Ciberseguridad

Ciberseguridad (casi) a prueba del enemigo ‘invisible’

FORBES- 21 de Mayo de 2016

Ni las compañías más grandes del mundo ni los gobiernos han podido evitar los ataques cibernéticos, y aun así es posible que tengas una ciberseguridad casi al 100% si sigues las recomendaciones de los expertos.

Donald Rumsfeld, ex secretario de Defensa de Estados Unidos, quiso decir –en una famosa conferencia de prensa– que hay riesgos altos y riesgos bajos, y que hay riesgos que se ven y otros que no se ven. (Graham, 2014)  Pero al combinar estos conceptos encontramos un cuadrante muy útil para tratar los temas de seguridad.

Por ejemplo, las personas saben que dejar abierta la puerta de su casa es un riesgo alto y visible.  También podemos encontrar riesgos bajos que aún alcanzamos a ver, como la posibilidad de cruzar la calle cuando el semáforo está en rojo y que un vehículo “se lo pase” y te atropelle.  Y hay riesgos bajos que no alcanzamos a ver, como que te roben la cartera en un lugar público y que al llegar a tu casa la busques y concluyas que la perdiste.

Sin embargo, los riesgos altos que no alcanzamos a ver son el tema de este artículo.  Por ejemplo, la posibilidad de que alguien entre a tu casa, extraiga algo que tengas guardado, y salga de ella sin que te des cuenta.  En temas cibernéticos, esto es más común de lo que parece: hackers entran a tu correo, cibercriminales que comprometen la base de datos de la organización que tiene tu información personal o delincuentes que roban los números de tu tarjeta de crédito, haciéndose pasar por ti.  Todo esto sin que tú lo sepas.

Todos estos temas son parte de la creciente necesidad de la ciberseguridad, y en muchas ocasiones se parecen a la situación del robo de la casa: tomamos medidas cuando descubrimos el incidente y nosotros mismos somos las víctimas. Por ello vale la pena preguntarse ¿qué es la ciberseguridad y qué tan importante es? ¿Qué sucesos y consecuencias han pasado en el mundo? ¿Qué han hecho los países al respecto? ¿Cuál es el caso de México? ¿Qué puedo hacer yo para protegerme?

Ciberseguridad: Estrategias de la antigüedad que sirven para las batallas del siglo XXI

Conforme la era digital ha avanzado, cada día más los gobiernos, las empresas, los hospitales, las instituciones financieras, el sector de seguridad, entre otros, recolectan, procesan, almacenan y transmiten una gran cantidad de información sensible o confidencial a través de sus redes y computadoras.  (Danilak & Thomas, 2016)

La seguridad cibernética (o ciberseguridad) se refiere a la protección de las computadoras, redes, programas y datos contra el acceso o modificación no deseada o no autorizada.  Para ello se utilizan herramientas, políticas, medidas de seguridad, directrices, enfoques de gestión de riesgos, acciones de formación, conceptos de seguridad, mejores prácticas e incorporación de tecnologías. (Ibíd., 2016)

El valor en juego de la información es cada vez más grande.  De acuerdo con Brand Financer, de los 71.0 billones de dólares (trillions, en inglés) que concentran las 58 mil compañías más valiosas del mundo, 37.5 billones –más de la mitad– son activos intangibles como propiedad intelectual o información que están almacenados en computadoras. Más aún, el Foro Económico Mundial espera que robustecer la protección en contra de los riesgos cibernéticos podría añadir hasta 22 billones de dólares (trillions, en inglés) a la economía antes del 2020. (Jessop & Kerber, 2015)

Desafortunadamente, como consecuencia del siempre cambiante y complejo entorno tecnológico, de los inevitables descuidos humanos, y de la continua sofisticación de los ciberataques, no existe alguna protección infalible para estar 100% seguros en la internet. Ni las compañías más grandes del mundo (entre éstas Google, Apple, Amazon.com, CitiGroup, JPMorgan, The Home Depot) ni los gobiernos de las economías más grandes (Estados Unidos, China, Rusia) han podido evitar ser víctimas de ataques cibernéticos.

Conforme las organizaciones y los países engrosan sus defensas digitales, los cibercriminales siguen desarrollando maneras más sofisticadas y elaboradas de poder penetrar hasta las infraestructuras tecnológicas más robustas.  Más aún, si consideramos que algunos de los ciberatacantes son parte de programas del gobierno, es un hecho que a cualquier compañía le va a resultar imposible prevenir un ataque cibernético desarrollado con los casi ilimitados recursos del gobierno (Lewis, 2015).

