Opinión

OPINIÓN: Tú eres la clave para mantener a salvo tu computadora

El más reciente ataque de chantaje cibernético debería ser una llamada de atención sobre los ataques peores que se avecinan.

jue 29 junio 2017 01:30 PM

Vulnerable Casi siempre se ignora al usuario final y se pierde la oportunidad de hacer que los usuarios dejen de ser vehículos y se vuelvan un mecanismo de defensa ante los ciberataques. (Foto: Den Rise/Shutterstock / Den Rise)

Arun Vishwanath

Nota del editor: Arun Vishwanath estudia el factor humano en el problema de la seguridad cibernética. Es profesor adjunto del Departamento de Comunicación de la Universidad Estatal de Nueva York en Buffalo, Estados Unidos. Las opiniones expresadas en esta columna son exclusivas de su autor.

(CNN) — Hay una campaña de extorsión cibernética de gran magnitud sembrando el caos en las redes computacionales de todo el mundo… Tenemos que empezar a pensar más integralmente en la seguridad cibernética e incluir a los usuarios en la solución. Este esfuerzo tiene que comenzar con un análisis del riesgo que representa el usuario (no solo el riesgo técnico), porque todo indica que lo peor está por venir.

Este ataque reciente es una versión con esteroides de WannaCry, el ataque de chantaje cibernético que en unos cuantos días, en mayo, asoló más de tres millones de computadoras en 150 países y se propagó más rápido que la mayoría de las enfermedades más contagiosas. El programa de ciberchantaje (ransomware) es una clase de programa maligno que cifra todos los archivos de una computadora y los libera cuando se paga un rescate al hacker que tiene la clave para descifrarlos. El nuevo ataque afectó a organismos importantes en Rusia, Europa, Asia y América del Norte. Afortunadamente, parece que su propagación se detuvo en parte porque muchos usuarios instalaron parches de software después de WannaCry.

Lee: 7 claves para entender la nueva oleada de ataques cibernéticos

Todos los grandes ciberataques de años recientes han desembocado en ataques más grandes porque los hackers aprenden y evolucionan. A la infiltración en los correos electrónicos de Sony Pictures siguió la filtración de las credenciales de los usuarios de Ashley Madison, que a final de cuentas desencadenó el robo de más de mil millones de nombres de usuarios de Yahoo.

De igual forma, en octubre del año pasado, hubo un ataque de denegación de servicio, con el que se secuestraron miles de dispositivos del Internet de las Cosas (cámaras caseras conectadas a internet, reproductores de video y monitores de bebés, entre otras cosas). Este ataque estuvo dirigido al principal proveedor de servicios de directorio, Dyn, por lo que grandes partes de internet quedaron inaccesibles en todo el mundo. Esta podría ser la razón por la que estemos viviendo ataques de ciberchantaje; aunque durante la mayor parte de 2016 estuvieron dirigidos a organismos en particular, ahora se están volviendo ataques distribuidos mundialmente y se esparcen de organismo en organismo.

Además, el hacking se está volviendo un arma cada vez más fácil de usar y de desplegar. Los hackers son muy solicitados y algunos incluso trabajan para países con muchos recursos. Por ello, los programas malignos que se desarrollan y se ofrecen en alquiler se han vuelto aún más sofisticados. Lo que exacerba este problema es que los hackers también están haciendo uso de herramientas muy poderosas desarrolladas en la Agencia de Seguridad Nacional de Estados Unidos (NSA) y en la CIA, disponibles en la red oscura.

A final de cuentas, aún no hemos podido hacer mella en el mayor problema de seguridad cibernética: los usuarios. Ya sea al no instalar parches de software, al no ejecutar actualizaciones de rutina, al hacer clic en hipervínculos maliciosos, al abrir archivos adjuntos en correos electrónicos maliciosos y al usar contraseñas débiles en dispositivos, la gente común (todos los usuarios de computadoras) sigue siendo el vehículo de la mayoría de los ciberataques.

Lee: Los ciberataques masivos son por una podero$a razón

Hasta ahora, el único enfoque proactivo ha sido crear consciencia sobre la seguridad; la gente suele recibir capacitación al respecto únicamente cuando está afiliada a organismos grandes. Esto no solo deja vulnerables a todos los demás (pequeñas empresas, ciudadanos de la tercera edad, etc.), sino que indica que esa capacitación tiene un efecto limitado, incluso en las grandes organizaciones.

