Malware y Pegasus ponen a temblar a empresas

Legislación pendiente y desconocimiento total de las amenazas en Internet son puntos que los especialistas sugieren atender a la brevedad
 .  (Foto: IDC)

Acudir a un café Internet, conectase a una red de Wifi abierta o abrir un correo electrónico con un celular sin protección o ya infectado, son algunas de las prácticas más comunes no solo de los mexicanos sino de la población mundial. Este comportamiento –aunque parece inofensivo–  genera una pérdida de información, robo de datos e incluso espionaje a niveles empresariales que comprometen negocios e investigaciones enteras.

Para los empresarios, ejecutivos y trabajadores es fácil culpar a los equipos de ingeniería informática que tienen las organizaciones, pero lamentablemente, los principales culpables del robo de información e infección de equipos son los mismos empleados, que por falta de capacitación o negligencia no observan los comportamientos básicos y cuidados que se tienen que seguir en la web.

Tan solo en mayo pasado se registró uno de los mayores ataques informáticos que vulneró a más de 99 países; el causante de todo un virus llamado WannaCry que bloqueaba servidores y pedía un rescate de 300 dólares en bitcoins para la reactivación de los equipos; sin embargo este suceso se pudo haber evitado, ya que desde hace 10 años Kaspersky Lab tiene registro de este Ramsomware que ha migrado sepa tras sepa hasta convertirse en uno de los más peligrosos.

De acuerdo con cifras de la firma de ciberseguridad al día surgen 360,000 amenazas y el 1 % de estas son de tipo avanzado, es decir, 360 programas con alto índice de infección rondan por Internet y pocos son los dispositivos que pueden contra ellos.

“Las amenazas más comunes son los virus normales y troyanos; por ejemplo, hoy por hoy el 94 % del mercado utiliza el sistema operativo Android, eso quiere decir que los cibercriminales tiene un target (objetivo), saben muy bien que pueden irse a un ataque masivo y si ese porcentaje de los usuarios ocupan esta clase de plataforma obviamente van a tener mucha productividad con estos ataques”, precisó para IDC Asesor Fiscal, Jurídico y Laboral el Country Manager en México para Kaspersky Lab, Paris Valladares.

No obstante, la principal preocupación para los especialistas es que las compañías continúan atendiendo las amenazas de forma reactiva, sin ningún ejercicio de preparación o prevención de futuras amenazas.

Ciberataques sin fronteras

México no está exento de ser víctima de este tipo de ataques, debido a que ocurren en todos los niveles, incluyendo el corporativo en diversas entidades y sectores del mercado, lo único que pueden hacer las organizaciones es contar con una mejor preparación a fin de evitar ser víctima de ellos o frenarlos lo antes posible, indicó el experto de Kaspersky Lab.

Para Valladares el principal problema que enfrentan las empresas nacionales se da por la falta de entendimiento, al desconocer los puntos vulnerables de las instituciones y no responder a la pregunta ¿de qué nos estamos protegiendo?

“Yo lo pongo así, cuando tú te tratas de proteger de algo que no conoces y no sabes ni qué es, y utilizas las mismas herramientas desde hace 10 años creo que quedamos muy vulnerables”, sentenció.

En México las entidades financieras, empresas e industria ocupan un 80 % de su capital y formación en el rubro de protección, y solo un 20 % en la parte de detección o respuesta de amenazas, lo que las deja vulnerables ante ataques más avanzados al carecer de investigación y capacitación.

Otro punto que la firma destaca es que las empresas –de todos los tamaños– cuentan con un sistema de seguridad desactualizado, que en promedio tiene un rango de edad o de caducidad de cinco a 10 años, lo que los transforma en sistemas incapaces de defenderse contra hackers más experimentados que vulneran a todo tipo de industrias, pero las compañías creen que los programas de detección son seguros y eso no es una garantía con la tecnología actual.

Ejecutivos e industrias un blanco clave

Como se vivió hace un par de meses con el robo de información masivo, las distracciones son clave para obtener información sensible de las empresas en todo el mundo, pero los ataques planeados y el constante desarrollo de software más agresivo convierten a los virus informáticos en armas peligrosas para los ejecutivos de diferentes firmas.

El Country Manager en México para Kaspersky Lab aseguró que los dispositivos móviles de gama alta que tienen como sistema operativo IOS de Apple también son vulnerables a todo tipo de ataques, lo que rompe un paradigma sobre la fidelidad de este tipo de equipos y su impenetrable defensa ante virus.

En los últimos 12 meses, el 83 % de las empresas demostraron que tienen una percepción irreal en cuanto a su preparación para enfrentar un incidente de ciberseguridad de tecnologías operativas (TO) o de sistemas de control industrial (ICS por sus siglas en inglés), pues la mitad de las compañías enfrentaron más de un incidente de seguridad el año pasado.

Aunque la mayoría de las organizaciones industriales creen que están bien preparadas para los incidentes de ciberseguridad, esta confianza puede no estar bien fundamentada y en promedio, la protección ineficaz cuesta a las organizaciones industriales hasta 497,000 dólares por año, según una encuesta hecha por Kaspersky Lab.

Esto plantea una pregunta importante, de acuerdo con la empresa proveedora de software para seguridad en línea: ¿qué debe cambiarse en las estrategias de seguridad de TI y en los medios de protección de estas organizaciones, para que puedan resguardar los datos críticos del negocio y sus procesos tecnológicos de manera más eficiente?

