Las empresas se están enfrentando a un cibercrimen cada vez más sofisticado que permite a los hackers intensificar los ataques. Especialistas en seguridad creen que los datos de las redes sociales serán explorados y combinados con otros registros para ser vendidos o usados con fines criminales digitales.
Fugas de datos sensibles como las que afectaron a minoristas del tamaño de Target, Nieman Marcus y Michael's han expuesto públicamente la seguridad de los datos de esas empresas, perjudicando con ello sus ventas y propiciando audiencias en el Congreso de EE.UU. Como muestran tales fugas, es cada vez más difícil para las empresas y compañías de tecnología adelantarse a los cibercriminales.
Las consecuencias nocivas para las finanzas de la empresa y el consiguiente desgaste de la confianza del consumidor, después de que los datos personales y o/de crédito de 110 millones de clientes fueron revelados en diciembre y enero pasados continúan perjudicando el rendimiento de Target. Se cree que los hackers tienen instalados programas con malware en las máquinas de los puntos de ventas de la empresa a través de uno de los proveedores de la cadena.
En una teleconferencia realizada después de la presentación del informe de beneficios de Target, el 26 de febrero, Gregg Steinhafel, consejero delegado de la empresa, dijo que el minorista aún está analizando lo que salió mal, pero ya ha aumentado la inversión en seguridad. "Ese incidente y las recientes brechas en la seguridad de otras empresas sacudieron la confianza del consumidor tanto en Target como, de manera más amplia, en el sistema de pagos de EEUU", dijo. De momento, Target ya ha tenido gastos de US$ 61 millones relacionados con la violación de sus datos, de ese total el seguro cubrió US$ 44 millones.
Mientras, la amenaza de los hackers continúa repercutiendo en la industria del comercio. Hace algunas semanas Sears anunció que estaba investigando una posible invasión de sus datos, aunque la cadena de tiendas de departamentos haya dicho que, hasta el momento, no ha detectado ninguna evidencia de ataque. "No hay dudas de que la seguridad de los datos ha aparecido más en la prensa el año pasado que en toda la década anterior, y eso es preocupante", dice Andrea Matwyshyn, profesora de Estudios jurídicos y de Ética en los negocios de Wharton. "El consumidor aún está en una situación en que no sabe qué hacer para protegerse".
La verdad es que los incidentes que sacudieron Target no fueron tan sorprendentes, ya que Verizon, por ejemplo, computó y analizó 47.000 incidentes en el área de seguridad y confirmó 670 violaciones de datos con efectos nocivos sobre diversas empresas e industrias, según un informe de investigación de violaciones de datos de 2013 de la operadora. El estudio en marcha documentó más de 2.500 quiebras de datos y 1.100 millones de registros comprometidos a lo largo de nueve años.
El informe de 2013, que analiza incidentes ocurridos a partir de 2012, es elaborado según el trabajo conjunto de socios de varias industrias y países con el propósito de analizar las cuestiones de seguridad desde el punto de vista judicial. Los incidentes mencionados en el informe cubren 27 países e industrias diversas. En concreto, un 37% de los registros tuvieron impacto sobre instituciones financieras, un 24% afectaron a las tiendas de comercio, un 20% a la industria manufacturera, transportes y concesionarias de servicios públicos y un 20% a las empresas de datos y de servicios profesionales. Según el informe, un 92% de los ataques fueron perpetrados por gente de fuera de las organizaciones atacadas.
Pero la violación de datos de Target —que hizo que las ventas de la empresa cayeran "de forma significativa" después de que se hiciera pública, declaró Steinhafel— hizo que la seguridad fuera la primera causa de preocupación para mucha gente, y muestra cómo las redes del crimen organizado han usado la tecnología para crear ejércitos de programas de ataque habiendo, inclusive, creado un mercado donde se compran y venden esos datos. "En última instancia, las empresas tendrán que unirse a esa lucha, porque el perjuicio para las marcas será una realidad", dice David Bell, profesor de Marketing de Wharton.
Desafortunadamente, las empresas tal vez no sepan cómo protegerse, observa Matwyshyn. "Será preciso que se creen nuevas estrategias de seguridad desde el punto de vista técnico y jurídico. Hoy hay más seguridad que en el pasado, pero no lo bastante para lo que nos encontraremos a partir de ahora".
Una manera obvia de mejorar la seguridad consistiría en la adopción, por los bancos y emisoras de tarjetas, de la llamada tecnología PIN usada en buena parte de la Unión Europea. Esa tecnología sustituiría la cinta magnética —recurso tradicional de las tarjetas de crédito que, junto con la firma del cliente, son usados por los minoristas como manera de confirmación— por una tarjeta inteligente equipada con un chip que requiere que los clientes tecleen un PIN (personal identification number, número personal de identificación) para completar la transacción.
