Resumen Ejecutivo
Intro
“Piensa en la [ciberseguridad] más como seguridad y protección en carreteras y automóviles. El automóvil no ha cambiado realmente en los últimos 30 años, pero tiene mucha seguridad incorporada y no es nada atractivo hasta el momento en que te salva la vida. Tienes partes ocultas – bolsas de aire – y pedacitos que están ahí para recordarte que estés a salvo como cinturones de seguridad… Parte de esto se trata de buen comportamiento y buena actitud, parte de la seguridad física para recordarte que existe un riesgo y parte de ella se prepara para salvarte.”– Sian John, Estratega Senior de Ciberseguridad en Symantec
Lo admitiremos. La ciberseguridad no es sexy. Sin embargo, en la era digital de la actualidad, la ciberseguridad se ha vuelto cada vez más crítica para las grandes corporaciones y las pequeñas empresas emergentes por igual. Hoy, lo que está en juego es más alto que nunca, como “cada compañía se ha convertido en una compañía de tecnología.” La tecnología se ha convertido en algo más que un complemento de las operaciones de una empresa, y en muchos casos, los activos que viven en su red son sus operaciones principales. Esto se ve agravado por el hecho de que los hacks se están volviendo comunes debido al aumento en el uso de dispositivos móviles e internet de las cosas, así como al creciente ecosistema de ciberdelincuentes.
Este artículo describe los tipos de ciberdelincuentes, tácticas de cibercrimen y factores contribuyentes. La pieza también incluye soluciones tangibles que las empresas pueden usar para protegerse. Las soluciones incluyen protecciones tecnológicas y componentes humanos. Por ejemplo, el liderazgo debe reconocer la ciberseguridad como un problema comercial estratégico y no solo como un “problema de TI”. Además, algunas de las soluciones más efectivas son bastante básicas, como la educación de los empleados o la autenticación de doble factor para los usuarios.
¿Qué es un cibercrimen?
En pocas palabras, un cibercrimen es un crimen con algún tipo de aspecto informático o cibernético. Puede tomar forma en una variedad de formatos y de individuos o grupos con diferentes factores de motivación. Las amenazas cibernéticas son fundamentalmente riesgos asimétricos donde pequeños grupos de individuos pueden causar cantidades, desproporcionadamente, grandes de daño.
Categorías de Ciberdelincuentes
- Grupos del crimen organizado con motivación financiera: La mayoría de estos grupos se encuentran en Europa del Este
- Los actores del estado nacional: Personas que trabajan directa o indirectamente para que su gobierno robe información delicada e interrumpa las capacidades de los enemigos. En general, son los atacantes cibernéticos más sofisticados, con 30% viniendo de China.
- Grupos de activistas o “hacktivistas”: No suelen robar el dinero. Están promocionando su religión, política o causa; quieren impactar reputaciones o impactar clientes.
- Persona con información privilegiada: Estos son los empleados “desilusionados, chantajeados o incluso demasiado serviciales” que operan desde dentro de una compañía. Sin embargo, no pueden involucrarse en actividades cibercriminales intencionalmente; algunos simplemente pueden tomar una lista de contactos o un documento de diseño sin darse cuenta del daño que podría causar.
La edad promedio de un cibercriminal es 35 años y el 80% de los piratas informáticos criminales están afiliados con el crimen organizado. En resumen, las personas eligen esto como una profesión.
Tácticas Cibercriminales
Los cibercriminales utilizan métodos estáticos y dinámicos para cometer sus crímenes. Vamos a profundizar.
Denegación de Servicio Distribuido (DDoS)
Un ataque DDoS intenta interrumpir el servicio de una red. Los atacantes envían grandes volúmenes de datos o tráfico a través de la red hasta que se sobrecarga y deja de funcionar. El tráfico entrante que inunda a la víctima proviene de muchas fuentes diferentes, posiblemente cientos de miles. Esto hace posible detener el ataque al bloquear una sola dirección IP y hace que sea difícil distinguir el tráfico legítimo del tráfico de ataque.