Y es que, a pesar de la conciencia sobre nuevas amenazas, como los ataques dirigidos y el ransomware, el principal inconveniente para la mayoría de las organizaciones sigue siendo el malware convencional, el cual encabeza la lista de preocupaciones con un 56 % de encuestados considerándolo el vector más preocupante.

En ese sentido, Valladares confirmó que uno de los targets actuales de los hackers son los ejecutivos de las empresas por la cantidad de información que reciben y su importancia en la toma de decisiones.

Actualmente existen amenazas como el virus Pegasus que permite acceder a los mensajes y comunicaciones de los dueños de los dispositivos, pero existen programas que pueden minimizar el impacto del software malicioso por medio de cifrado de comunicaciones.

“Tener estos lineamientos básicos es lo primero para todo nivel, tanto para usuarios, como para corporativos, entendiendo a qué estamos expuestos para tomar acciones”.

Capacitación una salida viable

Kaspersky Lab en 2015 descubrió que al menos el 74 % de los ataques avanzados utilizan la forma DDoS como táctica para encubrir o dificultar su identificación; para 2016 se reveló que el 87 % de las instituciones que sufrieron ataques fueron objeto de amenazas; mientras que el 33 % reportó un ataque al mes.

Pese a que los bancos no divulgan el costo de los daños que están sufriendo con los ataques, algunos de estos organismos ya tienen presupuestos específicos para compensar esas pérdidas.

Al respecto, el especialista Paris Valladares mencionó que realizar la investigación para atender futuras amenazas es solo el primer paso para fortalecer las defensas, ya que una vez recopilada la información es fundamental tener empleados capacitados y certificados para poder inhibir un ataque.

“Si tú tienes a tu personal poco capacitado da igual que tengas esta información porque no vas a poder dar ese paso de poder asegurar los vectores de vulnerabilidades y asegurar que estás protegido”, indicó.

Además existe un paso extra de capacitación que las empresas deben tomar en cuenta. La llamada “ingeniería a la inversa”, un modelo de aprendizaje que se concentra en los especialistas en software de las organizaciones, a fin de que tengan la capacidad de saber desde qué vector o IP fueron atacados y razonar de manera inmediata por qué lo están haciendo y así poder atender el problema en un ataque en vivo.

Regulación sigue en el tintero

Para algunas fracciones parlamentarias el tema de la ciberseguridad tendría que ser una prioridad legislativa debido al impacto negativo que tiene en las instituciones, por ello, en julio pasado se llevó a cabo el Foro Hacia una Estrategia Nacional de Ciberseguridad en el Senado de la República.

La Comisión permanente de la cámara alta solicitó a las instancias correspondientes la adhesión de México al Convenio de Budapest –tratado internacional que busca hacer frente a los delitos informáticos y los delitos en Internet mediante la armonización de leyes nacionales–, lamentablemente el camino para que el país llegue a tener los estándares de cooperación técnica que tiene la Unión Europea en la materia aún se ven lejanos.

Los limitados recursos del Estado para combatir la ciberdelincuencia, robo de identidad, fraude y la difusión pornográfica infantil propiciaron que estos ilícitos tuvieran un incremento, debido a la falta de instrumentos que logren una respuesta oportuna, aseveró la vicepresidenta de la Mesa Directiva de la Cámara de Diputados, Himelda Féliz Niebal.

En ese sentido, el especialista de Kaspersky Lab mencionó que México necesita reguladores de entidades que protejan a todo nivel, tanto Latinoamérica como mundial, ya que las amenazas no están aisladas, por ello, las instituciones se tienen que poner de acuerdo y tener un tratado en común con el cual puedan aplicar leyes y guías de reacción.

“Necesitamos ir más allá y la intención es que todos tengan más información, tener más información tanto en las empresas como en instituciones de gobierno, información de cómo nos pueden atacar, y así brindar inteligencia de ciberseguridad, donde terceros te dicen oye en el área de transporte y aeropuertos los están atacando de esta forma deberías de protegerte”, sugirió.

Por otra parte, el comisionado General de Policía Federal, Manelich Castilla Craviotto, llamó al Poder Legislativo a evaluar cómo se tipificarán los delitos y cómo se va a moderar la tasa probatoria, pues es complejo hacer la vinculación a proceso en los delitos fácticos y en el mundo virtual será más complicado.

Asimismo, Ricardo Vudoyra, director general de la secretaria técnica del Consejo de Seguridad Nacional, precisó que actualmente se cuenta con el Comité Especializado de Seguridad en la Información, que es el órgano auxiliar del Consejo de Seguridad Nacional encargado de la seguridad de la información y destacó que a partir de su trabajo puede derivarse una estrategia de seguridad nacional.

Si bien existe un esfuerzo por parte del gobierno para impulsar la ciberseguridad, son las empresas las que aún no perciben el peligro real en la web –pese a todas las malas experiencias que puedan acumular–, por lo que una legislación total que incluya cooperación entre empresas y gobierno sería una ayuda significativa para el combate de este ilícito.

“Que estas regulaciones exhorten a la utilización de estas herramientas y de esta inteligencia, para que realmente estas empresas sepan de qué se están protegiendo y cómo protegerse”, afirmó el Country Manager en México para Kaspersky Lab, Paris Valladares.

Conclusión

El modelo actual de seguridad informática que tienen las empresas es básico en comparación con la cantidad de amenazas que existen en Internet, tan es así que las entidades se buscan proteger de algo que no conocen, por ello es importante invertir en inteligencia dentro de los organismos, a fin de que extraigan la información suficiente para elaborar estrategias y tomar acciones para poder prevenir robos de información.