Ciberriesgo.

Hace no mucho tiempo, las mayores preocupaciones de los padres eran que nuestros hijos no abrieran la puerta de casa a desconocidos, que no encendieran cerillas en casa (por el riesgo de incendio) o que en la calle al salir a jugar, no se relacionaran con personas “malas”, que les llevaran por “malos caminos en la vida”.

Hace no mucho tiempo, las mayores preocupaciones de los Directivos de empresas eran los riesgos de sustracción ilegitima de bienes de la empresa, el incendio de nuestras instalaciones, etc.

En estos momentos, yo como padre de dos preciosas hijas de siete y catorce años, tengo como una de mis mayores preocupaciones, prevenir y conocer con quien se relacionan en su actividad diaria, eso ha cambiado poco, salvo que ahora se pasan el día con el móvil y con la tablet y prácticamente todas sus relaciones son vía internet en sus diferentes y variadas posibilidades (Facebook, Instagram, Whatsapp, Twitter, etc.), con el enorme riesgo que ello conlleva, pues el mundo se abre literalmente a sus smartphones, tabletas, etc. y el mundo es grande e inmenso, y en el mundo existen personas buenas y personas “malas”.

El mundo empresarial actual es cada día más global,  más abierto,  más peligroso, pues en bastantes ocasiones podemos desconocer quien se encuentra detrás de un mail (en apariencia inofensivo o amistoso), de una nota en facebook, de twitter, etc.; hoy todo está en red, y la red, como la vida misma, supone riesgo, riesgos que podemos tratar de evitar, riesgos que pueden materializarse en daños tal cual establece la Ley 50/1980, de 8 de octubre, de Contrato de Seguro. En riesgos súbitos, accidentales e imprevistos.

 La seguridad 100% no existe, en nada y en el mundo de la informática menos aún.

Podemos tomar todas las precauciones posibles, establecer redes y sistemas con el máximo de seguridad posible, establecer recomendaciones de seguridad en la utilización de los sistemas, establecer controles del más alto nivel, instalar antivirus, etc., etc., etc., pero no es discutible que la seguridad 100% no existe.

  1. Mueller, Director del FBI, dice:

“Hay dos tipos de empresas, aquellas que han sido hackeadas y aquellas que van a serlo próximamente”

 

En este contexto caben las siguientes actuaciones para tratar de minimizar la exposicion o mitigar el  riesgo, tales como:

  • Realizar evaluaciones de riesgo, Revisar las políticas y procedimientos actuales, en materia de seguridad y protección de datos, al objeto de comprobar su eficacia y eficiencia.
  • Comprobar que los sistemas operativos, navegadores y antivirus están siempre actualizados y son siempre los adecuados y los necesarios.
  • Controlar el acceso a informaciones y sistemas informáticos mediante el uso de contraseñas adecuadas y seguras, así como realizar copias de seguridad frecuentes.
  • Limitar el uso de elementos que sean utilizados para compartir información (cifrada o sin cifrar), tales como dispositivos USB o la adjuntada en mails, sin olvidar el bloqueo o la limitación de acceso a sitios web inapropiados.
  • Se han de analizar las vulnerabilidades externas e internas, así como establecer sistemas o aplicaciones antisecuestro, con las que rastrear en la red información de la empresa.

Pero ¿qué ocurre, si pese al establecimiento de todas las medidas de control y seguridad, ocurre una situación que conlleve un resultado dañoso, bien para el usuario, bien para un tercero?  

  • La Intrusión de terceros en los sistemas informáticos de una empresa, pueden causar daños a los propios sistemas o a la información contenida, normalmente ocasionadas por virus, troyanos, malware, botnets, phising, ransomware o secuestro informático.
  • La responsabilidad de una empresa es muy alta por el Deber de Custodia de datos, tanto personales, en referencia a la LOPD, como empresariales.
  • La difusión a terceros de información protegida tanto en dispositivos electrónicos, como en papel, así como el acceso de terceros no autorizados a los sistemas informáticos (hackers), incluso si vienen producidos por la falta de diligencia del personal de la empresa o incluso por la infidelidad de los propios empleados de la empresa.
  • La transmisión de virus o malware a terceros, causando daños en sus sistemas o en su bloques de información.
  • La publicación de contenidos en los medios corporativos que vulneren el derecho del honor, la intimidad personal, familiar o la imagen de un tercero.

En resumen en el ámbito informático o en el ámbito de la gestión empresarial los riesgos son inevitables, ahora bien si son mitigables o susceptibles de ser reducidos, estableciendo claramente que “reduccion no es igual a eliminación”.

Cuando un particular o una empresa sufre un Ciber-Siniestro, su principal problema es ¿qué hacer?  ¿a quién acudir? ¿en quién confiar?

Por si todo esto fuera poco, hemos de añadir otros aspectos realmente importantes como es la internacionalización o la eliminación de fronteras en el desarrollo mundial.

Diariamente observamos empresas que utilizan maquinaria, programas, aplicaciones y sistemas fabricados, mantenidos y gestionados en los mas diferentes países del mundo, limitando la accesibilidad de las pequeñas y medianas empresas a un mercado tan global, pero a su vez incrementando los riesgos, pues dichos riesgos, o en definitiva “los malos”, pueden situarse en cualquier lugar del mundo, por recóndito que sea y bajo unas legislaciones, que en caso de existir, pueden ser muy diferentes a las legislaciones bajo las que operan en sus países de actividad las empresas sufridoras de un Ciber-Siniestro.

  • Existen en la actualidad multitud de METODOS DE ATAQUE, tanto tecnológicos como no tecnológicos que atentan contra la confidencialidad, disponibilidad y confidencialidad de la información.

