Ataque cibernético a Sony, pan comido

La empresa promedio está a un mal clic, una contraseña fuera de lugar o un empleado descontento de distancia de ser hackeada.
En el caso de Sony Pictures, la empresa, básicamente, puso una alfombra de bienvenida para los hackers.
Documentos filtrados muestran que los empleados de Sony mantienen listas de contraseñas en hojas de cálculo en sus equipos. Además, los empleados mantienen los números de Seguro Social de 47,426 personas -incluyendo el de Conan O'Brien y Sylvester Stallone- por ahí en archivos cifrados. Eso es extremadamente imprudente.
El mega ataque cibernético de Sony Pictures , repleto de computadoras borradas y documentos expuestos, es sólo el último ejemplo de cómo los hackers pueden atacar redes informáticas de las empresas con alarmante facilidad.
En 2010, los hackers introdujeron una “bomba digital” en el Nasdaq que casi saboteó el mercado de valores. En 2012, Irán arruinó 30,000 computadoras en el productor de petróleo Aramco de Arabia. En 2013, los hackers de Corea del Norte congelaron algunos de los bancos y cadenas de comunicación de Corea del Sur.
Mientras tanto, las empresas que buscan reducir costos y aumentar la eficiencia han centralizado los poderosos controles de redes, dándole a más empleados acceso a grandes cantidades de datos. 71% de los empleados dicen que tienen acceso a datos sensibles que no deberían ver, según un nuevo estudio realizado por los expertos en privacidad del Ponemon Institute.
Eso significa que la recompensa por hackear es aún mayor, según Richard Danzig, vicepresidente del centro de estudios RAND Corporation y ex secretario de la Armada. Obtener el nombre de usuario de un empleado y su contraseña a través de un simple correo electrónico de phishing podría ser suficiente para hacer caer a una empresa.
“No creo que nadie tenga la comprensión de la magnitud de nuestro reto”, dijo Danzig. “La inseguridad cibernética puede conducir a la destrucción de tu empresa, tu marca, tu capacidad, tus activos”.
Las empresas simplemente no hacen lo suficiente para protegerse; muchos incluso ignoran los protocolo básico de la seguridad cibernética.
Una reciente encuesta realizada por la firma de seguridad cibernética Trustwave muestra que el 18% de las empresas no realizan “pruebas de penetración” , esencialmente una búsqueda de agujeros que los hackers pueden explotar. Y el 20% de las empresas no tienen ni siquiera una vía para que una persona reporte los incidentes de seguridad.
No es suficiente que una empresa instale programas antivirus en cada computadora y restrinja el comportamiento de los empleados en línea. Cada empleado se encuentra en la primera línea de un conflicto en curso, les guste o no.
No todas las industrias son igualmente vulnerables. Los bancos están a la delantera: son hackeados, pero sus pérdidas son generalmente mínimas, coinciden ampliamente los expertos en seguridad. Pero otros sectores -la manufactura, la salud, el sector minorista- se han quedado rezagados. En el último año, una de las redes de hospitales más grandes del país fue hackeada, y perdió datos de 4.5 millones de pacientes, y Home Depot, uno de los proveedores más grandes del país, sufrió un ataque cibernético importante también.
Incluso la infraestructura crítica es vulnerable. La red de energía de Estados Unidos está bajo ataque constante, por ejemplo.
¿El ataque cibernético contra Sony servirá como una llamada de atención para que las empresas aumenten sus defensas?
Ralph Langner, un consultor de seguridad cibernética alemán, no está convencido de que sea lo suficientemente brutal.
“Todavía no es lo suficientemente doloroso”, dijo Langner. “Esto va a empeorar. No hemos aprendimos después de Target. Se olvidó fácil. ¿Sony? Tendremos que ver el daño real”.