Un empleado de finanzas recibe un correo de uno de sus pares en una empresa proveedora, donde le solicita el pago de una serie de facturas vencidas y le explica por qué razones necesita que el depósito se haga a una cuenta cuyos datos van anexos. El empleado revisa sus registros. Nada está fuera de lo común y procede a depositar, un total en torno a los cien mil dólares. Dos semanas después, recibe de su mismo colega un correo similar, aunque con la petición de pago un tanto más urgente. Al cabo de averiguar por qué se pedía un pago ya hecho, la verdad aflora: El primer correo era phishing, suplantación de identidad, una de tantas formas de ataque cibernético al que estamos expuestos todos, personas físicas y morales.
Esa empresa, unos 200 empleados, operaciones en México y en Estados Unidos, literalmente fue víctima de un robo millonario, a manos de alguien que durante buen tiempo monitoreó el tráfico de correos electrónicos hasta obtener un panorama tal que le permitiera hacerse pasar por alguien más. En la medida que hemos abrazado las capacidades del internet, los teléfonos móviles y el cómputo en la nube, así también ha crecido nuestra dependencia de estos recursos. Los ataques cibernéticos de hoy tienen una capacidad de causar perjuicios que pueden afectar la vida entera de un individuo, colapsar un sistema bancario o una red de distribución de energía, paralizar instalaciones industriales y trastornar prácticamente todos los órdenes de la vida en una sociedad contemporánea.
Las estimaciones del costo anual de los ataques cibernéticos varían de un experto a otro. En 2018, uno aseguraba que para el año próximo su costo podría ascender a 21 trillones de dólares a nivel mundial. La cuestión es que estimar una cantidad es punto menos que imposible por una razón: prestigio. El número de ataques que sale a la luz pública es la habitual “punta del iceberg”, pues para cualquier entidad, sea una empresa, un organismo público o un individuo, admitir abiertamente que fue víctima de un hacker abre una serie de riesgos adicionales. Caídas en el valor de las acciones, pérdidas de consumidores, demandas por daños colaterales de parte de terceros son solo tres de los que pueden sumarse a los problemas intrínsecos que un ataque representa por sí mismo.
Más cosas más valiosas para más atacantes
Además, la interrelación entre sociedad e informática se está convirtiendo en un entramado más y más denso. A la vuelta de la esquina tenemos al “internet de las cosas”, la noción de que la conexión informática puede extenderse a todos y cada uno de los aparatos en torno nuestro, la máquina de café, el calentador de agua de nuestra regadera, el automóvil, además de la terminal de cómputo. En última instancia, esta conexión total implica la posibilidad de que un día, al momento que hagamos una transferencia a un fabricante de sillas de escritorio también autoricemos que la maquinaria del taller de fabricación se conecte al expediente electrónico de nuestro ortopedista, para obtener los datos que le permiten modelar cada silla a la dimensión exacta del cuerpo de cada comprador, en lugar de producir tallas estandarizadas.
La contraparte de una perspectiva de comodidad tan atrayente está en el costo de oportunidad que tiene el pasarse al otro lado de la ley. Los expertos en ciberseguridad aseguran que una pericia sobresaliente en cómputo y programación ya no es una barrera de entrada. “Con criptomonedas y un navegador Tor… se tiene acceso a un abanico de capacidades, incluidos ransomware, malaware y botnets por alquiler”, publicó en agosto pasado el experto Julien Capco en Cybersecurity Magazine. En otras palabras, el delincuente cibernético no tiene que molestarse en escribir su programa de cómputo porque sobran quienes se lo alquilan.
El negocio del delito cibernético va en crecimiento además porque la cantidad de víctimas y la cantidad de materia disponible como botín, sea información o el funcionamiento correcto de un sistema, es cada vez más abundante. En virtud de la creciente interconexión ya mencionada, también es más valioso. El corolario es que el grado de exposición también se “democratiza”. Un delincuente cibernético ya no tiene por qué concentrarse en los grandes. Cualquier empresa o persona con un aparato conectado a internet están en su mirilla y son un blanco redituable.
En vista de que el funcionamiento de un negocio sin la intervención de la tecnología de la información es casi imposible, resguardar dicha información es parte de la cotidianidad operativa que las empresas deben atender, en el mismo plano de los otros aspectos como ventas, producción, recursos humanos y demás. Aquí lo descompondremos en cinco asuntos a los que las organizaciones deben dirigir la mirada para cuidar su seguridad.