Suplantación de Identidad
A menudo se presenta como una solicitud de datos de un tercero confiable, ataques de suplantación de identidadse envían por correo electrónico y piden a los usuarios que hagan clic en un enlace e ingresen sus datos personales. A menudo involucra manipulación psicológica, invocando la urgencia o el miedo, engañando a personas desprevenidas para que entreguen información confidencial.
Hay un par de factores relacionados. En primer lugar, los correos electrónicos de phishing se han vuelto sofisticados y con frecuencia se parecen a solicitudes legítimas de información. En segundo lugar, la tecnología de phishing ahora le está dando licencia a los ciberdelincuentes, incluidos los servicios de phishing bajo demanda y kits de phishing listos para usar. Quizás lo más preocupante es el hecho de que los servicios web oscuros han permitido a los cibercriminales refinar sus campañas y habilidades. De hecho, los correos electrónicos de phishing tienen seis veces más probabilidades de ser cliqueados que los correos electrónicos de marketing de consumo habitual.
Malware
Malware, abreviación de “software maligno,” está diseñado para obtener acceso o dañar una computadora. El malware es un término general para una serie de ciberamenazas que incluye Trojanos, virus, y gusanos. A menudo se introduce en un sistema a través de archivos adjuntos de correo electrónico, descargas de software o vulnerabilidades del sistema operativo.
Mal uso del Privilegio Interno
Mientras que los infiltrados maliciosos que filtran información a WikiLeaks reciben toda la prensa y la gloria, un escenario más común es que un empleado promedio u oportunista o un consumidor secretamente toma datos confidenciales con la esperanza de cobrar en algún momento (60% de las veces). A veces, los empleados se ponen un poco curiosos y hacen algo de fisgoneo (17%). La información personal y los registros médicos (71%) están destinados a delitos financieros, como el robo de identidad o el fraude en la devolución de impuestos, pero a veces es simplemente por chismes.
Revisores de Tarjetas Físicas
Estos ataques incluyen implantar fisicamente en un activo que lee los datos de banda magnética de una tarjeta de pago (por ejemplo, cajeros automáticos, bombas de gasolina, terminales TPV). Es relativamente rápido y fácil llevar a cabo un ataque como este, con el potencial de un rendimiento relativamente alto—y también es un tipo de acción popular (8%).
Consecuencias y Costos de la Ciberseguridad
Costos a la Empresa
Hace tres años, el Wall Street Journal estimaba que el costo del cibercrimen en los Estados Unidos era de 100 billones de dólares. Otros informes estimaron que la cifra era tanto como diez veces más alto que esto. En 2017, el costo promedio de una violación de datos es de 7.35 millones de dólares, en comparación con 5.85 millones en 2014. Los costos incluyen todo desde detección, contención y recuperación ante la interrupción del negocio, la pérdida de ingresos y el daño al equipo. Más allá de las preocupaciones monetarias, una brecha cibernética también puede arruinar elementos intangibles, como la reputación de una empresa o la buena voluntad de los clientes.
Curiosamente, las empresas con los niveles más altos de innovación empresarial a menudo tienen ataques más costosos. Una “innovación empresarial” podría ser cualquier cosa, desde una adquisición o desinversión hasta la entrada en un nuevo mercado geográfico. Se demostró que una adquisición o desinversión de una empresa aumenta el costo del delito cibernético un 20% mientras que el lanzamiento de una nueva aplicación significativa aumentó el costo un 18%
Para las empresas de servicios financieros, los costos posteriores a una violación de la seguridad se pueden atribuir a la interrupción del negocio, la pérdida de información, la pérdida de ingresos y otros costos.
La Ciberseguridad se Pronuncia para la Industria de Servicios Financieros
La desafortunada verdad es que, aunque ninguna industria es inmune, los problemas de ciberseguridad son particularmente pronunciados para los servicios financieros. De acuerdo con el Informe de Investigaciones de Violación de Datos de Verizon 2017, el 24% de las infracciones afectaron a las organizaciones financieras (la industria más importante), seguidas por la atención médica y el sector público. En comparación, en 2012, la industria ocupó el tercer lugar después de las industrias de defensa y servicios públicos y energía. Más allá de la frecuencia, el costo para las empresas financieras es el más alto de todas las industrias, perdiendo un promedio de 16.5 millones en 2013.