Las empresas deben seguir intentando evitar que los hackers entren en sus redes y cambiar el enfoque de su estrategia. (Chuvakin, 2015)  Muchas compañías y organizaciones han levantado fortalezas digitales para protegerse de intrusos, pero siguen fracasando en detener a los intrusos que logran burlarlas.

Para minimizar los posibles daños después de un ataque, las organizaciones deben hacer cambios sustanciales en las arquitecturas de sus redes informáticas, muchas de las cuales son fundamentalmente inseguras, porque continúan con los mismos diseños con los que se construyeron hace una o dos décadas.

Las empresas necesitan un enfoque similar al del cierre de mamparas seccionales en un barco.  Si el casco u otra área está rota, se pueden cerrar las mamparas y así cercar o acotar los daños. (Holland, 2015)  Esta estrategia es la de segmentación de redes, donde se separa una parte de la red de otra, de tal modo que si un hacker lograr entrar a una parte, solamente podrá obtener acceso a los datos de ese segmento. (Lewis, 2015)

Por tanto, su enfoque no debe estar en prevenir ataques cibernéticos e infiltraciones, sino en detectarlos inmediatamente y minimizar el daño que puedan llegar a hacer.  De acuerdo con el Reporte de Amenazas de Mandiant, en el año 2013 solamente el 33% de las organizaciones detectaron las infiltraciones por su propia cuenta, y en promedio tardaron 229 días.

Otra estrategia efectiva es concientizar a los directivos y empleados de las empresas sobre temas elementales de seguridad informática, pues es común que las personas cometan pequeños errores con graves consecuencias.  Aunque nunca se va a poder capacitar a todos, se puede minimizar el riesgo de ser un blanco fácil por algún descuido o por ignorancia.

¿Qué ha pasado en el mundo? Hablemos de guerras digitales

De acuerdo con el Ponemon Institute, el costo financiero de los ataques cibernéticos está creciendo rápidamente (tan sólo más de 10% el último año). Además, el robo de identidad en línea es el crimen que se expande a mayor velocidad en Estados Unidos. (The White House, 2016)

El porqué también es claro: criminales, terroristas y países que quieren dañar a otros individuos, organizaciones y naciones han comprobado que es “más sencillo” hacer daño al adversario atacando vía cibernética que de manera presencial.

Diferentes organizaciones alrededor del mundo le dan distintos grados de importancia a la ciberseguridad. Por ejemplo, los bancos han sido líderes en el desarrollo de defensas cibernéticas para disminuir el riesgo de ser hackeados. Por otro lado, de acuerdo con un reporte del fondo de inversión Henderson sobre organizaciones en diversas regiones, se encontró que apenas 3 de las compañías europeas y 10 de las compañías estadounidenses más valiosas tenían unidades de seguridad cibernética. (Jessop & Kerber, 2015)

Si la población general fuera sujeta al mismo estudio se encontraría que la mayoría de las personas no toma medidas de seguridad suficientes, comenzando por el uso de contraseñas. Los passwords son generalmente la parte más débil de la seguridad de los usuarios, quienes no usan contraseñas robustas o reciclan la misma contraseña a través de varios servicios.

Es por ello que las compañías están optando por desarrollar sistemas en los que se tenga que iniciar sesión en dos factores; por ejemplo, usando tokens y otros dispositivos externos, o poniendo un código enviado por mensaje de texto a sus celulares.  Evidentemente, poner más pasos para entrar a una cuenta electrónica molesta a los usuarios.

El dolor de cabeza de la ciberseguridad

A lo largo de los últimos años ha habido casos muy sonados de vulneración a la ciberseguridad:

— En 2014, un grupo de hackers autodenominado Guardianes de Paz filtró una versión de datos confidenciales desde el estudio de cine Sony Pictures Entertainment. Incluía información personal de los empleados de Sony y copias de películas por estrenar, especialmente The Interview, una comedia sobre un plan para asesinar al líder de Corea del Norte. Se canceló el estreno de dicha película y se liberó digitalmente.  Funcionarios de inteligencia de Estados Unidos alegaron que el ataque fue patrocinado por el país norcoreano, lo cual fue desmentido por el mismo. (Sanger & Perlroth, 2014)

