Las empresas, las instituciones y el país entero deben desarrollar resiliencia a los ataques cibernéticos. Dada la cantidad y variedad de este tipo de agresiones, la pregunta no es si un ataque será exitoso, sino cuándo ocurrirá. Partiendo de la premisa de que tarde o temprano los sistemas serán vulnerados, la capacidad de restablecerlos rápidamente es fundamental.
A comienzos de este año, el Foro Económico Mundial publicó Panorama de ciberseguridad global 2022. El informe destaca la necesidad de evolucionar de la ciberdefensa a la ciberresiliencia. El aumento en la velocidad de la transformación digital debido a la pandemia incrementó también la “superficie de ataque”. Los ecosistemas digitales han florecido. Cada vez hay más procesos de negocios digitales que involucran a clientes, proveedores y reguladores. Como es obvio, estos ecosistemas digitales son tan fuertes como el eslabón más débil.
A finales del año pasado, la amenaza más preocupante era el ransomware y, desafortunadamente, ya todos sabemos de qué se trata. No se requiere un geek con amplios conocimientos para escribir un software malicioso porque lo comercializan como un servicio (ransomware as a service).
Segunda en la lista de amenazas está la ingeniería social, consistente en engañar a la víctima con el fin de que revele sus datos confidenciales, ya sea para extraer dinero de una cuenta bancaria o tomar el control de los sistemas de una empresa o institución para negociar un pago o para distraer a las autoridades mientras se lleva a cabo un golpe informático de mayor envergadura. Este tipo de ingenierías también se venden como servicio, y, debido a las redes sociales, ya no hace falta salir de la casa para cometer la fechoría.
La tercera amenaza es el “gato casero”, ya sea un empleado actual, uno resentido y enfurecido o un exempleado o excontratista cuyas credenciales de ingreso a los sistemas no fueron eliminadas como medida de precaución.
La razón por la cual los ciberdelincuentes decidieron atacar a dos grandes instituciones de Costa Rica no está totalmente clara o no ha sido comunicada. Independientemente del motivo de la escogencia, la incapacidad de sobreponerse a momentos críticos es inaceptable. ¿Cómo se explica que instituciones tan esenciales suspendan durante meses el servicio o lo ofrezcan de manera muy reducida?
Existen medidas sencillas para adelantarse a eventos de esta naturaleza, como lo es mantener un estricto control de los usuarios definidos en el sistema. De esta manera, cuando alguien renuncie o sea despedido de la institución, sus credenciales son eliminadas. Otra práctica es mantener los equipos actualizados, es decir, con la última versión del software por el cual pagamos los contribuyentes.
Si mantener los equipos con programas de cómputo actualizados es muy tedioso o engorroso, tal vez los encargados de la tecnología decidan acatar el decreto y la directriz emitidos hace diez años, que exige moverse a la nube, donde el software es actualizado constantemente.
Las copias de respaldo deben hacerse en medios separados de la red y ser probadas para estar seguros de que los datos respaldados sirven para recuperar el sistema rápidamente. De nada sirven las copias de seguridad si también son blanco de los ciberdelincuentes.
Las auditorías de ciberseguridad deben realizarse anualmente, tanto en las empresas como en las instituciones. Fallas elementales como el control de usuarios, la actualización del software y las copias de respaldo, cuando son detectadas, deben ser causal de despido.
Pero el arma más eficaz contra los ciberdelincuentes es la información. Los usuarios deben compartir información técnica sobre cómo fueron atacados. No es necesario decir qué se llevaron, pero sí brindar los detalles técnicos. Sin embargo, hace dos meses se decretó emergencia nacional y se procedió a mantener un silencio total. Lo que no sabemos es si el silencio es parte de una estrategia o solo una mala costumbre.