En servicios financieros, el tipo más común de violación cibernética involucró ataques DDoS. Y, como para todos los ataques DDoS, la industria financiera fue golpeada con más fuerza.
Falsos Hackings de Servicios Financieros
Ataque Contra Seis Bancos Estadounidenses (2012)
En 2012, seis importantes bancos estadounidenses (Banco de América, JPMorgan Chase, Citigroup, Banco de Estados Unidos, Wells Fargo y PNC) fueron objetivos principales en una ola de ataques informáticos por un grupo que reclama vínculos en Medio Oriente. Los ataques causaron apagones y demoras en Internet en la banca en línea, lo que resultó en clientes frustrados que no podían acceder a sus cuentas o pagar facturas en línea.
Estos fueron ataques DDoS, donde los hackers abrumaron los sitios web de los bancos hasta el punto de cierre. Los ataques también utilizaron botnets, redes de computadoras infectadas que hacen la licitación de criminales. A veces, las botnets se conocen como “computadoras zombies” que obedecen los comandos de una “botnet principal”. Desafortunadamente, estos pueden ser alquilados a través de mercados negros o prestados por delincuentes o gobiernos.
JPMorgan (2014)
En el verano de 2014, en la mayor brecha de seguridad de un banco estadounidense hasta la fecha, los nombres, direcciones, números de teléfono y direcciones de correo electrónico de alrededor de 83 millones de cuentas fueron comprometidos por los piratas informáticos. Irónicamente, JPMorgan gasta alrededor de 250 millones de dólares en seguridad informática cada año. La violación de 2014 no fue el resultado de un esquema sofisticado. El ataque no usó un ataque de día cero, el nuevo error de software que se vende a millones en el mercado negro. Tampoco utilizó el malware que los piratas informáticos en Corea del Norte emplearon en su ataque cibernético de Sony. Por el contrario, la fuente del problema era básico: El banco no empleó una autenticación de doble factor, que es una capa adicional de seguridad cuando los usuarios inician sesión para acceder a los datos o a una aplicación. El equipo de seguridad de JPMorgan se olvidó de actualizar uno de sus servidores de red con el doble sistema de contraseña—eso es todo lo necesario.
Sistema de Pago SWIFT (2016)
En febrero de 2016, la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT), un consorcio internacional de más de 11,000 bancos que facilita las transferencias transfronterizas, fue hackeada. El Bangladesh Bank, un usuario de la red SWIFT, fue hackeado por la cantidad de 81 millones de dólares. Solo una pequeña porción se recuperó antes de que el Banco de la Reserva Federal de Nueva York bloqueara 30 transacciones más, eso podría haber transferido 850 millones de dólares adicionales.
Estos ataques muestran que las redes de pago son tan confiables como su enlace más débil. Muchos en la industria no fueron sorprendidos por el ataque. De acuerdo con Justin Clarke-Salt, cofundador de Gotham Digital Science, una compañía de ciberseguridad, los ataques explotaron una debilidad en el sistema: que no todas las instituciones protegen el acceso a SWIFT de la misma manera. Después de todo, “los atacantes a menudo atacan a personas que son más fáciles de atacar… Tan lejos de lo que sabemos que se ha informado públicamente, se han dirigido en gran medida a instituciones financieras más pequeñas. Esto es probablemente porque tienen controles menos sofisticados”.
¿Son Pequeñas o Grandes las Empresas más Vulnerables?
Aunque las noticias a menudo cubren los ataques a las corporaciones más grandes (Target, Yahoo, Home Depot, Sony), las pequeñas empresas no_son_inmunes. En los últimos 12 meses, los piratas informáticos han violado la mitad de todas las pequeñas empresas en los Estados Unidos, de acuerdo con el Informe sobre Ciberseguridad del Estado de SMB 2016.
