por destruir las centrifugadoras nucleares de Natanz, en Irán. Flame parecía comportarse como espía en la época en que fue descubierto, pero es posible que haya sido capaz de otras cosas. Tal vez jamás lo sepamos, ya que él se autodestruyó antes de ser descubierto”. Green añade que el trabajo tan complejo detrás de Flame indica que no fue obra de hackers comunes. “Hay evidencias de que matemáticos de primera línea participaron en la creación de Flame”, dice Green. “Son recursos típicos de gobiernos, y no de criminales”.

Con el aumento de los ataques, las empresas del sector de seguridad se apresuran a ofrecer herramientas para impedir esas invasiones. Michael Callahan, vicepresidente de marketing del producto y de soluciones de la unidad de productos de seguridad empresarial de HP, dice que el mercado de productos y servicios de seguridad representa cerca de US$70.000 millones actualmente y está creciendo a un ritmo veloz. “La estrategia tradicional ha sido la de comprar otra solución, después otra más”, observa Callahan. “Es casi como si intentáramos tapar varios agujeros en una presa”. Actualmente, dice, las empresas están buscando entender los puntos débiles de su sistema lidiando con ellos de forma proactiva. "Ellas quieren comprender hasta qué punto están expuestas. El objetivo es analizar todos los sistemas e intentar comprender cuáles son los puntos más críticos”.

 

Guerra de cifras

Pero aunque algunas empresas estén preparándose para combatir de forma tenaz cualquier vulnerabilidad, Matwyshyn, de Wharton, dice que un número muy grande de empresas no está tomando la amenaza tan en serio como debería. “La seguridad siempre ha sido un espacio que ha motivado guerras culturales en las empresas”, observa Matwyshyn. “Cuando hay un buen sistema de seguridad en funcionamiento, y la empresa invierte en su mantenimiento, eso no aparece en los beneficios de la compañía. Se previene un evento negativo, pero que nunca aparece como hecho positivo en las finanzas de la empresa. Los defensores de la privacidad y de la seguridad se enzarzan en una guerra con el personal encargado de las cifras de la empresa, que está mucho más preocupada por los resultados económicos positivos sobre la adjudicación interna de recursos. Ellos están obligados a comparar situaciones en que, por ejemplo, hay un extra esperado de ingresos del orden de US$20 millones sobre una adjudicación de recursos en el proyecto A versus la adjudicación de los mismos recursos en el proyecto B para la financiación de una mejora significativa de la seguridad de datos, sin embargo esas mejoras no tendrán como resultado ningún aumento visible de ingresos a corto plazo”.

Dejar de tomar en cuenta los riesgos del cibercrimen puede costar muy caro. En el caso de las empresas de Internet, la capacidad de proteger las informaciones de los clientes es fundamental para el inversor. “Si la empresa confía mucho en la información digital, y si el valor de esa información procede del control que se tiene sobre ella, pero si esa información está totalmente disponible en un intento de evitar la criminalidad, deja de ser un recurso escaso”, destaca Matwyshyn. “En ese caso, el valor agregado que la empresa proporciona es pequeño”.

Al mismo tiempo, Matwyshyn espera que haya un aumento de demandas legales a través de las cuales consumidores y empresas exigirán compensación a las empresas que no hayan sido capaces de adoptar medidas adecuadas de seguridad y hayan sido víctimas de hackers. “La posibilidad de las partes afectadas de exigir reparaciones de las empresas que optaron por no invertir en la seguridad de los datos será pieza fundamental de ese rompecabezas”, dice Matwyshyn. “Hay bancos que han tenido que emitir tarjetas de crédito de nuevo debido a brechas y que han optado por demandar a minoristas que no disponían de un sistema adecuado de seguridad. Estamos hablando, en este caso, de quién debería ser el responsable de la opción de la empresa de no invertir en un buen sistema de seguridad”.

Es evidente que no son sólo las informaciones sobre el cliente las que están en juego. Los hackers pueden también acceder a la propiedad intelectual y los secretos de los negocios de las empresas. Levy, de la Universidad de Pensilvania, destaca que si las empresas tuvieran un sistema de seguridad virtual vulnerable, podrían tener dificultades para imponerse ante los hackers en los tribunales. “La definición de secreto empresarial exige, entre otras cosas, que se den algunos pasos para conservar el secreto”, dice Levy. “Por lo tanto, si no se dieron esos pasos, el poder público tal vez no pueda establecer un caso de crimen, ya que no hay pruebas de que había un secreto”.

Para complicar aún más la lucha contra el cibercrimen, algunas leyes americanas no están actualizadas para reflejar los avances tecnológicos. “Muchas leyes de EEUU que tienen que ver con la seguridad de la información están anticuadas”, observa Werbach, de Wharton. “Su diseño responde a tecnologías antiguas. Por ejemplo, la Ley de Privacidad de las Comunicaciones Electrónicas, sancionada en 1986, permite que las autoridades accedan al correo particular de una persona sin una orden de registro después de que un proveedor, como Gmail, lo haya almacenado más de 180 días. Nadie dejaba sus mensajes en un servidor remoto en los años 80, pero hoy en día esa es la forma en que muchos usuarios administran su correo electrónico”.

Levy también cree que hay diversas lagunas en la ley que deberían ser debidamente tratadas. Una laguna muy grande, dice, tiene que ver con las actitudes incorrectas de los trabajadores. Según Levy, la ley es clara cuando dice que es un crimen acceder a un ordenador sin permiso. ¿Pero y cuando el empleado tiene autorización para visitar ciertas informaciones para fines empresariales? En ese caso, dice, no hay consenso entre los tribunales en cuanto a procesar los individuos que tienen el derecho de acceder a ciertas informaciones y que hacen un mal uso de las mismas. “Creo que necesitamos una legislación que corrija eso”, dice Levy.

Al mismo tiempo, Levy se preocupa por el hecho de que los recursos para las leyes creadas para combatir el cibercrimen sean insuficientes. “El FBI tiene mucha gente buena y hace un excelente trabajo. En algunas partes del país, el Servicio Secreto debe asumir el liderazgo del combate del cibercrimen”, dice. “Pero hay muchos grupos que no disponen de los recursos para hacer un análisis forense del ordenador, por lo tanto, no es raro esperar de seis a ocho meses para hacer un análisis de ese tipo. La mayor parte de las agencias responsables del cumplimiento de la ley simplemente no disponen de los recursos necesarios”. Ese tipo de debilidad sirve tan solo como invitación para más ataques por parte de un ejército de hackers cada vez más atrevidos.

Autores

UniversiaKnowledge@Wharton