La ciberseguridad empresarial y personal tienen bastante más en común de lo que pudiéramos imaginarnos a primeras. A continuación repasamos algunos de los aspectos claves que nos ayudarán a estar alertas.
Fue el año 2014 cuando Sony Pictures llegó a ser noticia por mucho más que una de sus tantas películas. La compañía sufrió uno de los ataques cibernéticos más grandes que se han conocido. Se estima que produjo daños por un valor de US$100 millones y se comprometieron 100 Tb de datos.
Caso similar en cuanto a magnitud vivió el Banco Central de Bangladesh en febrero de este año. Fue atacado de tal forma que se pretendía generar transferencias fraudulentas por unos US$951 millones. Pese a que la mayoría de ellas fueron bloqueadas, los ciberdelincuentes igualmente lograron sustraer US$81 millones.
Lógicamente, las cifras envueltas en estos ciberataques tienen poco que ver con lo que podamos experimentar como usuarios individuales. Pero más allá de eso, lo cierto es que la ciberseguridad empresarial y la personal tienen bastante más en común de lo que pudiéramos imaginarnos a primeras. A continuación repasamos algunos de los aspectos clave a comparar.
TIPOS DE INFECCIÓN
Así como un delincuente común puede irrumpir en una casa o tienda comercial y robarse algunos de los bienes más valiosos que tengamos, en el mundo cibernético los métodos para infectar son similares.
Durante el IIl Foro de Seguridad Informática de Eset, realizado en Río de Janeiro, tuvimos oportunidad de conversar con Miguel Mendoza, Security Researcher de la compañía, quien aclara que “el malware que puede infectar a un usuario, también puede afectar a las empresas”. Como ejemplo pone al ransomware, aquella amenaza que “secuestra tu información y los datos del equipo” y pide un rescate monetario para liberarla. La clave está entonces en el valor de esa información. Cada organización, tanto empresas grandes como pequeñas y hasta usuarios comunes, le asignan un valor a sus datos en función de un precio de mercado, sino de lo que significa para ellos. Imagina, por ejemplo, cuánto valor tendrá para un estudiante a punto de graduarse la recuperación de su tesis final que fue robada por un ciberdelincuente, explica Mendoza.
Pero esto no es lo único, pues también encontramos troyanos bancarios, códigos especialistas en atacar nuestra banca en línea con la información financiera, tanto de usuarios como empresas. También encontramos los bots, que buscan tener la mayor cantidad de equipos a su disposición para propagar spam, malware u otras infecciones con distintos fines. Dispositivos empresariales o personales pueden ser utilizados para tal servicio a los cibercriminales.
MÉTODOS DE ATAQUE Y PROPAGACIÓN
Lamentablemente este es un punto donde como usuarios, no hemos avanzado mucho. En le mundo físico, a medida que vamos creciendo todos nos hacemos una idea relativamente clara de qué situaciones o zonas representan algún peligro, pero pareciera que en el mundo virtual aún no. De hecho, el método de propagación de los ataques, la puerta de entrada para infectarnos, sigue siendo casi igual que en los primeros años.
El ejemplo emblema es el correo electrónico. Sigue siendo sumamente efectivo considerando la inclusión de archivos adjuntos o enlaces maliciosos. La sugerencia es siempre poner especial atención de aquellos correos de remitentes desconocidos, con redacciones sospechosas y URLs acortadas.
Los dispositivos USB también siguen siendo un medio predilecto de contaminación para empresas o usuarios. La portabilidad y la sencillez para insertar el código malicioso lo convierten en un enemigo perfecto para nuestra seguridad. De igual forma, Miguel Mendoza apunta a la explotación de vulnerabilidades como otro de los métodos comunes: “Como usuarios, muchas veces no tenemos la precaución de actualizar el software cuando en ocasiones tiene fallas, las que se corrigen con actualizaciones. Si no lo hacemos, estamos teniendo una ventana de acceso para los atacantes a nuestros sistemas”, señala el investigador mexicano.
OBJETIVOS Y CONSECUENCIAS
Quizás este es el aspecto donde encontramos mayores diferencias. Aunque en general aplican de manera parecida, no es raro que se presenten casos donde los ataques sean dirigidos y persistentes, especialmente a un usuario de perfil alto o una empresa conocida. Ya sea por motivaciones políticas, ideológicas o económicas, alguien en particular puede convertirse en el objetivo de un ataque, para lo cual se utilizan grandes recursos de tiempo, energía y hasta dinero para desarrollar amenazas exclusivas para un blanco.
No obstante, de manera paralela, también existen los ataques masivos, aquellos que se lanzan intentando afectar a la mayor cantidad posible de usuarios o organizaciones porque saben que no se toman las precauciones necesarias por intentar evitarlo. Hay campañas de malware están totalmente orientadas a afectar usuarios o a organizaciones. Según el investigador en seguridad, “hay empresas que no cuentan con medidas de protecciones adecuadas, generalmente son pymes, que no tiene recursos o personal, y son un objetivo relativamente sencillo, comparadas con empresas que sí aplican medidas de seguridad robustas”.
MUNDOS DISTINTOS, MISMA REALIDAD
La conclusión al análisis es evidente. Las amenazas que pueden afectar a empresas también pueden hacerlo a un usuario común de la misma manera. “Las amenazas existen, orientadas a empresas o usuarios, porque tenemos información que es importante, que se puede monetizar, que son datos valiosos para alguien, que nosotros deberíamos darle ese valor, porque muchas veces o lo hacemos, pero hay personas que sí lo hacen y los quieren obtener”, resume Mendoza.
Los ataques cibernéticos están literalmente a la orden del día. Se sabe ya que es una actividad organizada y “profesional”. No sorprende por eso, que, según cifras de Eset, 78% de las empresas encuestadas de Latinoamérica hayan indicado haber sufrido un incidente de seguridad. Para los usuarios la realidad no es muy distinta. Por lo tanto, el llamado de los expertos es a adoptar buenas prácticas en pos de nuestra protección. Ya no basta con la concientización.