Por un lado, algunos argumentan que las empresas más pequeñas pueden no ser capaces de recuperarse de un ciberataque**. **Según Sian John, estratega senior de seguridad cibernética en Symantec, las empresas golpearon con una experiencia de seguridad un “golpe masivo de reputación y financiero” para las empresas en el año posterior, antes de volver a la normalidad. Ella cuestionó: “Si eres una empresa más pequeña, ¿puedes sobrevivir a ese chapuzón?”
Por otro lado, otros argumentan que las pequeñas empresas tienen una ventaja: “Una gran empresa es más vulnerable que una pequeña empresa: tienen grandes conjuntos de datos y cientos de personas tienen que tener acceso … si estás en el extremo más pequeño de la escala, ser inteligente con respecto a los procesos de negocio y comprender dónde podrían explotarse esos procesos comerciales es más fácil que para una gran organización,” declaró Richard Horne, socio en PricewaterhouseCoopers.
Desafíos de Ciberseguridad
Factores que Contribuyen al Aumento en el Cibercrimen
Ha Surgido una Camada “Corporativa” de Ciberdelincuentes
Los ciberdelincuentes están adoptando las mejores prácticas corporativas para aumentar la eficacia de sus ataques. Algunos de los delincuentes más emprendedores están vendiendo o licenciando herramientas de piratería para delincuentes menos sofisticados. Por ejemplo, los delincuentes profesionales han estado vendiendo tecnología de día cero a los delincuentes en el mercado abierto, donde rápidamente se convierten en productos básicos. Las pandillas también ofrecen ransomware como servicio, el cual congela los archivos de la computadora hasta que la víctima cumple con las demandas monetarias, y luego toma una parte del dinero por proporcionar la licencia.
Ahora hay un ecosistema completo de recursos para que los ciberdelincuentes aprovechen. “Los grupos avanzados de ataque criminal ahora se hacen eco de los conjuntos de habilidades de los atacantes del estado-nación. Tienen amplios recursos y un personal técnico altamente capacitado que opera con tal eficiencia que mantienen un horario comercial normal e incluso toman los fines de semana y las vacaciones… incluso están viendo atacantes criminales de bajo nivel crear operaciones de call center para aumentar el impacto de sus estafas,” dijo Kevin Haley, director de Symantec
Seguridad de los Proveedores de Terceros
Si un tercero es pirateado, su empresa corre el riesgo de perder datos de negocios o comprometer la información del empleado. Por ejemplo, la brecha de datos de Target en 2013 que comprometió 40 millones de cuentas de los clientes, fueron el resultado del robo de las credenciales de la red de un proveedor externo de calefacción y aire acondicionado. Un estudio de 2013 indicó que el 63% de las investigaciones de violación de datos de ese año estaban vinculadas a un componente de terceros.
Mayor Uso de Tecnologías Móviles por Parte de los Clientes
Debido a un número creciente de objetivos en línea, la piratería se ha vuelto más fácil que nunca. En la banca de consumo, el uso de dispositivos móviles y aplicaciones se ha disparado. De acuerdo a un estudio de 2014 de Bain & Company, el móvil es el canal bancario más utilizado en 13 de 22 países y comprende el 30% de todas las interacciones a nivel mundial. Además, los consumidores han adoptado sistemas de pago móvil. Para los bancos que compiten con nuevas empresas de Fintech, la conveniencia del cliente seguirá siendo importante. Puede que tengan que analizar las posibles pérdidas por fraude con pérdidas derivadas de una experiencia de usuario más inconveniente. Algunas instituciones están utilizando la autenticación avanzada para enfrentar estos riesgos de seguridad adicionales, lo que permite a los clientes acceder a sus cuentas a través de voz y reconocimiento facial.
Proliferación de Internet de las Cosas (IoT)
El Internet de las Cosas (IoT) está dedicado a la idea de que una amplia gama de dispositivos, incluidos electrodomésticos, vehículos y edificios, se pueden interconectar. Por ejemplo, si tu alarma suena a las 7:00 a.m., podría notificar automáticamente a tu cafetera para comenzar a preparar café para ti. IoT gira en torno a la comunicación máquina a máquina; es móvil, virtual y ofrece conexiones instantáneas. Actualmente hay más de mil millones de dispositivos de IoT en uso, se espera que el número sea más de 50 billones para el 2020. El problema es que muchos dispositivos inteligentes más baratos a menudo carecen de la infraestructura de seguridad adecuada. Cuando cada tecnología tiene un alto riesgo, el riesgo crece exponencialmente cuando se combina.
