Si el recuento de grandes brechas ocurridas en 2016 parecía preocupante, 2017 se encargó de acentuar esa sensación, demostrando que aún queda mucho por hacer para evitar que la información de usuarios, clientes, empleados y directivos de organizaciones se vea comprometida y termine filtrada en la Web.
Entonces, ¿qué podemos aprender de estos incidentes para estar mejor preparados? Aquí hay siete lecciones que Stephen Cobb, investigador de ESET, ha reunido y que aplican tanto a compañías como a usuarios.
1. Debemos prestar atención a cuentas y redes
Para los clientes, prestar atención significa monitorear cuentas; para las compañías, monitorear redes. Muchas cuentas bancarias pueden ser configuradas de manera tal que te envíen un mensaje de texto o email cuando ocurra una transacción. Esta es una buena forma de limitar el daño que pueda cometer un estafador si obtuvo los datos de una cuenta o tarjeta de crédito.
Al mismo tiempo, las organizaciones deben monitorear la actividad en sus redes, en busca de cualquier comportamiento sospechoso. Los bancos, por ejemplo, prestan atención a patrones de pago que podrían ser fraudulentos, como el hecho de que trates de pagar un almuerzo en Ciudad de México con una tarjeta que acaba de ser usada para comprar un televisor en Cancún.
Y ¿qué hay de las redes dentro de cadenas de tiendas minoristas y restaurantes? Las compañías responsables han implementado software para detectar anomalías en sus redes internas y servidores, pero eso no es suficiente por sí solo. Deben definirse y seguirse los procedimientos adecuados para hacer ese programa efectivo; según Stephen Cobb, investigador de ESET, tras la gran brecha en Target en 2013 se comprobó que las alertas de monitoreo de la red fueron desencadenadas por los intrusos, pero la respuesta no ocurrió como debería haberlo hecho.
2. Buena seguridad = buena tecnología + buenas personas + buen liderazgo
Esta lección aplica tanto a compañías como a las decenas de millones de hogares que se han convertido en centros de operaciones de redes domésticas (router doméstico y punto de acceso Wi-Fi, además de ordenadores portátiles, tabletas, almacenamiento compartido, streaming, Smart TV, etc.).
La lección para las empresas es que la última y más grande tecnología de seguridad no las salvará de los atacantes, a menos que también contraten a personas buenas en seguridad y las respalden con una dirección clara y recursos adecuados. Muchas de las grandes compañías que sufrieron brechas tenían algo de buena tecnología y algunas personas buenas, pero pasaron por alto señales de advertencia y los tiempos de reacción no fueron lo suficientemente rápidos; dos indicios de que la seguridad no recibió el nivel de prioridad requerido dentro de la organización.
En el frente doméstico, ahora es un buen momento para comprobar tu tecnología de red. ¿Todavía estás utilizando el router básico suministrado por tu proveedor de Internet? ¿Has buscado en Google su número de modelo para ver si hay retiradas del producto, vulnerabilidades conocidas, actualizaciones de firmware u otros problemas?
Intenta verificar si está a salvo de las vulnerabilidades conocidas de UPnP usando la herramienta de Rapid7 y considera invertir en un router y un punto de acceso inalámbrico más eficaces, que tengan características etiquetadas como NAT y SPI. Además, sigue estos consejos para proteger tu router.
Asegúrate de que tus equipos, los dispositivos que se conectan al enrutador, tienen firewalls habilitados (Windows y Mac OS X incluyen firewalls básicos, pero considera añadir a eso un producto de seguridad como ESET Endpoint Security). Y no te olvides de los usuarios de tu red doméstica, familiares y amigos que necesitan conocer las reglas básicas de seguridad cibernética, como proteger cada dispositivo con una contraseña segura o biometría y pensar antes de hacer clic en los enlaces de correo electrónico.
3. Los políticos y entidades reguladoras deben seguir trabajando para resolver este problema
Estrategias de ciberseguridad a nivel nacional, presupuesto para agencias importantes en la lucha contra el cibercrimen, promulgación de leyes, publicación de estándares y normativas... Se requieren muchos esfuerzos conjuntos para que la situación mejore.
Claro que mucho ha ocurrido, pero todavía no es suficiente. Ya seas un ciudadano o una empresa, deberías expresar tu preocupación por la privacidad y la seguridad de la información a los políticos y funcionarios de tu país, para demandarles que hagan su parte para luchar contra el cibercrimen.
4. Las tarjetas con chip no detendrán al cibercrimen
Es cierto que la introducción de tarjetas con chip utilizando la tecnología conocida como EMV está haciendo más difícil la creación de tarjetas falsas usando datos robados, y que dificulta la duplicación de la cinta magnética, pero tanto las empresas como los consumidores necesitan saber que esta tecnología por sí sola no hará desaparecer el cibercrimen.
Piensa en ello de esta manera: supón que has estado "ganándote" una buena vida con la compra de datos de tarjetas robadas en línea y los usas para hacer tarjetas falsas que se pueden convertir en efectivo o bienes de consumo de lujo. Y te encuentras que la mayoría de las tiendas están pidiendo tarjetas con chip, que son relativamente difíciles de falsificar. ¿Qué haces: conseguir un trabajo o probar con algún otro tipo crimen? Creo que es más probable que la segunda opción atraiga a los criminales, un fenómeno conocido por los criminólogos como desplazamiento del delito.
5. Para muchas personas, el cibercrimen es un negocio
Algunos componentes del cibercrimen operan sobre principios comerciales tradicionales, como el retorno de inversión, la oferta y la demanda y la evaluación de riesgo. Así, se formó un verdadero modelo de negocio.
Estos criminales buscan otras maneras de convertir los datos en efectivo, además de depender del robo y compromiso de tarjetas de crédito. Por ejemplo, el robo total de identidad, ya que usando datos tales como documento de identidad o Números de Seguro Social, se puede hacerse pasar por otra persona y sacar préstamos a su nombre, o presentar declaraciones impuestos por ellos.
6. Las compañías pueden hacer mejor su parte
En muchos casos, la intrusión en un sistema o la filtración de información de una compañía son posibles porque primero se compromete a otra compañía con la que trabaja. Los portales para socios comerciales y proveedores son de lo más habitual, ya que permiten reunir y gestionar contratos, órdenes y ventas de manera ordenada.
Pero como suelen ser muchas las personas que tienen acceso, si hay un descuido en ese proveedor o socio (un empleado cae en un phishing y entrega su contraseña, o se infecta con un malware), el atacante podría infiltrarse y desde allí saltar al objetivo que realmente le importa.
Esto se considera una falla en la seguridad de la red, porque no debería haber forma de que se produzca ese salto. De igual forma, los sistemas hogareños podrían ser blanco de ataque como vía para llegar a blancos más grandes.
7. Todavía es posible comprar y navegar en forma segura
Si bien el delito cibernético es un desagradable y a veces alarmante problema de la sociedad, todavía es posible comprar con relativa seguridad. Echa un vistazo a estos consejos para aprovechar ofertas online sin riesgos.