La ola de amenazas a la seguridad informática en las empresas demuestra que ninguna es inmune a los ciberataques. Sony es la más reciente de las principales corporaciones en ser hackeada aun con equipos de seguridad dedicados.
El 2014 se ha ganado el dudoso honor de convertirse en el ‘Año de la filtración de datos’, aunque también hubo filtraciones en 2013 y en años previos.
Según el último Estudio sobre la Delincuencia Económica Global de PriceWaterhouseCoopers, el 7% de las organizaciones de Estados Unidos perdió 1 millón de dólares o más debido a los incidentes de cibercrimen en 2013; casi una quinta parte perdió entre 50,000 y 1 millón de dólares en el mismo período. Pero 2014 fue el año en que la fuga de información dio en el blanco con millones de registros de consumidores comprometidos en las principales tiendas. La noticia de la violación a Target estalló justo antes del nuevo año; Nieman Marcus llegó poco después, y las malas noticias al parecer no se han detenido.
Todo indica que el año termina con una nota aún más oscura, con las amenazas cibernéticas migrando a amenazas terroristas. Sony Pictures ha estado en los titulares por una infracción que ha sido embarazosa y costosa para el gigante de los medios.
Recientemente, el grupo que se atribuyó la responsabilidad por el hackeo amenazó con realizar ataques terroristas en las salas de cine que proyecten la película de Sony ‘The Interview’. En un mensaje publicado el martes pasado, el autonombrado grupo ‘Guardians of Peace’ advirtió a los espectadores: ‘Recuerden el 11 de septiembre de 2001. Les recomendamos que se mantengan alejados de estos lugares en este momento.’
Como resultado, la premier de Nueva York de la película ha sido cancelada, mientras que Regal Entertainment, AMC Entertainment, Cinemark y Cineplex Entertainment, entre otros, han sacado la película de los estrenos programados para las vacaciones.
Al mismo tiempo, el grupo está amenazando con dar a conocer información adicional (más allá de los mensajes de correo electrónico, números de seguridad social de celebridades, guiones de cine y más material que se haya publicado) en las próximas semanas.
Esto no es realmente acerca de Sony, o Target, o Home Depot, o Marshalls (la lista, lamentablemente, es más extensa). La historia de Sony es sólo la culminación de una serie de tendencias de seguridad preocupantes que hemos observado este año. El problema es tan importante que el Director de la Inteligencia Nacional considera que el delito cibernético es la máxima amenaza para la seguridad nacional.
El 2014 debe ser una llamada de atención para las empresas y para los individuos. Todas las grandes empresas mencionadas tienen personal dedicado a la seguridad y presupuestos de seguridad considerables. Los hackers son audaces e increíblemente sofisticados, lo que les permite atacar con éxito una variedad de empresas con empleados dedicados a la seguridad de los datos.
¿Qué pasa con el gran número de organizaciones que no cuentan con los recursos para contratar a un jefe de seguridad o dedicar a personal de TI para la ciberseguridad?
Tales hechos demuestran que nadie es inmune, ya sea que el ataque sea un hackeo avanzado contra una corporación multinacional o una infección que pide un rescate a una pequeña empresa.
Como explica Richard Henderson, Estratega de Seguridad para FortiGuard Labs de Fortinet: ‘Es claro cómo las empresas simplemente no están recibiendo el mensaje acerca de lo fácil que puede ser para un atacante ganar la entrada inicial a una red al comprometer el elemento humano de la ecuación de TI’. Las famosas campañas de spear-phishing dirigidas a los empleados con mensajes de correo electrónico que parecen legítimos o ataques de watering hole en los que sitios web confiables se ven comprometidos para capturar datos e instalar malware, son herramientas comunes y eficaces que los hackers utilizan todos los días.
Recientemente, la ICANN, organización responsable de los dominios de Internet, anunció que sus sistemas habían sido comprometidos como resultado de un ataque de phishing.
En una reciente entrada al blog de New York Times, Nicole Perlroth explicó que los expertos en seguridad dicen ahora que hay sólo dos tipos de empresas en los Estados Unidos: aquellas que han sido hackeadas y aquellas que aún no saben que han sido hackeadas. Y a pesar de que la ciberseguridad ‘se ha visto obligada a ingresar en la conciencia nacional’, explicó, todavía no tiene el sentido de urgencia que necesitamos.
En definitiva, no hay más tiempo para esperar en el tema de la seguridad cibernética. Las agencias gubernamentales y corporaciones, por igual, deben educarse y comprometerse a detener el delito cibernético ahora. Tampoco pueden permitirse enfoques mediocres a la seguridad, y los clientes (ya sean los ciudadanos en el caso del gobierno o de clientes en el caso de las empresas) deben exigir mejoras. Las organizaciones deben tener los planes correctos y las tecnologías adecuadas en marcha para hacer frente a las amenazas que hemos visto hacer tanto daño en el 2014 y las amenazas que sabemos que están en camino en 2015.
Por ejemplo, los investigadores de Fortinet han identificado ‘Blastware’ como una tecnología clave que esperan que los hackers empleen en 2015. Este programa malicioso no sólo destruye los sistemas que infecta, sino que a la vez cubre pistas de hackers mientras se mueven alrededor de datos de una organización.
Solo con la combinación adecuada de la investigación de vanguardia por los ‘hackers de sombrero blanco’ (que tienen la formación y experiencia para combatir la constante innovación de los ‘hackers de sombrero negro’) con potentes tecnologías emergentes en la detección de amenazas y fuertes regulaciones del gobierno, será viable controlar el abrumador aumento de la ciberdelincuencia.
Simplemente no podemos darnos el lujo de mantener el status quo de la buena seguridad y pensar que es suficiente. Hay demasiado en juego, las pérdidas para las organizaciones y los individuos son demasiado grandes, y los intereses de seguridad de cualquier nación son demasiado valiosos.
Por Andrew Del Matto, CFO de Fortinet.