El año que acaba ha sido muy atareado para el cibercrimen. Grandes incidentes de seguridad a nivel mundial saltaron a las portadas de todos los diarios del mundo, difundidas tanto por las empresas de seguridad como por las propias organizaciones afectadas.
El año comenzó con la brecha en RSA, división de seguridad de la multinacional EMC. Fue un ataque de phishing muy sofisticado, en el que unos pocos empleados de esta firma fueron invitados a abrir un e-mail corrupto con un título muy atractivo (Plan de contrataciones 2011), que escondía en realidad una hoja de cálculo envenenada, lo que comprometió los sistemas de autenticación de la compañía, poniendo en riesgo a decenas de grandes empresas.
A finales de abril, la red Playstation Network de Sony sufrió la filtración de información personal sobre más de 70 millones de suscriptores, incluyendo direcciones de correo electrónico, contraseñas, números PIN, detalles de contacto, posiblemente información de tarjetas de crédito y otros muchos datos de todo tipo, dejando a estos usuarios vulnerables ante campañas de phishing y robo de identidades. Y en junio, Citibank reveló que había sido hackeada información personal y de cuentas de aproximadamente 200.000 de sus clientes en Norteamérica.
El primer diagnóstico que podemos establecer de estas brechas de seguridad es que los ataques han sido cuidadosamente planeados, orquestados y ejecutados. Son ataques altamente sofisticados que los expertos califican como "amenazas avanzadas persistentes" (APT, por sus siglas en inglés), ingeniados contra grandes corporaciones que operan con grandes volúmenes de activos, información de clientes y datos confidenciales.
Usuarios especializados
Asimismo, es importante el hecho de que los autores de estos ataques ya no son estudiantes aventajados con ganas de molestar. Se trata de expertos altamente formados cuyas ofensivas son ejecutadas con la precisión de una operación militar de asalto. Primero reproducen la red completa de la organización objetivo, a fin de simular el ataque en su propio entorno para luego ejecutarlo en el escenario real. Y no son amateurs aislados. Pertenecen a organizaciones muy bien estructuradas que se asemejan a células terroristas con dinero, motivación y objetivos.
Otra similitud entre todos estos asaltos es que están basados en técnicas de ingeniería social. Los cibercriminales se dirigen a los empleados de la organización, a los que manipulan hackeando la mente humana para colarse en sus sistemas. En el caso de Epsilon, uno de los proveedores de e-mail marketing más grandes del mundo, los atacantes consiguieron que un empleado cayera en su trampa al abrir un correo electrónico de phishing y pulsar en un vínculo. Sólo con ello, los hackers obtuvieron acceso a las credenciales del empleado, y las explotaron para llegar hasta la base de datos corporativa.
Información que interesa
También ha evolucionado la información que interesa a los cibercriminales. Los datos financieros ya no son la única información valiosa que merece la pena robar. Lo que vemos es que los atacantes buscan sobre todo información general acerca de los clientes, que puede ser usada para diseñar un mensaje de phishing personalizado en las campañas de spam.
Aparte del valor en metálico que esta información representa en el mercado negro, está también el coste que estos ataques tienen para las organizaciones en términos de propiedad intelectual y de daño a la imagen.
Las empresas no deben pensar que con sus políticas actuales de privacidad y confidencialidad están protegidas de los ataques. Los negocios deben poner en pie tantas barreras como sea posible entre los cibercriminales y sus activos.
¿Cómo protegerse?
La protección comienza con el desarrollo de una estrategia de seguridad en profundidad a lo largo de la Red y en los puestos de trabajo. Las organizaciones necesitan aplicar múltiples capas de protección, incluyendo un firewall avanzado y un sistema de prevención ante intrusiones para detectar amenazas; una solución adecuada de seguridad para los puestos de trabajo y los dispositivos móviles; y una solución de prevención ante la pérdida o la filtración de datos para proteger la información.
Simultáneamente, será necesario definir una política de seguridad bien estructurada para reforzar los niveles de protección.
Tras cerrar esta entrada principal a potenciales ataques, las empresas deberán tratar de cerrar la puerta de atrás, que son los usuarios. Los errores humanos son el único problema de seguridad que la tecnología por sí sola no puede arreglar. Depende por entero de las organizaciones el hecho de concienciar, formar y educar a sus empleados en lo relativo a la seguridad.
Sólo una comunidad de usuarios formada y consciente de lo que representa la seguridad, combinada con un sistema de defensa sólido y completo y una política de seguridad bien definida, puede derrotar al nuevo cibercrimen . Es de esperar que, tras lo ocurrido este año, las empresas aprendan la lección para evitar estas enormes brechas de seguridad que supondrán la norma en el futuro.
Mario García. Director general de Check Point Iberia.
Desvelado el "mayor ciberataque de la historia"