— En 2015, la Oficina de Manejo de Personal de Estados Unidos anunció que había sido hackeada, lo cual comprometió la información personal de más de 21.5 millones de trabajadores del gobierno estadounidense.  La información corrompida incluía las autorizaciones nacionales de seguridad, sus números de seguridad social, lugares de nacimiento, la información personal de espías y las huellas dactilares de 5.6 millones de personas.  La oficina había advertido en el pasado que sus sistemas eran viejos y vulnerables.  El gobierno estadounidense dijo que el ataque se originó en China, y al poco tiempo el país del dragón arrestó a hackers presuntamente relacionados con el acto.  Sin embargo, no quedó claro quién ordenó y financió el ataque, que tensó relaciones al punto que fue el principal punto en la agenda entre los presidentes Obama y Xi. (Zengerle & Cassella, 2015)

— En 2016, un investigador en seguridad informática encontró en la nube de Amazon la base electoral de votantes con la información personal de 93.4 millones de mexicanos en un archivo de 132 GB. La información era de libre acceso y descarga; estaba sin protección con contraseña.  El partido Movimiento Ciudadano reconoció que era su copia de la base de datos, pero que habían sido hackeados. Tanto el investigador como Amazon presentaron evidencia de la filtración y desmintieron el hackeo.  De acuerdo con la legislación mexicana, esto es un delito, pero aún se están evaluando las consecuencias. (Arreola, 2016) (DataBreaches, 2016)

— Se han hackeado datos de tarjetas de crédito en múltiples ocasiones.  En 2005, MasterCard anunció que le habían arrebatado la información de 40 millones de tarjetahabientes.  En 2012, Visa y MasterCard tuvieron una filtración de seguridad que afectó a 10 millones de usuarios.  En 2013, Target anunció que un hackeo extrajo la información de 40 millones de tarjetas de crédito y débito, afectando una población de hasta 110 millones de clientes.  En 2014, The Home Depot anunció que unos cibercriminales intervinieron en sus puntos de venta, robando información de 40 millones de tarjetas de créditos.  En ese mismo año, JP Morgan Chase le avisó a 76 millones de clientes individuales y 7 millones de pequeños negocios que su información había sido hackeada y tendrían que reexpedir sus tarjetas bancarias. (Wikipedia, 2016)

Acciones en el mundo

El año pasado, 594 millones de personas en el mundo fueron víctimas de la ciberdelincuencia, lo cual ha orillado a varios gobiernos a tomarse en serio el asunto.  Pero el continuo cruce de fronteras tecnológicas y los dilemas éticos que este tema presenta hacen que los gobiernos participen igualmente en la protección de ataques cibernéticos a sus ciudadanos e instituciones, que desarrollen programas de hackers cuya función es romper encriptaciones de países adversarios o espiar la actividad en línea de ciudadanos considerados sospechosos.

Por ejemplo, el presidente estadounidense ha creado la posición de “Jefe de Seguridad Informática de la Casa Blanca”, quien se encargará de endurecer la seguridad informática interna de las agencias federales, así como de modernizar los sistemas de tecnologías de la información del gobierno federal.  También ha establecido la Comisión Nacional para la Mejora de la Ciberseguridad, que hará recomendaciones de acciones que se puedan tomar la próxima década para proteger la privacidad y mantener la seguridad pública, así como otros datos de seguridad nacional.  Todas estas acciones son parte del Plan Nacional de Ciberseguridad, que en caso de que lo apruebe el Congreso, expandiría el presupuesto del rubro a 19 mil millones de dólares. (Calmes, 2016)

Por otro lado, el mismo Congreso estadounidense acaba de aprobar la controvertida Ley de Seguridad Cibernética e Intercambio de Información (CISA, por sus siglas en inglés), bajo la cual se compartiría información privada de ciudadanos con compañías contratistas, agencias de investigación, espionaje y criminalidad, y se seguiría a ciudadanos sospechosos de cometer delitos. Esta ley fue combatida fuertemente por los cabilderos de Amazon, Apple, Dropbox, Google, entre otras empresas tecnológicas. (Caldwell, 2016)

Algunas otras iniciativas cibernéticas del gobierno estadounidense para proteger su propia infraestructura y las vidas de sus ciudadanos han llegado a ser destructivas y contraproducentes. Con el supuesto objetivo de prevenir futuras violaciones a la seguridad nacional, el gobierno estadounidense ha invertido silenciosamente en unidades de fuerzas especiales de espionaje –entre éstas la Oficina de Operaciones de Acceso Personalizado (TAO, por sus siglas en inglés), perteneciente a la Agencia Nacional de Seguridad– formadas por hackers profesionales para realizar ataques de ciberespionaje contra países o corporaciones que consideran amenazas potenciales. Una parte considerable del trabajo de estas unidades especiales es desarrollar software malicioso o “malware” para hacer sabotaje a sistemas informáticos y para robar datos privados de sus víctimas; malware que después puede salirse de control y caer en las manos equivocadas.