Conciencia de Ciberseguridad vs. Disposición para Dirigirse
A pesar de los titulares sobre seguridad cibernética y sus amenazas, sigue habiendo una brecha entre la conciencia de las empresas y su disposición a abordarla. En el último año, los piratas informáticos han infringido la mitad de todas las pequeñas empresas de Estados Unidos. En la encuesta de 2013 del Ponemon Institute, el 75% de los encuestados indicaron que no tenían un plan formal de respuesta a incidentes de ciberseguridad. 66% de los encuestados no confiaban en la capacidad de su organización para recuperarse de un ataque. Aún más, una encuesta de 2017 de la empresa de ciberseguridad Manta indicó que una de cada tres pequeñas empresas no tiene las herramientas para protegerse.
Tácticamente hablando, las compañías de servicios financieros tienen mucho que mejorar en términos de detección y respuesta a los ataques. En 2013, 88% de los ataques iniciado contra las compañías de FS tienen éxito en menos de un día. Sin embargo, solo el 21% de estos se descubren en un día y en el período posterior al descubrimiento, solo el 40% de ellos se restauran en un plazo de un día.
Las Soluciones de Seguridad Cibernética Requieren un Enfoque Multifacético
No existe una solución “única para todos” para la ciberseguridad. Sin embargo, en general las soluciones deben incluir tanto tecnología sofisticada como componentes más “humanos”, como la capacitación de los empleados y la priorización en la sala de juntas.
Inteligencia Accionable Contra Amenazas
Inteligencia en Tiempo Real:
La inteligencia en tiempo real es una poderosa herramienta para prevenir y contener ataques cibernéticos. Cuanto más tiempo lleve identificar un truco, más costosas sus consecuencias. Un estudio de 2013 por el Ponemon Institute reveló que los ejecutivos de TI creen que con menos de 10 minutos de notificación previa de una violación de seguridad, es tiempo suficiente para desactivar la amenaza. Con solo 60 segundos de notificación de un compromiso, los costos resultantes podrían ser reducidos al 40%.
De acuerdo con James Hatch, director de servicios cibernéticos en BAE Systems, “Detectar [un ataque cibernético] desde el principio es la clave… Podría ser la diferencia entre perder el 10% de sus [computadoras] y el 50%”. Lamentablemente, en realidad, en promedio se necesitan empresas más de siete meses para descubrir un ataque malicioso.
Acciones Complementarias:
Las empresas pueden tomar varias medidas tácticas más pequeñas para protegerse. Éstas incluyen:
- Promulgando una estrategia de defensa de varias capas. Asegúrate de que cubra toda tu empresa, todos los puntos finales, dispositivos móviles, aplicaciones y datos. Donde sea posible, utiliza el cifrado y la autenticación de dos o tres factores para el acceso a la red y a los datos.
- Realizar una evaluación de proveedor de terceros o crear acuerdos de nivel de servicio con terceros:Implementa una política de “privilegios mínimos” con respecto a quién y a qué otros pueden acceder. Acostúmbrate a revisar el uso de credenciales con terceros. Incluso podrías dar un paso más con un acuerdo de nivel de servicio (SLA), que contractualmente obliga a los terceros a cumplir con las políticas de seguridad de tu empresa. Tu SLA debe otorgarle a tu empresa el derecho de auditar el cumplimiento por parte de un tercero.
- Datos de Respaldo Continuos. Esto puede ayudar a salvaguardar contra el ransomware, que congela los archivos de la computadora hasta que la víctima cumpla con las demandas monetarias. Una copia de seguridad de datos puede ser algo crítico si tus computadoras o servidores se bloquean porque no tendrías que pagar por el acceso a tus datos.
