intive Argentina Blog

Sobre «WannaCry» y los ciberataques: 4 elementos para crear una política de seguridad informática

Hace unos días, varias organizaciones e individuos de todo el mundo se convirtieron en víctimas de un secuestro de información, que exigía el pago de un rescate a cambio de la recuperación de los datos. Dentro de los más de ciento cincuenta países afectados, miles de computadoras recibieron un mensaje comparable al de alguna película de Hollywood. Ni siquiera el sistema de salud público de Londres se salvó del ataque conocido como “WannaCry”.

Los ataques que violan la seguridad informática no son nuevos, anteriormente hemos visto filtraciones de correos personales de Hillary Clinton, o inclusive de bases de datos de servicios con un alto nivel de confidencialidad, como el de Ashley Madison. En algunas ocasiones, estas exposiciones públicas – como es el caso de los Panama Papers – han tenido el noble fin de develar grandes verdades al mundo, y se han ejecutado en búsqueda de la transparencia y el acceso a la información. Otras veces – como la filtración de fotos de carácter personal de las celebrities Jennifer Lawrence, Kate Upton, Kirsten Dunst y Emma Watson – han sido planeadas con propósitos menos loables.

Yo no soy experto en este tema, pero sí hay algo que la vida me ha enseñado: la información es un bien preciado al que muy pocos otorgan valor hasta que ya es muy tarde. El mayor activo que tiene una empresa es su información; cualquier organización, emprendimiento o investigación científica debe tener esto en cuenta. La información permite tomar las decisiones adecuadas, anticipar lo que sucede en el mundo. Desde las elecciones de un inversor bursátil hasta las de un pequeño productor de quesos artesanal o, incluso, las del chico del delivery que piensa el mejor recorrido para entregar la pizza a tiempo. Todos dependemos de la información.

Hay empresas que llevan años recopilando información para diferentes usos, y las pérdidas que sufren ante estas vulneraciones se contabilizan en millones de dólares, y graves problemas de imagen corporativa y estabilidad en el mercado. Desde la entidad estadounidense National Cyber Security Alliance, aseguran que el 60% de empresas pequeñas no logra sobrevivir después de un problema de seguridad.

¿A qué se deben los terribles fallos en la seguridad que exponen a las empresas a ciberataques informáticos? En mi experiencia, surgen por dos razones:

  • La primera de las causas es de carácter humano. En este caso, el personal expone la información con o sin intención de afectar a la empresa. Algunos hackers aprovechan la vulnerabilidad de los sistemas que se originan en el error humano, utilizando técnicas de ingeniería social. En la mayoría de los casos obtienen acceso a zonas restringidas manipulando a las personas, ganando su confianza y evitando, de este modo, procedimientos de seguridad. Conocemos a hackers famosos que usan este modus operandi como Kevin Mitnick o Frank Abagnale (inmortalizado en la película “Catch Me If You Can”).
  • La segunda causa es la existencia de políticas de seguridad obsoletas o incompletas dentro de las empresas. Estos casos suceden cuando, por falta de análisis de riesgos o planes de contingencia y continuidad del negocio, se desconocen sus áreas vulnerables. Sin estos informes, entender el impacto y el costo de un ciberataque es muy difícil. Por otra parte, en el área de Tecnologías de Información la actualización de las aplicaciones y parches de seguridad no suele ser parte de los planes de soporte. En su artículo, Elissa Redmiles menciona que aunque el parche de seguridad para el virus del último ataque fue publicado en marzo del 2017, muy pocas organizaciones lo habían incorporado al momento del suceso. Cuando la empresa designa protocolos de seguridad, los mismos deben ser validados y auditables con el objetivo de evitar causas de esta índole.

¿Cómo logramos mejorar la seguridad?

Podemos definir cuatro elementos necesarios para instaurar una política de seguridad:

  • Integridad: La información sólo puede ser modificada por las personas autorizadas y siguiendo un protocolo preestablecido.
  • Confidencialidad: La información debe estar disponible para personas autorizadas solamente.
  • Disponibilidad: La información debe ser accesible cuando sea necesaria para no afectar o entorpecer el flujo de trabajo.
  • Irrefutabilidad: El uso y/o modificación de la información por parte de un usuario debe ser irrefutable. La acción debería quedar registrada, y el usuario no debería poder negarla.

Un excelente material para entender los términos que nombramos – y cómo se aplican a una empresa y a sus usuarios – es la exposición de Joe Grand “Pwned By The Owner: What Happens When You Steal A Hacker’s Computer”. Les dejo el video a continuación:

El primer paso para entender la necesidad de invertir en el área es analizar el costo de un fallo de seguridad, y observar cómo el negocio se puede ver comprometido. La seguridad no es algo para procrastinar o dejar de lado, eventos como el ataque “WannaCry” nos lo continuarán recordando a diario.

 

Rodolfo Cordero

Rodolfo Cordero es desarrollador en la compañía desde junio de 2016. Es Licenciado en Desarrollo de Software, graduado de la Universidad Latina de Costa Rica, país del cual es oriundo. Asiduo lector y melómano, hizo cursos de coctelería y barismo, habilidades con las que deleita al staff de intive en los afters organizados por la compañía.

Deja un comentario