El sonado caso del gusano cibernético o computer worm Stuxnet es el ejemplo ideal de lo peligroso que puede llegar a ser el desarrollo gubernamental de malware, inclusive “legalmente justificado”. Stuxnet –considerado como la primera arma cibernética del mundo– surgió en el 2009 como producto de un programa de colaboración entre Estados Unidos e Israel para frenar el programa de investigación nuclear iraní (Sangers, 2012).

Este malware se programó con el objetivo de sabotear el equipo industrial de la planta nuclear de Natanz, Irán, particularmente las centrifugadoras para enriquecer uranio.  El objetivo se cumplió, pero de acuerdo con el Instituto para la Ciencia y Seguridad Internacional (ISIS, por sus siglas en inglés), Stuxnet destruyó alrededor de 1,000 centrifugadoras de las estimadas 4,700 de la planta de Natanz, entre noviembre del 2009 y enero del 2010.

Sin embargo, el alcance de Stuxnet excedió los límites planeados al escapar de la planta de Natanz –probablemente a través de la laptop de algún empleado– y propagarse por casi todo el mundo vía internet. Se calcula que llegó a infectar más de 100 mil computadoras en 155 países, un 60% de éstas localizadas en Irán. (Falliere, Murchu, and Chien, 2010). Este incidente comprobó que el malware programado por gobiernos puede contribuir directa e indirectamente a acelerar la evolución del malware delictivo, lo cual es una mina de oro para los criminales cibernéticos.

Muchos países como Estados Unidos están cometiendo ciberespionaje. China y Rusia, considerados como los ciberespías más activos y agresivos, sigilosamente han robado secretos tecnológicos, financieros y económicos de empresas e instituciones gubernamentales, especialmente estadounidenses, para impulsar su propio desarrollo económico (Office of the National Counterintelligence Executive, 2011).

En años recientes, el Ejército Popular de Liberación (PLA, por sus siglas en inglés) de China ha invertido grandes recursos en su departamento especial de ciberinteligencia, que no solamente realiza vigilancia y espionaje avanzado, sino que posee malware capaz de destruir infraestructura de interés nacional como redes de distribución eléctrica e hidráulica en el extranjero.  (Stone, 2013).

Con respecto a Rusia, se sospecha que tiene ciberarmas aún más avanzadas que las del gobierno chino. La milicia rusa también cuenta con unidades especiales dedicadas al ciberespionaje, que además de hacer espionaje para robar secretos de otros países, complementan a su ejército en ataques de guerra. En el 2014, Rusia utilizó ataques de denegación de servicio distribuido (DDoS, en inglés) para apagar las comunicaciones móviles de Ucrania, previo a comenzar un ataque tradicional de campo de batalla (Weedon & Galante, 2014).

Cabe destacar que el Servicio Federal de Protección ruso compró en 2013 cientos de máquinas de escribir que se usan para salvaguardar las comunicaciones entre el Kremlin y el presidente. El objetivo es evitar la fuga de documentos, ya sea por parte de su personal o por parte de hackers.  Cada máquina de escribir ha sido modificada para que tenga un patrón único que permite identificar rápidamente los documentos que produce.  Eso sí, este sistema no está exento del robo o fotografía de papeles, ni de incendios. (Irvine, 2013)

México, país atractivo para el cibercrimen

Al ser un país emergente con una amplia población, México ha incrementado significativamente su acceso a banda ancha e internet. Es preocupante que los cibercrímenes han crecido aún más rápido, y un factor clave es la pobre educación cibernética de la población y sus organizaciones. De acuerdo con estimaciones de Symantec, el 40% de los internautas mexicanos, unas 54.9 millones de personas, ha sufrido al menos un crimen.

De ellos, el 58% de los delitos son suplantación y robo de identidad, seguidos por el 17% por fraudes y el 15% por hackeo. Todo esto convierte a México en el tercer lugar mundial en crímenes cibernéticos, después de China y Sudáfrica. De acuerdo con la Comisión Nacional de Seguridad, en los últimos 5 años, el 53% de los ataques fueron contra dependencias gubernamentales, 26% contra recintos académicos y 21% contra el sector privado. (López, 2016)

México también es el segundo lugar mundial con más ataques tipo phishing, que es el intento de adquirir información sensible mediante comunicaciones electrónicas. Esto no es de extrañar debido a que apenas el 35% de los mexicanos usan contraseñas seguras y además comparten datos sensibles con mucha facilidad.