Entre los que defienden que una versión de esas tarjetas inteligentes conocidas como EMV (sigla en inglés de los creadores originales de esa tecnología, Europay, Mastercard y Visa) se convierta en norma está Charlie Scharf, consejero delegado de Visa. Él declaró en enero que las fugas "nos recuerdan la necesidad de que todos nosotros continuemos trabajando juntos para garantizar que los pagos estén a salvo de los criminales". Mastercard también insistió a sus clientes para que aceleren la adopción del EMV. Las emisoras de tarjetas de crédito y el comercio en general se resisten desde hace tiempo a la tecnología debido al coste de fabricación de las tarjetas y a la adquisición de nuevas máquinas para los puntos de ventas.
Pero las fugas ocurridas en Target y en otras tiendas tal vez estén cambiando eso. La National Retail Federation (NRF, Federación Nacional del Comercio), que representa la industria del retail, dijo que apoya el uso obligatorio de la tecnología de chip y PIN y se ha empeñado en la aprobación de una ley federal que facilite el intercambio de informaciones sobre crímenes de datos. Según la NRF, "lo que permite, principalmente, el robo de datos de tarjetas es que la industria de tarjetas de EEUU y los bancos emisores aún usan una tecnología de los años 60, mientras que los criminales ya están en el siglo XXI".
Kevin Werbach, profesor de Estudios jurídicos y de Ética en los negocios de Wharton, dijo que "no ve problema alguno" en el cambio del chip y el PIN: "Va a disminuir el fraude. No es ninguna panacea, pero ciertamente ayudará a combatir una parte importante de la vulnerabilidad en la seguridad". A fin de cuentas, sin embargo, los especialistas de Wharton dicen que será preciso algo más que la tecnología para mejorar la seguridad de las empresas en EEUU. Es necesario que haya también un cambio en la estructura jurídica del país y en las actitudes del consumidor.
La cibercarrera armamentística
Una cuestión fundamental con que las empresas tendrán que lidiar es que el crimen cibernético recurre a nuevas tecnologías, tales como herramientas de automatización, que permiten a los hackers intensificar los ataques.
Durante una presentación el 26 de febrero en el Congreso del RSA en San Francisco, especialistas en seguridad hablaron sobre los ataques y amenazas más peligrosos que nos aguardan en el futuro. Los principales temas giraron en torno a las aplicaciones móviles, que permiten a los criminales usar aparatos inalámbricos para obtener datos de la tarjeta de crédito. Además, programas de malware se están instalando en las terminales de puntos de ventas de las tiendas, de manera que los datos pueden ser recolectados antes de ser encriptados. Y, en el futuro, los especialistas en seguridad creen que las informaciones contenidas en las redes sociales serán exploradas y combinadas con otros registros para la obtención de informaciones personales identificables que puedan ser vendidas o usadas con fines criminales digitales. "Las empresas tendrán que apresurarse para estar al día", dice Matwyshyn. "A veces, las nuevas tecnologías son la respuesta, pero las empresas puede que tengan que innovar para salir de esa situación complicada. ¿Cómo disminuir el riesgo?"
Shape Security es una de las empresas que ha estado intentando hacer eso. El 25 de febrero, ella anunció que había captado US$ 40 millones en una tercera ronda de capital riesgo. La empresa lanzó de forma reciente productos basados en código polimórfico, un código que cambia cada vez que es usado, aunque continúe ejecutando la misma función. Hoy, muchos ataques hechos contra webs sacan provecho del recurso "ver fuente" de los navegadores de Internet, que permite a cualquiera ver el código subyacente usado al desplegar la página. Según Shape, el código polimórfico podría combatir los ataques porque pasa por un proceso de auto regrabación cada vez que se carga una página. Como consecuencia, resulta más difícil para el hacker sacar provecho de él.
El objetivo principal es desbaratar la economía del cibercrimen obligando a los criminales a trabajar más duro. Actualmente, es relativamente fácil para un criminal de Internet crear "bots", programas automáticos introducidos de forma subrepticia, que se quedan en estado de hibernación hasta que son disparados de forma remota cuando las condiciones son ideales para el ataque.
Mientras, otras empresas de seguridad ofrecen estrategias nuevas. FireEye, por ejemplo, creó lo que llama modelo de Protección Constante de Amenazas [Continuous Threat Protection], que identifica las amenazas en tiempo real, en lugar de actualizar su software de protección sólo después de identificar una nueva forma de malware. Otra empresa, Seculert, planea detectar e interceptar automáticamente los llamados "botnets" por medio de análisis y analítica de tráfico.
Según Matwyshyn, será preciso que las empresas de tecnología dedicadas a la defensa del consumidor hagan más pruebas de ese tipo. "Cuando se trata de seguridad, el raciocinio tiene que ser de última generación", dice. Werbach concuerda y señala que "la seguridad del ciberespacio es una carrera armamentista, y los buenos están en gran desventaja. Simplemente no hay manera de protegerse al cien por cien contra toda vulnerabilidad, porque basta sólo con que una persona o empresa afloje la seguridad para que haya un ataque exitoso. Tenemos que emplear una tecnología más avanzada, pero aquello que necesitamos realmente es más flexibilidad y mejores incentivos en el sistema".
