Durmiendo con el enemigo

.

Graciela Ricci

Una causa del aumento del riesgo relacionado con el cibercrimen se asocia a la evolución de la industria de componentes “físicos” utilizados para “automatizar” infinidad de funciones del entorno que nos rodea. Desde automóviles, equipamiento del hogar, dispositivos móviles hasta “edificios inteligentes”, cuentan con estos componentes, los cuales se integran en una gran red de información sobre Internet. La interconexión de millones de dispositivos de IT vinculados a nuestra vida cotidiana, ha generado un nuevo mundo de riesgos de seguridad IT, que puede afectar a las empresas, consumidores y gobiernos.  

En este contexto, las empresas comienzan a preocuparse por el impacto que el cibercrimen podría tener en su crecimiento, dadas las pérdidas financieras o de imagen que podrían acarrear este tipo de ataques; y nosotros como usuarios también deberíamos hacerlo. 

Tradicionalmente, si uno pensaba en cibercrimen, inmediatamente venían a la mente como posibles víctimas las Instituciones de Gobierno, que manejasen información privilegiada, el sector financiero u organizaciones con áreas de investigación y desarrollo altamente sofisticadas e innovadoras. 

Pero hace ya años las cosas han cambiado. En el 2013, quizás ustedes recordarán, se llevaron a cabo dos ataques que en su momento llamaron mucho la atención por su dimensión y por como afectaron a los clientes. Por un lado, el ataque sufrido por la cadena de tiendas Target (Estados Unidos), donde se comprometió la seguridad de más de 40 millones de tarjetas de crédito y débito, obteniendo el nombre del titular y el número, fecha de vencimiento y los tres dígitos de seguridad de las tarjetas. Y por otro, aquel que tiene como protagonista a la tienda “Home Depot”, donde también fue comprometida la información de las tarjetas de débito de sus clientes.

Considerando los ejemplos mencionados se podría suponer que los ataques que tienen por objetivo robar o comprometer datos personales afectan solamente a las tarjetas de crédito o débito; pero no podemos asegurar esto. El problema es que la mayoría se realizan explotando fallas de seguridad graves de parte de las empresas víctimas, por lo que usualmente éstas no lo denuncian. 

Sin embargo, en el caso de las tarjetas de crédito o débito, una demora en la denuncia del incidente puede ocasionar pérdidas económicas muy grandes, incluso puede ser difícil estimar la pérdida real, así como el problema de imagen que ésta situación provocaría. Por este motivo, en estos casos, tenemos la certeza de que todos los incidentes son denunciados. 

Odoo text and image block

No obstante, en general continuamos percibiendo que nuestro punto de contacto con el cibercrimen sigue siendo a través del eventual descuido de una organización que maneje nuestros datos; lo cual no es correcto. 

Me gustaría saber cuántos de nosotros cuenta con un antivirus en su celular, si bien estas soluciones están disponibles en plaza hace más de diez años. Y dentro de todo, en general “percibimos” que nuestro celular puede ser “atacado”. Imaginemos cómo le podríamos explicar a nuestro jefe que llegamos tarde a una reunión porque nos “hackearon” nuestro auto y no logramos hacerlo arrancar. O cómo se sentirían si un atacante bloqueara las cerraduras electrónicas de su flamante apartamento “inteligente” a la vez de que sube la calefacción a cincuenta grados. Ejemplos como éstos estamos acostumbrados a ver en las películas; pero no se cuán cercanos los sentimos. Probablemente los temas vinculados a seguridad IT los seguimos identificando más a nivel de las organizaciones.  

A propósito, y derivado de los ejemplos anteriores, un motivo de preocupación para éstas, siguen siendo las brechas de seguridad existentes en relación con los riesgos asociados al cumplimiento de las normas de protección de datos o privacidad de la información que actualmente se exige. En particular está siendo un dolor de cabeza para los retailers cumplir con estas normativas, teniendo en cuenta la gran cantidad de información que almacenan de sus clientes, obtenida fundamentalmente a través de los programas de fidelización, que aportan los datos personales y la trazabilidad de sus compras. En este caso, la preocupación de las empresas no pasa solo por cómo implementar las medidas de seguridad que les permitan cumplir con los requerimientos legales; sino los costos asociados a las potenciales demandas de sus clientes, de las cuales pueden ser objeto si la seguridad de sus datos resulta vulnerada.  

Pero los riesgos no terminan ahí. Vemos que se continúa ampliando la variedad de objetivos a ser atacados, así como sus vulnerabilidades. Por ejemplo, en los últimos años han sido blanco de ataques la infraestructura IT crítica utilizada en empresas de energía para realizar el despacho de carga y la distribución eléctrica, así como la distribución del gas y combustible, o la utilizada por las empresas proveedoras de agua potable y transporte, las que suelen operar utilizando sistemas “legados”, que son más sencillos de comprometer. 


Graciela Ricci
CISA, CGEIT, CRISC
Directora Valor y Gestión TI