Como ejemplo, un equipo del sitio de tecnología Gizmodo envió hace poco un correo electrónico evidentemente malicioso a 15 personas relacionadas con el gobierno de Trump. Según Gizmodo, más de la mitad de los destinatarios hicieron clic en el hipervínculo contenido en el correo electrónico; el exdirector del FBI, James Comey, y Newt Gingrich, asesor de Donald Trump, incluso respondieron al correo. Tengan presente que los hackers solo necesitan que un usuario despistado haga clic en un correo electrónico malicioso o que omita descargar los parches para desatar una pandemia cibernética.

A pesar de esta vulnerabilidad desconcertante, casi siempre se ignora al usuario final y se pierde la oportunidad de hacer que los usuarios dejen de ser vehículos y se vuelvan un mecanismo de defensa ante los ciberataques.

Tomemos por ejemplo el decreto sobre seguridad cibernética que Trump promulgó el mes pasado. Con el decreto se da continuidad a muchas de las políticas de la era de Obama y se crea un sistema de rendición de cuentas al hacer responsables de las incursiones a los líderes de las dependencias federales; impone disciplina al hacer obligatorio el cumplimiento del marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés) y exige que todas las dependencias federales hagan un informe sobre la evaluación de riesgos, en el que se detallen las medidas que toman para estar preparados en cuestiones de seguridad.

OPINIÓN: Ciberseguridad, una mina de oro para el sector asegurador

Pero en ninguna parte se menciona a los usuarios finales, que son el mayor riesgo en cuestiones de seguridad cibernética. Ignorar al usuario final es como ponerle una chapa mejor a una caja fuerte, pero olvidar a toda la gente que tiene llaves. En otras palabras, es un gran problema.

Una posible solución sería que el gobierno federal asigne al NIST, que actualmente se dedica a los riesgos técnicos, el desarrollo de un marco de análisis del riesgo cibernético de los usuarios que tome en cuenta la forma en la que la gente trabaja, los dispositivos que usan, lo que piensan, sus hábitos y su comportamiento en línea. Esto no solo servirá para entender las vulnerabilidades entre los usuarios, sino también para evaluar adecuadamente los riesgos y para imponer salvaguardas.

También tenemos que iniciar una campaña nacional de información y educación sobre riesgos cibernéticos para todos: amas de casa, estudiantes de preparatoria y demás. Como los programas malignos pueden activarse desde computadoras compartidas e incluso en terminales wifi gratuitas en aeropuertos, es imperativo que todos estén a salvo. Una campaña de este tipo exige financiamiento federal y estatal, así como respaldo local para empoderar a los usuarios con el fin de que tengan buena higiene cibernética. Esto incluye enseñarle a la gente a estar a salvo en línea, a usar herramientas de protección a la privacidad y a vigilar, detectar y reportar ciberataques.

Finalmente, tenemos que hacer que los usuarios se involucren y reporten los ataques. En 2014, propuse la creación de un sistema centralizado de reportes de incursiones cibernéticas, parecido al 911, el número universal de emergencias que ya tenemos. Un sistema de este tipo es aún más importante a la luz de los ataques de ciberchantaje porque puede ser un punto de contacto para las víctimas desesperadas que tienen unas cuantas horas para pagar el rescate si no quieren perder toda su información. Además, como los ataques se están propagando como epidemia, contar con reportes ayuda a las corporaciones policiacas a rastrearlos y podría servir de sistema de alerta temprana para advertir a los demás. Sin embargo, esto exige que tanto el gobierno federal como los gobiernos estatales y locales reconozcan que es necesario involucrar y proteger a la gente.

Se pudo detener a WannaCry porque un investigador atento descubrió una debilidad crítica en su código. El ataque actual, al menos por ahora, también se detuvo porque el proveedor de correo electrónico bloqueó la cuenta que los hackers estaban usando para sus demandas de rescate. Pero es casi seguro que en alguna parte hay un hacker desarrollando una vía alterna. Lo más seguro es que el siguiente ataque sea más grande, más audaz y más dañino. Y la próxima vez tal vez no tengamos tanta suerte.

Consulta más información sobre este y otros temas en el canal Opinión