- Parches con Frecuencia. Un parche de software es una actualización de código en el software existente. A menudo son soluciones temporales entre lanzamientos completos de software. Un parche puede corregir un error de software, abordar una nueva vulnerabilidad de seguridad, solucionar problemas de estabilidad del software o instalar nuevos controladores.
- ** Aplicaciones de software de lista blanca.** La Aplicación lista blanca evitaría que las computadoras instalen software no aprobado. Esto permite a los administradores tener mucho más control.
Seguro Anti-hacker
Una tendencia emergente es el seguro anti-hacker, o ciberseguro. Su alcance varía según los proveedores, pero generalmente protege contra las brechas y pérdidas de seguridad. Las aseguradoras generalmente limitan su capacidad a entre 5 y 100 millones de dólares por cliente. A partir de octubre de 2016, sólo 29% de los negocios de Estados Unidos había comprado un ciberseguro. Sin embargo, se estima que el mercado general de ciberseguro será de 20 billones en 2025, de 3,25 billones de dólares en la actualidad. Las aseguradoras son optimistas, estimando que las primas se triplicarán en los próximos años.
Para que una organización determine cuánto seguro cibernético necesita, debería medir su riesgo cibernético. Debe comprender cómo sus activos se ven afectados por un ciberataque y cómo priorizarlos.
Programas Bug Bounty
Otra idea nueva en la industria es algo llamado programa de bonificación de errores, donde una organización paga a los de afuera (“hackers amistosos”) para notificarlo de fallas de seguridad. Empresas que van de Google y Dropbox a AT&T y LinkedIn ya han adoptado esta práctica.
No Olvides el Componente Humano
- Un “problema IT” se convierte un problema de negocios estratégico. Para muchos CEO y CFO, hackear puede ser frustrante porque no entienden al enemigo. De acuerdo con Richard Anderson, presidente del Instituto de Administración de Riesgo, “Todavía hay mucha gente sentada a horcajadas sobre compañías más grandes que aún la consideran como algo que los geeks cuidan, en lugar de ser un asunto de negocios”. Sin embargo, como las estadísticas han demostrado que, esto no podría estar más alejado de la realidad.
Un Papel blanco de Deloitte sugiere crear un equipo dedicado de administración de amenazas cibernéticas y crear una “cultura consciente del riesgo cibernético”. También se recomienda que las organizaciones designen a un director de seguridad de la información (CISO). Por ejemplo, ni JPMorgan ni Target tenía CISO cuando fueron violadas en 2014 y 2013, respectivamente.
- Volver a lo básico: capacitación de empleados. Las infracciones de datos a menudo son el resultado de las debilidades psicológicas de los humanos. Por lo tanto, es fundamental educar a tus empleados sobre las señales de advertencia de violaciones de seguridad, prácticas seguras (tener cuidado al abrir archivos adjuntos de correo electrónico, dónde están navegando) y cómo responder a una posible adquisición.
Últimos Pensamientos
Una refutación común a la creciente atención a los peligros de la seguridad cibernética es: “¿Entonces qué?, ¿se supone que debemos dejar de innovar por temor a los ataques?” La respuesta es, no exactamente. Sin embargo, podría ser útil para las empresas ver la ciberseguridad como una cuestión de ética. Es decir, la ciberseguridad no debería ser simplemente una cuestión de tecnología sino también de moralidad. Después de todo, ¿es ético crear y vender tecnología que deje a los consumidores vulnerables? Con Silicon Valley “una cultura de crece o muere” y, a veces, una cultura miope, es probable que esta actitud sea impopular.
Sin embargo, hay un precedente en otros sectores. Por ejemplo, la American Medical Association y American Bar Association requieren que los profesionales sigan sus respectivos códigos éticos. Los médicos deben comprometerse al Juramento hipocrático, uno de los documentos vinculantes más antiguos de la historia, que ordena que los médicos prometan proteger a sus pacientes. Del mismo modo, los abogados siguen unas Reglas Modelo de Conducta Profesional, donde juran proteger y respetar a sus clientes.
Todos haríamos bien en recordar que aunque la tecnología puede aparecer y desaparecer, lo correcto y lo incorrecto nunca cambia.
No hay comentarios:
Publicar un comentario