A la entrada. El primer elemento de seguridad es el firewall (o cortafuegos). Es el recurso que impide que accesos no autorizados a la red de una empresa. Filtran el tráfico de información no autorizado, pero no cancelan la posibilidad de que el ataque ingrese justo por medio de la información que sí deja pasar. Otro elemento de protección son entonces los programas contra virus informáticos, que requieren actualización constante. En caso de que la empresa cuente con una VPN o red virtual privada, recurso por el cual se puede ingresar a los servidores mediante equipos que no se encuentran físicamente dentro de las instalaciones de la empresa, es necesario asegurar su blindaje correcto. Con el trabajo en casa forzado por la pandemia del covid-19, se ha puesto en relieve el potencial de estas redes, como también la necesidad de asegurarlas.
No hay manera de exagerar el peso del factor humano en los asuntos de la ciberseguridad. Las políticas internas en torno al uso de la informática y los hábitos que la empresa cultiva entre sus colaboradores también figuran aquí. Un ejemplo sencillo está en incluir dentro del proceso de inducción de personal las recomendaciones acerca de cómo crear contraseñas seguras. Otro está en insistir sobre la atención que se debe prestar invariablemente cuando se reciben y abren los correos electrónicos, particularmente entre quienes están en constante contacto con el exterior por la naturaleza de su trabajo.
A la salida. El factor humano es aquí crucial. Las condiciones contractuales deben hacer explícitas las responsabilidades de cada persona en torno a la información, lo mismo mientras permanece colaborando como al dejar su puesto. También es provechoso abordar el asunto de manera proactiva. Se necesita cultivar la conciencia interna de que los ciberataques pueden llevarla a la desaparición, si alcanzan un nivel de gravedad suficientemente alto. El personal necesita entender los riesgos que hay en acciones aparentemente intrascendentes como descargar archivos a una memoria flash (“el USB”, como se les suele llamar), saltar las restricciones del firewall a ciertos sitios web o instalar programas de uso libre en los equipos, que en más de un caso pueden parecer hasta útiles para ciertas rutinas de trabajo. Lo mismo vale para el uso de servicios en internet que permiten sin costo comprimir o compartir archivos muy voluminosos, o convertir de un formato a otro.
Monitoreo permanente. De una forma u otra, la organización tiene que estar alerta, lo cual significa que debe haber cuando menos una persona que efectúa de manera periódica una rutina de revisión. Los programas de virus requieren actualización. A los equipos se les debe revisar y dar servicio periódicamente, para asegurar que están completamente desinfectados. La información se tiene que respaldar, ya sea en discos físicos, en la nube o por las dos vías. Si la organización tiene el tamaño suficiente, contará con un departamento que se ocupa de este monitoreo. Idealmente, también deberá someter sus sistemas a simulacros de ataque. Pero aun si es pequeña y necesita confiar estas tareas a prestadores del servicio externos, en todo o en parte, es imprescindible que alguien tenga la responsabilidad expresa de mantener su atención sobre este asunto.
Personal. A luz de todo lo anterior, es comprensible que la demanda de profesionistas en el área de ciberseguridad vaya al alza. La sigue, por supuesto, la escasez. La perspectiva de la situación que se expuso al principio de este artículo, por último, explican que ni demanda ni escasez cederán en el corto plazo. Encontrar gente con capacitación en la materia no es un asunto que se resuelve al instante, al menos en este momento. Pero se tiene que resolver, puesto que las funciones que han de atender también se tienen que resolver.
Planeación. Dos asuntos, monitoreo y personal, desembocan directo en esta cuestión. En tanto que la ciberseguridad es parte del día a día, en el nivel jerárquico superior se tienen que tomar las decisiones estratégicas. La empresa necesita contar con un plan de seguridad y con medios para auditar su infraestructura y su situación ante el peligro del ciberataque. Un aspecto esencial del plan debe contestar la pregunta que nadie quiere tener que formular: ¿Qué hacer si un ataque penetra las barreras de seguridad? Que ocurra es malo, pero tener que sentarse a decidir qué sigue en vez de haberlo previsto es mucho peor. El riesgo es permanente, la amenaza está en constante mutación y en este sentido, la intervención de especialistas externos es aquí particularmente recomendable.
El asunto de la ciberseguridad no es una cuestión menor, no tiene una solución expedita ni va a disolverse en la nada. Las empresas y quienes las dirigen deben abordarlo en toda su amplitud. Mientras más pronto lo hagan, mejores perspectivas tienen de encontrar el grado de protección adecuado.
En Lennken Group podemos apoyarte, escribe un correo a mauricio.prieto@lennken.com.