Tan sólo el año pasado, el costo de la afectación fue de 101,400 millones de pesos (mdp), que es equivalente a 2.5 veces el presupuesto de la UNAM, o 13 veces más que las pérdidas por fraudes bancarios, que ascendieron a 7,300 mdp. Además, en caso de que el crimen hubiera generado un costo, los mexicanos afectados gastaron poco más de 5 mil pesos por “recuperar su información o dejar sus dispositivos libres de amenaza. (Ibíd., 2016)

La Policía Cibernética, perteneciente al área de seguridad del gobierno, es la principal unidad de combate al cibercrimen. Además, el Instituto Politécnico Nacional cuenta con el único equipo de especialistas digitales forenses en México, así como con el Centro de Investigación en Computación, que desarrolla sistemas para proteger la transmisión de la información digital. (Notimex, 2015)

Recomendaciones de los expertos

Ante una evidencia tan vasta y desconcertante, el lector se preguntará: ¿entonces qué puedo hacer? Aquí algunas recomendaciones que se han hecho a instituciones e individuos:

No subas a la nube información que no sea necesaria.

No pidas a tus clientes y usuarios información que no puedas proteger.

No des datos personales con facilidad. Cuestiona por qué y para qué te los están pidiendo, y también cómo los protegerán.

Si una página te da la opción de que inicies sesión en dos pasos, por ejemplo, introduciendo una clave que recibas por mensaje de texto, utiliza esa opción.

Familiarízate con los procedimientos de manejo de datos de las organizaciones con las que trabajas, especialmente los bancos. Recuerda que muchos cibercriminales se hacen pasar por ellos para pedirte información confidencial.

Exige que las empresas y las compañías de las que seas usuario de sus servicios aseguren su información y transacciones.

Crea un protocolo de acción en caso de que te roben la identidad, el cual incluye tener formatos impresos y listos para ser enviados a instituciones oficiales y financieras.

Recomienda la creación de Jefe de Seguridad Informática en las organizaciones en las que labores o con las que trabajes.

Más aún, de acuerdo con el doctor Abel Sánchez, director del Centro de Datos Geoespaciales del Instituto Tecnológico de Massachusetts (MIT), “una nueva generación de dispositivos del Internet de las Cosas (IoT) está entrando al mercado.  No sólo son smartphones, tabletas, laptops y computadoras, sino “cosas” como refrigeradores, luces, sistemas de calentamiento y enfriamiento, así como de seguridad.  Estos dispositivos nos ayudarán a automatizar muchas de nuestras tareas y permitirán la mejora de los recursos. (Sánchez, 2016)

“Desafortunadamente, la seguridad está lejos de estar clara.  Existen demasiados fabricantes, una gran diversidad de plataformas, y una multitud de soluciones de seguridad.” Es por ello que también advierte de las siguientes recomendaciones:

Actualiza tus dispositivos y software regularmente. Esto es más difícil de lo que parece. ¿Cuándo fue la última vez que actualizaste e instalaste parches informáticos a tu tableta o a tu televisor inteligente?

Remplaza los dispositivos que ya no se puedan actualizar. Aunque el electrónico aún sirva, no quiere decir que sea seguro.

Segmenta tus redes. Considera crear una red separada e independiente para ciertos dispositivos.

Segmenta tu uso. Considera que algunas de tus cuentas y dispositivos estén destinados a usos específicos: música, películas, juegos, información del trabajo, información personal, entre otros.

Usa contraseñas robustas y cámbialas regularmente. Un servidor que quiera adivinar tu contraseña se tardará 10 minutos si usas 6 letras minúsculas. Pero si usas contraseñas de más de 8 caracteres que incluyan minúsculas, mayúsculas y símbolos (&$!.-) será relativamente segura y el mismo servidor se tardaría el equivalente a 4 años en adivinarla.

Este artículo fue escrito con la colaboración de Juan Carlos Murillo, ingeniero electrónico e informático mexicano, con experiencia en desarrollo de software y seguridad informática. Realizó una estancia de investigación en el MIT. GQ lo consideró uno de los “10 jóvenes mexicanos del 2014” y Microsoft lo nombró Embajador YouthSpark en México. Murillo busca impulsar el cambio social y económico a través de la tecnología.

Javier Arreola-Ingeniero, emprendedor y becario Carlos Slim en la U. George Washington. Aprendí de energía en la Brookings Institution. Analizo el liderazgo de México en el mundo y busco traducir tecnicismos al lenguaje cotidiano.