El plan de Steinhafel es convertir a Target en un proyecto de saneamiento de primera clase en el sector de la seguridad. "Estamos acelerando la introducción de una tecnología de chip; estamos también invirtiendo más de US$ 100 millones para equipar nuestras tiendas y vamos a lanzar una tarjeta de crédito y de débito inteligente, con chip, con la marca de Target", dijo Steinhafel durante la conferencia de beneficios del cuarto trimestre de la empresa. "Hace tiempo que apoyamos esa tecnología más segura, pero su adopción en el mercado americano en general siempre ha sido difícil de implementar. Creemos que los eventos recientes ayudarán a la industria a llegar a un punto decisivo en lo que concierne a la adopción de esa tecnología en EEUU. Estamos invirtiendo para garantizar que Target lidere sin ambigüedades ese cambio".
Cambiar los incentivos
Werbach dice que es preciso que haya más transparencia en relación a las empresas que están usando mejores prácticas, y las que no lo están. Además, como el consumidor no puede ser responsabilizado por el fraude en la tarjeta de crédito, él se siente menos incentivado a exigir sistemas más rígidos en las empresas que atrasan las inversiones en seguridad.
Robert Meyer, profesor de Marketing de Wharton, dijo que Target y otras empresas minoristas tendrán que esperar para ver de qué modo el consumidor cambiará su comportamiento tras los ataques cibernéticos. "Ante situaciones arriesgadas, las personas tienden a fijarse en episodios individuales", resalta Meyer. "Por ejemplo, la violación ocurrida en Target es un evento pequeño respecto al escenario general de seguridad, pero existe la posibilidad de daños a la marca si la empresa se viera asociada a un nuevo ataque".
Target redujo sus proyecciones de ventas debido a la violación de datos, pero el liderazgo de la empresa informó durante la conferencia de beneficios del cuarto trimestre que la interacción del cliente con la empresa comenzaba a recuperarse.
"Yo creo que el incidente de Target va a salir de escena relativamente deprisa", dice Meyer. "Es más importante la manera que tienen las empresas de lidiar con esos acontecimientos y recuperar la confianza. Si lo último que recuerdan las personas es que los clientes de Target tuvieron sus cuentas hackeadas —aunque no comprendan totalmente lo que eso significa— ellas dejarán de comprar en la tienda, o ya no usarán la tarjeta de crédito en el establecimiento". Como parte del mea culpa por haber divulgado la violación de datos en diciembre, Target ofreció un descuento del 10% a todos los clientes que hicieran compras en la tienda a finales de semana antes de la Navidad. También les ofreció un año entero sin seguimiento de su historial de crédito. "Cualquier cosa que se haga para que las personas se sientan más seguras tiene un impacto positivo", dice Meyer.
Él añade que es improbable que la mayor parte de los consumidores dejen de usar la tarjeta de crédito para protegerse de los hackers. "Tal vez el consumidor pueda, y deba, gastar menos realizando sus transacciones en dinero efectivo, pero él no está en posición de hacerlo", dice Meyer. "La familia media está endeudada, por eso esa salida no está a su alcance".
Para que la seguridad mejore, Matwyshyn dice que la estructura de incentivos hoy en vigor entre los minoristas, bancos y compañías de tarjeta de crédito de EEUU necesita cambiar. Uno de los motivos por los cuáles la tecnología del chip y del PIN funcionó en Europa se debe a la diferencia fundamental de relación entre bancos y órganos reguladores en el continente. Los órganos reguladores europeos tienen más influencia y menos roces con los banqueros, lo que les permitió convertir la tecnología de la seguridad en una forma de mejorar el servicio prestado al cliente y reducir costes, dice Matwyshyn.
En EEUU, sin embargo, los órganos reguladores en general no tienen la capacidad de imponer fácilmente mandatos referentes a nuevas tecnologías y arquitecturas sobre las empresas. El argumento contrario a la tecnología del chip y del PIN defiende que su coste de implementación es caro y que la emisión de nuevas tarjetas implicaría un esfuerzo de administración de enormes proporciones. "Los bancos europeos se quedaron en la promesa, pero los órganos reguladores allí les dieron un empujón. Aquí, eso no sucede", observa Matwyshyn.
Además, la determinación de la responsabilidad después de ocurrida la violación tiene que ser tomada en cuenta, dice Matwyshyn. Si una empresa no descuida la seguridad y puede probar que usa la más moderna tecnología, no debería ser difícil para ella lidiar con los órganos reguladores y defenderse de forma más competente contra cualquier acción judicial que pueda ocurrir. "La entidad comprometida tiene que convencer al tribunal y los órganos reguladores de que actuó de forma racional", dice Matwyshyn, añadiendo que el lado opuesto de la ecuación sería una sanción más rigurosa para una empresa que ahorró en seguridad prefiriendo colocar sus recursos en otro parte.
"Son muchas las áreas de infraestructura en que EEUU está bastante atrasado. Nuestro atraso en el área de seguridad varía de empresa a empresa, pero la mayor parte de ellas es más complaciente de lo que esperaríamos que fuera", añade Bell. "Por más atrasados que podamos imaginar que estemos en comparación con los cibercriminales, es probable que estemos aún mucho más atrasados que eso".