Los métodos de ataque van incrementándose tanto por el incremento de la superficie de ataque como por la posibilidad de contar con medios de ataque más potentes y sofisticados, pues se encuentran en constante evolución, afectando a uno o varios tipos a la vez y suelen usarse en combinación en el caso de objetivos fuertemente protegidos.

Podemos distinguir:

  • Ataques con Fuerza Bruta, mediante el que se desea averiguar una contraseña probando todas las combinaciones posibles hasta encontrar la correcta. Al ser un sistema de prueba y error, conlleva la utilización de mucho tiempo y por tanto se combina con palabras del diccionario.
  • Carding, mediante el que se averiguan números secretos asociados a tarjetas de crédito con el objetivo de llevar a cabo adquisiciones a través de internet.
  • Defacement, consistente en la deformación o cambio malintencionado en una página web, con objeto de ridiculizar al legitimo propietario de la web o para mostrar mensajes diferentes a los deseados por el propietario.
  • Denegacion de Servicio, mediante el que se dejan inoperativos los recursos de un ordenador o red, saturando el sistema lanzando miles de peticiones de servicio de forma simultánea con el consiguiente colapso. Esta denegación puede tener un único origen o disponer de varios orígenes, por ejemplo miles de equipos pertenecientes a una red de equipos infectados y controlados por terceros.
  • Desbordamiento de Bufer, ocurre cuando el programador no tiene en cuenta las medidas necesarias para comprobar que el tamaño del bufer en relación con el volumen de datos que tiene que alojar, en ese momento se produce un desbordamiento de datos que se sobrescriben en distintos puntos de la memoria. El atacante calcula que cantidad de datos necesita enviar y donde se sobrescribirán los datos para evitar comandos que se ejecutaran en el sistema.
  • Ingeniería Social, que usando la buena voluntad o falta de precaución de la victima consiguen que este involuntariamente provocaran la descarga de malware o divulgación de información negativa.
  • Pharming, con manipulación de nombres de dominio y que permite que cuando un usuario introduce la dirección de una página web le conduzca a otra falsa, que simula ser la deseada, intentando conseguir contraseñas y números de tarjetas fraudulentamente.
  • Phising, mediante el que el usuario cree que recibe una comunicación de una entidad reconocida y seria, que le solicita actualizar o verificar sus datos de forma fraudulenta.
  • Ransomware, mediante el que el delincuente toma el control del equipo infectado y secuestra la información del usuario cifrándola, de forma que resulta ilegible, salvo para quien disponga de una clave especial para descifrarla, que suele ser el delincuente que realizando una extorsión espera obtener un rescate.
  • Spoofing, que vienen siendo técnicas de suplantación de identidad, bien de la IP, bien de bien de la tabla ARP o bien de la DNS obtenidas con el uso de malware, que ponen en peligro la privacidad de los usuarios, así como sus datos.
  • Suplantacion de Identidad, que mediante una actividad maliciosa e la que el atacante se hace pasar por otra persona para cometer algún delito, fraude o acoso. Suele ser habitual crear redes sociales de un perfil de otra persona e interactuar con terceros, haciéndoles creer que lo están haciendo con la legítima.

Pero para aplicar los Métodos de Ataque es necesario el uso de avanzadísimas Herramientas para realizar Ataques, como por ejemplo:

O Day, Adware, Aplicaciones Engañosas, APT o Amenaza Persistente Avanzada, Bomba Logica, Bot, Botnet, Caballo de Troya, Cifrado, Cookie, Enmascaramiento, Gusanos o Worm, Hijacker, Inyeccion SQL, Malware, Programa de Captura de Teclado o Keylogger, Puerta Trasera, Rootkits, Sniffer, Software de Seguridad o Rogue, Spam, Spyware, Toolkit, Troyano o Trojan, Virus, Web Buggs o Micro espías o pulgas.

Pese a lo comentado, los Riesgos Ciberneticos no tienen necesariamente porque tener un origen malicioso, pues en ocasiones pueden comprometer la confidencialidad, integridad o disponibilidad por incidencias de la más variada casuística, no siempre maliciosa, que pueden afectar a la Comunicación, la Configuración, la Infraestructura, el Internet de las Cosas (IOT), el Mantenimiento, la Movilidad, los Programas o la subcontratación de programas, sistemas, soportes, seguridad, etc.

Para defendernos de los riesgos de ataques existen Herramientas Tecnologicas y Herramientas Humanas:

  • TECNOLOGICAS: Antispam, Antivirus, Certificado Digital, Cifrado o Encriptado, Cortafuegos o Firewall, Hacking Etico y Pen-Testing, Honeypot, Indicador de Compromiso, Listas Blancas o Whitelisting, Listas Dinámicas Antispam o de Reputación, Listas Grises y Negras, Seguridad Basada en la Reputación, Sistema de Prevención o Detección de Intrusos y Sonda, entre otros.
  • HUMANAS: Las medidas de mitigación humanas principales son el Análisis y la Gestión del Riesgo, ya que se trata del primer paso necesario con objeto de reducir el daño que se puede generar en los sistemas de información de las distintas organizaciones empresariales.

Con total seguridad que la inversión de las empresas en sistemas de protección ira incrementándose, pues es muy previsible que se incrementen los ataques de ingeniería social, para lo que es absolutamente imprescindible formar a los usuarios en la prevención, consiguiendo que se involucren en ella, disponiendo de información actualizada, pues una información desactualizada puede conllevar una errónea sensación de seguridad.

“La sociedad tal cual hoy la conocemos y tal cual hoy la concebimos no sería posible sin una industria aseguradora fuerte y de ámbito mundial”.

 

Manuel Fernández

Licenciado en Ciencias Economicas y Empresariales

Perito Judicial.