En una habitación de un edificio de oficinas en el centro de Londres, un grupo de personas se dedica a encontrar brechas en las defensas cibernéticas de empresas y organizaciones. Hay muchas habitaciones así en todo el mundo, pero a diferencia de la mayoría, ésta la controlan los buenos.
En una de las paredes una gran pantalla muestra los principales virus informáticos actuales y los lugares donde están causando estragos. Otra ofrece un vistazo al interior de la dark web, esa esfera oculta de internet de la que mucha gente desconoce incluso su existencia, y recoge los mensajes de un chat al que acuden hackers anónimos para vanagloriarse de sus ataques.
Instalaciones como estas resultan cada vez más importantes puesto que lo que hay en juego es enorme. El hackeo de la red de PlayStation de Sony en 2011 [1] afectó a las cuentas de 77 millones de usuarios. Una cifra que se vio eclipsada por el ataque a Yahoo [2] que comprometió los datos de 500 millones de personas en 2014, un hecho que sólo se reconoció en septiembre pasado.
Estas cifras enormes pueden perder a veces su significado, pero lo cierto es que en la dark web las direcciones de email y las contraseñas son mercancías muy valiosas. Mucha gente reutiliza sus contraseñas para distintas cuentas incluida la del banco.
Según el último International Business Report de Grant Thornton, una encuesta a 2.500 líderes empresariales en 36 economías de todo el mundo, la ciberextorsión está particularmente extendida en Asia y Latinoamérica, especialmente en el sector de servicios financieros.
Pérdida de reputación
Otra conclusión derivada del IBR es que las ciberamenazas ya no provienen exclusivamente de los dormitorios de geeks adolescentes sino que se han convertido en una enorme industria global. El coste total de los ciberataques durante los últimos doce meses se estima en unos 265.000 millones de euros, y ha aumentado respecto al año anterior.
Pero las pérdidas financieras no son el principal impacto que destacan las empresas afectadas por los ciberataques. La pérdida de reputación, el tiempo invertido en gestionarlos, la consiguiente pérdida de clientes y los costes de implementar defensas adecuadas son considerados como más importantes que la pérdida directa de facturación.
El director del FBI James Comey describió en una entrevista de 2014 [4] la magnitud del problema diciendo que “hay dos tipos de grandes empresas en Estados Unidos: las que han sido hackeadas y las que no saben que han sido hackeadas”. Comey se refería al hackeo impulsado por estados y explicaba como algunos países son “extremadamente agresivos y omnipresentes” en sus esfuerzos por acceder a los sistemas para robar información que podría beneficiar a sus industrias y a su crecimiento económico.
El mensaje es bastante claro. Para quien dirige una compañía dinámica, estar preocupado de manera casi obsesiva por la seguridad no es un síntoma de paranoia. Alguien, en algún lugar, está detrás de su empresa. Pueden ser “hacktivistas” en pos de lo que consideran una agenda ética, cibercriminales al servicio de las mafias, hackers patrocinados por estados o terroristas. Que una compañía se convierta en objetivo de estos grupos es sólo cuestión de tiempo, si es que no ha ocurrido ya.
Resistencia realista
¿Cómo pueden empezar las organizaciones a combatir estas amenazas? El objetivo a alcanzar es la resistencia realista, y aquí vuelve a entrar en juego la cibernética habitación londinense. Nick Smith, jefe de pruebas de incursión en Grant Thornton UK, es lo que se conoce como un hacker ético. Como experto en informática, se dedica a intentar asaltar los sistemas y redes de sus clientes con el fin de encontrar vulnerabilidades que pudieran ser explotadas por un hacker malicioso.
Para Smith, “nuestro trabajo no es hacer su red impenetrable, eso es sencillamente imposible. Tenemos muchas capacidades pero no la ingente cantidad de personas y dinero con la que a veces nos enfrentamos. Además, siempre habrá alguien que encontrará un nuevo método para atacar a las organizaciones. Lo que hacemos es pasar a la ofensiva y encontrar todos los fallos de seguridad que podamos. A partir de ello redactamos nuestro informe con medidas prácticas para que las organizaciones puedan estar tan seguras como sea posible.”
“¿Qué es mejor, dedicar el tiempo a reforzar tus ciberdefensas o a negociar con chantajistas? La prevención es mucho mejor que tener que lidiar con los efectos de un ciberataque”, opina Smith.
El error humano
Como comentaba el director del FBI en la mencionada entrevista, “internet es como el descampado más peligroso que te puedas imaginar. Si tuvieras que cruzarlo de madrugada tu sentido del peligro se aguzaría. Sabrías adónde vas y andarías rápido. Buscarías la luz. Pero en lugar de eso, la gente se dedica a deambular todo el día sin prestar atención a qué archivos adjuntos abren o a qué páginas visitan. Y eso se lo pone fácil a los criminales”,
La metáfora de Comey está respaldada por los datos. El Cyber-Security Intelligence Index Report 2014 de IBM [5] mostraba como el error humano está implicado en un 95% de los incidentes de ciberseguridad. Detrás de esto hay una falta de visión que fue retratada en un reciente experimento realizado por Grant Thornton Ireland para aumentar la concienciación sobre el problema. Se dejaron tirados una serie de pen drives por todo Dublín. En pocos minutos las memorias habían sido recogidas y estaban siendo utilizadas por empleados incautos.
Luis Pastor, socio de Tecnología e Innovación de Grant Thornton sabe bien la facilidad con la que un hacker malicioso podría asaltar una red con un método parecido al anterior. “No todo el mundo se da cuenta de lo fácil que resulta acceder a ordenadores, dispositivos móviles y redes y de los enormes riesgos que esto conlleva. Ya no es un tema que incumba únicamente a los directores de informática.”
La ciberseguridad tiene que estar en la agenda de toda la alta dirección y requiere un enfoque que abarque a toda la compañía. Cuanto más se retrase la respuesta más aumenta la amenaza. Las organizaciones tienen que actuar ya.