La 'amenaza fantasma' recorre la red
No es paranoia. Los enemigos menos detectables de los sistemas de seguridad informática de las empresas son... quienes pasan al lado de uno. A pesar de las enormes inversiones en seguridad, que fomentan una industria boyante de más de 450,000 millones de dólares (mdd), ninguna empresa del mundo está a salvo. Sus sistemas son penetrables. Ni sus cámaras de seguridad o filtros físicos captan lo que pasa entre un empleado y los cables de la red.
Bienvenidos a un mundo donde lo sofisticado del robo de datos se codea con lo pedestre de una instalación manual. Según Andrés Velásquez, director de Investigación de la firma Mattica, el robo de secretos industriales representa 35% de los delitos perpetrados con medios electrónicos. “Ocho de cada 10 casos de este tipo son ejecutados por los propios empleados”, refiere.
Y suelta un dato escalofriante: “Por 400 pesos, alguna persona de limpieza accede a instalar un keylogger (software que sigue la secuencia de las teclas) en las computadoras de una empresa”, y de esa manera un intruso puede saber todo lo que se teclea en la computadora invadida y obtener, sin moverse, información confidencial financiera, secretos industriales o datos personales.
Pero estos casos son los menos. El robo de datos se da por dos razones: porque los empleados desconocen la confidencialidad de la información, y debido a ataques dirigidos.
Delitos rentables en línea
Con frecuencia se conocen fraudes financieros o esquemas de robo en línea, pero la era de los delitos cibernéticos apenas empieza. El software malicioso es todo un negocio con productores, distribuidores y usuarios.
La rapidez de la banda ancha y la incomprensión de los usuarios sobre el valor de sus datos en la red proporcionan a los cibercriminales un banquete de información, donde la falta de legislación crea el espacio ideal para delinquir.
La red rompió las fronteras de la privacidad cuando surgió la ingeniería social, encargada de extraer datos de la gente. Hoy, 57% de los usuarios de redes sociales revela información crítica que no habría dado en otra situación, señala un estudio sobre cibercrimen de Trend Micro, consultora en seguridad informática.
Websense escanea más de 600 millones de sitios web por semana en busca de códigos maliciosos y pronostica que la Olimpiada de China será blanco perfecto para crear páginas falsas, defraudar vía e-mail y obtener información personal de los internautas.
En sí, cualquier evento masivo -Mundiales de Futbol o los debates de candidatos presidenciales– se vuelve una veta para el cibercrimen, porque millones en todo el mundo tienen fija su atención en algo que no es el trabajo.
Fuga de datos no intencional
La mayoría de las empresas mexicanas invierte entre 5 y 10% de su gasto en tecnología de la información en seguridad. Y de ese porcentaje destinan cuando más la quinta parte en educar al usuario para que proteja la información confidencial, según Juan Pablo Castro, consultor de tecnología de Trend Micro, que desarrolla software de seguridad.
Cada vez que un empleado utiliza el buzón para enviar un mensaje de correo electrónico con información de la empresa, o copia un archivo en un USB para trabajarlo en casa, pone en riesgo la seguridad de la compañía sin darse cuenta siquiera.
“El 64% de las firmas no sabe dónde está su información confidencial, no sabe si se copió, se envió o se extrajo de la computadora”, asegura Castro.
El spam es el método favorito para distribuir software malicioso. De hecho, nueve de cada 10 correos electrónicos son spam y de ésos, 80% conduce al usuario a páginas web fraudulentas, según el equipo asesor de Seguridad Global de Computer Associates (CA), una firma de software.
En el último año se rompió el récord en pérdidas de información y, en gran parte, el responsable es el software malicioso. Su objetivo es robar datos valiosos de individuos y compañías para utilizarlos o venderlos en el mercado negro. Y por eso siempre está al acecho.
Víctima de un ataque dirigido
Basta con hacer clic en un link falso para arruinar a una empresa. En 2007, a la tienda de ropa TJ Maxx le robaron 100 millones de cuentas de tarjetas de crédito a través de una intrusión cibernética, y el sitio Monster.com perdió los datos de 1.6 millones de personas en busca de empleo, según CA.
En México, cinco de cada 10 empresas no saben si han sido víctimas de un ataque dirigido, pues la táctica es poco sospechosa: 40 personas del área de dirección –entre las 10,000 que hay en cierta compañía– reciben vía email un link que los invita a ver un video en una página ‘emulada’ de la red interna. Al hacer clic en el link, los atacantes tienen acceso a información privilegiada.
Las pérdidas económicas de estos ataques son difíciles de estimar, pero “sólo basta con calcular cuál sería el costo de que un año de investigación de mercado y prospectos de un producto caigan en manos de la competencia al hacer clic en un link o llevar un USB de un lado a otro”, dice Castro.
Para algunas firmas consultoras, la solución es prevenir; el reto es que los empresarios sepan que es posible. “Es más barato tomar precauciones que afrontar las pérdidas por un fraude”, asegura Jesús Marcín, abogado especializado en Laboral y Litigio en Seguridad Social de Ernst & Young. Melissa fue el nombre del primer virus para PC. Con él, sus creadores perseguían la fama. Ahora la intención de los hackers es robar información para hacer dinero.
“Es importante que las organizaciones y los individuos reconozcan que los atacantes están cambiando las técnicas y lanzando ataques con objetivos específicos”, dice Dan Hubbard, vicepresidente de Investigación de Seguridad de Websense, firma que estudia los hábitos de uso de internet en oficinas.
Cibercriminales que operan desde Asia y Europa oriental tienen una nueva víctima en la mira: México, un mercado muy vulnerable a los ataques electrónicos, pues 58% de las computadoras en el país tiene conexión a internet y la cultura de seguridad es incipiente.
Cuidado con el dato
El quebranto de la seguridad informática es monopolio de la mano del hombre. Las computadoras no hacen fraudes ni permiten la entrada de un virus por sí solas, siempre hay una persona detrás del monitor que lo provoca, queriendo o no. La mayor preocupación de una compañía es que sus empleados no están capacitados para proteger la información, después ya les inquieta el ataque del virus.
Para levantar una fortaleza que proteja la información, cualquier empresa tiene que considerar el tema de seguridad informática como una inversión y no como un gasto.
Bastaría con un mensaje que indicara el nivel de confidencialidad del archivo que está por enviarse, para que el empleado lo pensara dos veces.
Las medidas preventivas son así de sencillas. Lo complicado es que los internautas comprendan que cada uno es responsable de su propia información.
“Si llega un empleado y le prende fuego a un basurero, otro tratará de evitarlo diciéndole que pone a todos en peligro.
En cambio si un empleado ve a otro enviando un mail con información confidencial, no le va a decir nada pues no tenemos noción del riesgo que corremos”, concluye Castro.