OPINIÓN: ¿Cómo ayudar a evitar el robo de identidad de los usuarios de Internet?
Nota del editor: Arun Vishwanath es profesor asociado en el departamento de comunicación de la Universidad Estatal de Nueva York en Buffalo. Las opiniones expresadas en esta columna son exclusivas del autor.
(CNN) – El director del FBI James Comey estuvo el martes en el Congreso estadounidense con otros jefes de inteligencia para testificar sobre los diversos hackeos dirigidos contra las computadoras del Comité Nacional Demócrata durante la campaña electoral.
No está claro si el testimonio - o el análisis de 17 agencias de inteligencia civiles y militares que apuntan al papel de Rusia en las filtraciones - persuadirá al presidente electo Donald Trump para que acepte la evidencia de lo ocurrido. Podemos esperar que acepte otra realidad preocupante: Internet como lo conocemos está bajo amenaza.
OPINIÓN: Usuarios y medios, corresponsables en el manejo de redes sociales
El mes pasado, el Departamento de Seguridad Nacional y el FBI publicaron su informe conjunto con detalles técnicos sobre cómo los hackers afectaron la vulnerabilidad de los correos electrónicos. Todos los ataques usaron spear-phishing, donde los hackers enviaron un correo electrónico en apariencia legítimo con hipervínculos o archivos adjuntos que, al abrirlos, activaban un malware que abría una puerta trasera en la computadora de la víctima o dirigía a la víctima a una página web falsa que solicitaba nombre de usuario y contraseña.
Comencé a escribir en los medios sobre los peligros del spear-phishing hace dos años, inmediatamente después del infame ciberataque a Sony Pictures. Mi objetivo era ocuparnos menos en los chismes de Hollywood que llevaban los emails filtrados por los hackers y enfocarnos más en cómo los hackers habían logrado hacerlo. También esperaba llamar más la atención sobre lo que significaba para el futuro de Internet, con la esperanza de que los políticos y las organizaciones advirtieran esta amenaza.
OPINIÓN: ¿Por qué es tan difícil demostrar dónde surgió un ciberataque?
Luego llegaron las noticias de la violación masiva que sufrió la Oficina de Administración de Personal del gobierno estadounidense, la filtración de datos de la aseguradora Excellus BlueCross BlueShield, hackeos a la infraestructura por parte de iraníes y un flujo continuo de ataques de ransomware o secuestro de archivos, todos ellos a través del spear-phishing. Cada ataque parecía inspirar más, elevando el listón. Y con el ataque al Comité Demócrata, el spear-phishing tocó el fundamento mismo de nuestro proceso democrático: nuestro sistema de elecciones limpias.
Pero tal vez lo peor esté por venir.
La realidad es que es fácil diseñar ataques spear-phishing y muchos usuarios, incluso tras haber sido entrenados en su detección, siguen siendo víctimas. Un ejemplo de ello fue un ataque spear-phishing simulado que mi equipo de investigación realizó recientemente durante tres días en una gran compañía financiera cuyo director técnico decidió participar en nuestro estudio.
Ese ataque simulado alcanzó una tasa de éxito del 55% (en donde alguien efectivamente 'clicó' sobre el hipervínculo "malicioso" en el correo electrónico) a pocas horas de haber iniciado. Y los recordatorios enviados en los siguientes dos días lograron más víctimas, de modo que el ataque general alcanzó una tasa de victimización cercana al 80%.
nullEsto, a pesar de que los empleados objetivo habían sido entrenados para detectar esos ataques y casi todos reportaron alta confianza en su capacidad para detectar un phish. Tales hallazgos son comunes en la investigación de ciberseguridad, y particularmente alarmantes porque, como hemos visto durante las elecciones, una sola víctima puede comprometer masivamente los datos.
Sin embargo, sugerir que la gente deje de usar el correo electrónico para cosas importantes (como aconsejó el presidente electo) no es la solución. Pues el motor mismo de toda la comunicación actual es el correo electrónico. Es la razón por la que Internet se hizo popular. En lugar de desalentar el uso del correo electrónico, la administración Trump debería ayudar a salvar Internet exhortando a las personas a tomar medidas para limitar la amenaza del spear-phishing.
Un buen comienzo sería afanarnos más para cerrar la principal debilidad del correo electrónico: su sistema de autenticación mediante el nombre de usuario y contraseña. El correo electrónico y la mayoría de los servicios en línea utilizan este sencillo mecanismo para evaluar a quién deben proporcionar acceso a una cuenta. Pero esta información puede robarse y re-utilizarse fácilmente, de allí que sea el objetivo de la mayoría de los hackers.
Lee: Trump debería entrenar 100,000 hackers, señala panel de expertos
Una solución técnica para esto ya existe en la autenticación de dos factores o 2FA, es cuando un código numérico adicional se envía a un dispositivo independiente en manos del usuario, quien tiene que introducir el código junto con su nombre de usuario y contraseña.
Debido a que los datos de login son por sí mismos de poco valor sin este pin adicional, la 2FA hace que sea más difícil para los piratas informáticos comprometer una cuenta. Cuando se habilita y utiliza adecuadamente, la autenticación de dos pasos funciona como los cinturones de seguridad de los coches; no puede garantizar la seguridad completa, pero puede reducir significativamente el riesgo.
Sin embargo, la adopción general de la 2FA sigue siendo baja porque muchas organizaciones no brindan soporte, en parte porque no están obligadas a hacerlo. Por otro lado, las organizaciones que sí la ofrecen a menudo dejan que los usuarios decidan habilitarla.
nullAquí es donde el presidente Trump puede ayudar. Al igual que la ley federal exige que los automóviles vengan equipados con cinturones de seguridad, Trump podría promover una legislación que obligue a todos los servicios en línea que piden identificación de usuario a brindar la autenticación de doble factor.
Además, la legislación podría contemplar que las organizaciones que la ofrezcan por defecto reciban protección de responsabilidad de cualquier violación que ocurra debido a un robo de datos. Esto incentivaría a las organizaciones a adoptar la tecnología y compartir la responsabilidad de su uso con los consumidores.
Por último, hace falta educar al usuario. Aunque muchos usuarios no conocen la 2FA, otros la utilizan en pocos servicios, a menudo sólo cuando al principio inician sesión en un sistema. La 2FA tiene eficacia limitada si un hacker accede a una computadora autenticada con sesiones activas y abiertas. Y es aún menos efectiva si sólo algunos usuarios la adoptan mientras que otros no, proporcionando un conducto alternativo para el hacker.
Lee: ¿Qué piensa Donald Trump respecto a WikiLeaks?
A nivel de usuario, la queja sigue siendo los segundos que el uso de la 2FA agrega al comienzo de una sesión en línea. Pero, como ahora sabemos, estos pocos segundos podrían determinar el futuro de una organización o influir en el resultado de una elección. Todos los internautas deben, por lo tanto, ser educados en el uso apropiado de la autenticación de dos factores, y esto requiere subvenciones federales para investigación y capacitación.
En lugar de construir muros de cemento para protegerse contra amenazas imaginarias, el presidente Trump debería trabajar en construir un muro virtual para proteger nuestra Internet. Apoyar la 2FA es un elemento esencial para hacer que sea una realidad.
Consulta más información sobre este y otros temas en el canal Opinión
