Percepciones erróneas sobre qué es seguridad informática lleva a organizaciones, públicas y privadas, a tomar decisiones que pueden juzgarse como “pecados capitales” por las consecuencias que pueden ocasionarles.
Con esta idea base, el experto chileno Giovanni Morchio, director y fundador de la firma A2D Attack & Defense Cybersecurity, ofreció una conferencia el 20 de mayo, organizada por el Consejo de Promoción de la Competitividad (CPC), LEAD University y la empresa Asesoftware, luego de recientes ataques contra entidades públicas por parte de la organización criminal Conti.
Morchio es máster en Ciberseguridad, Hacking Ético y Seguridad Ofensiva con amplia trayectoria en consultoría tanto en Latinoamérica como en Europa. Ha creado o participa de distintas comunidades de hackers éticos, donde divulga su conocimiento sobre seguridad, hacking ético y seguridad ofensiva.
El experto indicó que, por su experiencia en consultorías, las organizaciones públicas y privadas arrancan sin el conocimiento adecuado en temas de ciberseguridad y “empiezan a dar palos de ciego y a veces se pierden en el camino” con consecuencias nefastas.
LEA MÁS: Funcionarios del ICE evaluarán ciberseguridad de 324 instituciones públicas en dos semanas
Como ejemplo, citó que el daño global del cibercrimen hacia el año 2025 rondará los $10,5 billones, mientras en el 2015, el monto rondaba los $3 billones.
“El ransomware se ha convertido en el delito principal. Consiste en un tipo de virus que bloquea el acceso a archivos o redes completas de usuarios y administradores de sistemas. Una vez infectadas las plataformas, los responsables envían una nota pidiendo un rescate que suelen solicitarlo en criptomonedas como bitcoin por su poca trazabilidad”, indicó.
¿Y cómo llegan estos virus? Culpó de ello a los correos electrónicos no deseados llamados spam como principal método de los delincuentes para plantar sus programas. Según él, para estos individuos es sencillo establecer perfiles del tipo de personas a quienes atacarán en cada nivel de la organización elegida.
“Alrededor del 69% del spam existe para engañar a los usuarios y convencerlos de acceder a enlaces maliciosos. La situación se agrava porque muchas empresas tienen abiertos en línea archivos de todo tipo, incluida información confidencial. El caso es que, luego de una filtración de datos, a las empresas suele tomarles seis meses descubrirla”, explicó.
Incluso, aunque se invierta en una amplia gama de herramientas de seguridad, es un error suponer que ello evitará una incursión pues, insistió, hasta 53% de ataques pasan desapercibidos.
“El gran problema de esto es que a las organizaciones les toma en promedio 280 días recuperarse de una filtración de datos. Por eso, cada segundo es crítico porque se está perdiendo dinero, pero topamos con que los ataques aumentan pero las defensas contra estas amenazas acuden a los mismos enfoques”, planteó.
Los pecados
Sirviéndose de seis de los siete pecados capitales (soberbia, avaricia, lujuria, ira, gula, envidia y pereza), el especialista tejió una serie de analogías entre ellos y errores comunes en las organizaciones que vulneran la seguridad de sus sistemas.
Soberbia. “A nosotros nunca nos ha pasado”, “somos una empresa pequeña que nadie atacará” y “hemos invertido mucho en ciberseguridad, tenemos todo cubierto” fueron frases con las cuales introdujo enfoques viciados en este tema. Para Morchio, no importa el tamaño de la empresa. Tampoco existen curas milagrosas para evitar ser víctima o prevenir. Lo importante, dijo, es enfocar la propia ciberseguridad como si fuera “una guerra perdida” pues esa lógica obliga a enfocar los recursos en minimizar los “muertos” dejados por los ciberataques, lo cual hará más sencillo recuperar las actividades después.
Ira. Según su experiencia, una vez detectado el problema, suelen darse recriminaciones y señalamientos internos sobre quién tuvo la culpa, o se decide, erróneamente, desactivar por completo los servicios por prevención. “Cuando se vulnera la seguridad, todo mundo es culpable en todo nivel y punto. De nada sirve enojarse. Por eso deben adoptarse con antelación y cabeza fría los protocolos, procesos y acciones de cara a un evento para que, cuando ocurra, ya estén listas las guías con el ‘paso a paso’ de qué hacer y cómo”, recomendó.
Pereza. El experto citó que, con cierta frecuencia, en el departamento de Informática o Tecnologías de Información de las entidades suelen postergar tareas rutinarias como actualizar los antivirus, correr diagnósticos en estaciones de trabajo o ejecutar respaldos de servidores. Para él, esta “pereza” puede ser muy costosa. “Me pasó una vez que una empresa recibió un ransomware después de un ataque ocurrido en abril de aquel año. Ellos tenían desde febrero la versión actualizada del antivirus que utilizaban pero no la habían instalado y esa versión, descubrí, habría evitado el ataque. Perdieron millones en esa ocasión”, citó.
Gula. El expositor dijo que algunas empresas a veces pagan por cuanto sistemas de protección exista sin ser ello necesario y ocasiona el problema de tener más recursos de los que realmente es posible administrar. Para él, saturar con recursos a los departamentos de informática hará que pierdan rapidez y energía para responder al ataque porque no sabrán por dónde iniciar. “Tener todas las cajitas mágicas encendidas no ataja un ataque. Eso no existe y es utópico, cualquier empresa seria en ciberseguridad lo tiene claro”, enfatizó.
Avaricia. En este punto, aludió a empresas en las que se concibe como innecesario el gasto en ciberseguridad porque, se dice, nunca ha ocurrido. No obstante, si hay limitantes presupuestarias de por medio, aconsejó a las organizaciones al menos reforzar las bases de datos ligadas a la administración de Tecnologías de Información para, aunque se a ese nivel, disponer de algunas defensas bien implementadas.
Envidia. Sobre este punto, aseguró que nada ayuda a las empresas estar comparándose con otras en términos de quién tiene “mejor” seguridad informática si ello no aporta valor porque, recalcó, cada empresa es única y por ella cada enfoque en ciberseguridad es diferente. “Es imposible definir situaciones similares para todo mundo. La única competencia valiosa es buscar las mejores defensas según sean nuestros recursos para nuestra realidad”, concluyó.