Afirmar que el dinero es el principal incentivo de los cibercriminales es una señal de que no se percibe la complejidad de la problemática en seguridad IT. Para el director general de NYCE Sociedad Internacional de Gestión y Evaluación S. C., Pablo Corona, capitalizar este tipo de delitos es el secreto de los atacantes y hay mucho detrás de ello.
Durante su conferencia en IT Masters CON Ciudad de México, Corona señaló que a lo largo del tiempo ha cambiado la forma en que se capitalizan los ciberataques. Hace tiempo el robo de datos era extraer secretos de negocio: la patente o la base de datos de la empresa. Luego la llevaban al mercado negro para tratar de posicionar lo sustraído con compradores potenciales. Este proceso era complicado porque se trataba de vender algo ilícito.
Otra opción que hallaron los delincuentes fue cometer fraudes directos contra cuentas de víctimas. Si lograban tener las credenciales de acceso a la cuenta de banco del objetivo, hacían transferencias para obtener el dinero y desaparecer, ya no necesitaban encontrar a alguien a quién venderle un producto.
Ante el incremento de fraudes bancarios México ha avanzado, ya que por ley todas las cuentas de banco requieren un token para hacer transferencias monetarias a otras cuentas.
A lo largo del tiempo, otros tipos de ataque que se pusieron de moda fueron las denegaciones de servicio, el phishing y el ransomware. En términos generales, Corona señaló que los atacantes explotan las vulnerabilidades en infraestructura y software, pero el cibercrimen crece porque hay malas prácticas de seguridad de las organizaciones.
El autor del libro Guía práctica para la gestión de riesgos en la era de la ciberseguridad, preguntó al auditorio si han calculado cuánto les costaría que su sistema estuviera abajo un minuto, una hora, un día. Los atacantes capitalizan el ransomware porque secuestran la información de una empresa, que se verá en serios problemas si no tiene respaldos, porque aunque pague lo que pidan, no tiene garantizado el acceso a sus datos de nuevo.
Vectores de ataque y cómo prevenirse
De acuerdo con la encuesta The Impossible Puzzle of Cybersecurity, de Sophos, fueron cuatro los vectores de ataque más comunes el año pasado: e-mail, 33%; vía web, 30%; vulnerabilidades de software, 23% y el uso de dispositivos como los USB, 14%.
Para tratar de contrarrestar estos tipos de ataques, el especialista recomendó en primer lugar hacer una campaña interna de capacitación para que los colaboradores sepan cómo identificar correos fraudulentos o qué aspecto tiene un sitio legítimo versus uno ilegítimo. Corona habló de fomentar el hábito de que al recibir un correo que incluye links se verifique la dirección del sitio. Indicó que Google tiene un sitio de simulaciones de phising donde dan ejemplos, van capacitando a la gente, evaluándola sobre la marcha y señalando en qué hay que poner atención.
En el segundo vector, Corona afirmó que las vulnerabilidades en los sitios web cada vez son más comunes. Para prevenir robo de datos por esta vía, sugirió contar con una política corporativa a propósito del navegador oficial que hay que utilizar en la empresa. Hay que utilizar versiones vigentes, actualizadas y que tengan parámetros de seguridad adecuados.
Respecto a las vulnerabilidades en los sistemas, el conferencista destacó la afectación que pueden provocar malas prácticas de seguridad y la importancia de mantener actualizados todos los sistemas de la compañía. Incluso donde utilicen equipos legacy que no se puedan actualizar hay que aislarlos, que nadie tenga acceso si no es mediante un web service o alguna figura intermedia que interactúe con esa aplicación.
Para advertir del riesgo que puede representar usar un USB, Corona hizo el símil con un filete mignon con verduras y tocino, humeante, que se encontraran servido en la calle. Preguntó al auditorio si se lo comerían solo porque se lo encontraron. “Habría que tener prácticas de higiene digital y saber qué tipo de dispositivos se conectan a la red. Podrían establecerse mecanismos de sanitización de USB, como conectarlas en un dispositivo intermedio, ver si no tienen virus, escanearlas y ya que estén seguros de que no corren riesgos, usarlos”.
Aunque, la última respuesta a esta pregunta de la encuesta fue lo que Corona consideró más preocupante, ya que 20% de los participantes no supo ni por dónde le llegó el ataque.
Acciones para mitigar el robo de datos
Para Corona es básico que las empresas cuenten con mecanismos que establezcan barreras de protección y que los empleados realicen buenas prácticas IT.
Algunas recomendaciones para mitigar ciber riesgos:
- No abrir ni instalar archivos de orígenes desconocidos o dudosos.
- No abrir ni habilitar las macros en programas de ofimática.
- Evitar caer en engaños para abrir o instalar malware a través de adjuntos en correos, ligas a Internet.
- Cambiar credenciales predeterminadas y usar contraseñas seguras.
- Usar protocolos de cifrado de red seguros, asegurarse de actualizar WPA2 después de KRACKS (ataque de repetición en el protocolo de acceso WiFi).
- Deshabilitar control remoto por Telnet, usar SSH
- Modificar configuración de privacidad y seguridad de los dispositivos IoT, según preferencias establecidas.
- Deshabilitar acceso remoto a los dispositivos de IoT si no es necesario.
- Utilizar conexiones cableadas cuando sea posible.
- Para prevenir un ataque de ransomware, habría que responder a estas dos preguntas: ¿Hay respaldo actualizado de la información? ¿Esto que podría perderse, significa un día de trabajo o una semana?
- Si la compañía tiene información en la nube, debe asegurarse de configurar adecuadamente los buckets.