En 2018, la seguridad informática ya no será un lujo, sino una necesidad ¿Cuáles serán los delitos que intentarán expandirse por nuestras redes durante el próximo año? ¿A qué hay que atender para no caer en la trampa de los criminales y cómo protegernos de su accionar?
No pensamos lo complejo que es el suministro eléctrico, hasta que nos quedamos sin electricidad. No recordamos lo vital que es el agua, hasta que abrimos la canilla y no sale ni una gota. Algo similar, pero mucho más peligroso y extendido, ocurre con la seguridad informática. Mientras todo funcione bien, no lo notaremos. Pero un día, podemos levantarnos y no contar con nuestros datos, con nuestra información más esencial y privada.
Hoy, en todos los aspectos de nuestra vida están involucradas las computadoras. Necesitamos de la computación para gestionar el día a día, el trabajo en las empresas, recibir atención hospitalaria, movilidad, tener servicios esenciales de agua, luz, señalización, seguridad o comunicación. Todo. Entonces, cuando se ataca un sistema informático, los daños pueden ser enormes.
El año que se va deja varios casos que serán emblemáticos en la historia del cibercrimen: WannaCry, NotPetya y BadRabbit fueron solo los más conocidos de una gran serie de ataques que debieron afrontar las empresas en el mundo.
A principios de 2017, varios analistas de mercado predecían daños del orden de los 5 mil millones de dólares por ataques de malware, que resultaron demasiado optimistas: basta como ejemplo los 250 millones de dólares de daños directos sufridos por Maërsk, que seguirán creciendo cuando se agreguen las demandas de las empresas damnificadas por la parálisis que afectó a la compañía naviera (incluidos exportadores argentinos).
¿Qué pasará en 2018? Los pronósticos indican que los ataques se van a intensificar y diversificar. No sólo el sistema de una compañía podrá verse afectado, sino que se tomarán también como blanco a infraestructuras críticas, teléfonos celulares y dispositivos conectados a la red (Internet de las Cosas).
¿Por qué? Porque la interconectividad es cada vez mayor, porque aún quedan muchas vulnerabilidades en los sistemas, porque se trata de una actividad maliciosa muy rentable, escalable y difícil de perseguir y castigar por los estados. Y porque se producen de manera transnacional con actores de diferentes partes del mundo (un hacker fabrica un virus en Rusia, que compra un argentino, cuyas víctimas están en Europa y Estados Unidos, por ejemplo). Asimismo, las penas para este tipo de delitos – si es que llegan – son llamativamente bajas.
¿Cuáles son las precauciones que deberíamos considerar? Para averiguarlo recurrimos a Avi Corfas, un argentino que desde hace años trabaja en temas de ciberseguridad en Israel, país que se ha transformado en un líder de reputación mundial en esta materia. Corfas es vicepresidente para Asia-Pacífico y América Latina de Skybox, una empresa con sede en Silicon Valley que acaba de obtener una inversión de 150 millones de dólares para expandir su plataforma de gestión integrada de seguridad.
Avi Corfas recibió a esta cronista en Israel y luego visitó Infobae para explicarnos cuáles son los grandes desafíos que enfrentaremos en 2018, en temas de seguridad informática.
— ¿Hacia dónde vamos en temas de ciberdelito?
—La ciberseguridad ha ido adquiriendo cada vez más importancia porque hoy el tejido de nuestra vida – la financiera, el agua que tomamos, la electricidad, todo está gestionado por informática. Antes ni se pensaba en el tema. Pero, cuando empezó a desarrollarse la interconectividad, muchos delincuentes, que también están interconectados, aprovecharon para empezar a atacar y a hacer todo tipo de daños. Llegamos hoy a la situación en que un estudiante secundario en Moscú puede dejar a un país entero sin electricidad por dos días, sin levantarse de la cama.
—Hackea un sistema vital desde la PC de su casa…
—No lo hackea directamente, lo que hace es que "secuestra" redes de cientos de miles de dispositivos – que pueden ser PC, cámaras de seguridad o dispositivos de control de plantas de energía y otras cosas que a uno ni se le ocurre que tienen dentro una computadora. Entonces, la seguridad pasa a ser algo esencial. Sin seguridad no se puede funcionar. Un banco no puede operar, un gobierno no puede gestionar, las aerolíneas no pueden volar. La seguridad pasó a ser tan esencial como la electricidad.
LEA MÁS:
El Gobierno detectó 1,4 millones de hackeos y reforzará la ciberseguridad del Estado
En Israel, las amenazas superaban los recursos del país, y esto dictó la necesidad de aplicar tecnología a los sistemas críticos Obviamente, la seguridad era un requisito esencial.
¿De qué sirve tener un sistema muy inteligente si alguien lo puede pinchar? Entonces surgió esa mentalidad de poner seguridad en todo, como un componente esencial. Algunas compañías, como Checkpoint, conquistaron gran parte del mundo con tecnología específica para ciberseguridad y fueron el modelo a seguir por muchos otros.
Lo que ocurre ahora es que hay tantas amenazas y tantos sistemas de seguridad que se necesita un software que pueda gestionar todo eso en forma automática, y eso es lo que hacemos desde Skybox Security. Por ejemplo, no sé cuántas puertas y ventanas tiene este edificio, pero si quieren tenerlas controladas, ya no alcanza con tener un chip en cada una, sino que hay que contar con un sistema que te diga cómo están: si están abiertas, si están cerradas, la hora en que tienen que estar así, si alguien las abrió, si no las tenías que abrir, etc. Eso mismo se hace en la red de computadoras, en la red de energía, de agua y en las instalaciones físicas.
—Todo está interconectado…
—Sí, está todo interconectado. Hoy vas a un hospital y te sacas una MRI (imagen por resonancia magnética) y es un equipo Windows. La bomba que lleva agua en la planta de tratamiento tiene de 1 a 10 computadoras que están conectadas a internet, en general, por descuido. Porque lo que suele ocurrir es que nadie "planea" conectarlas, ni mide las consecuencias, pero lo hace, por ejemplo, para el mantenimiento.
Entonces, si tenés 6 mil de esas en una planta, todas conectadas a internet, o a través de la red de informática de la compañía; accesibles, porque todas tienen el mismo password, o todas tienen lo que se llama vulnerabilidades… Ahí hay que tener algún sistema para poder ver cada día dónde pueden estar los peligros.
Hay una industria del cibercrimen con venta de paquetes de productos maliciosos y hasta servicio de post venta
— Decías que un chico, desde su cama, en Rusia puede hackear un sistema central de un país. ¿Por qué? ¿Porque los sistemas son tan vulnerables como para que lo pueda hacer un chico, o porque un chico hoy puede tener el aprendizaje tan complejo como para hacer una cosa así?
—Por ambas razones, y también porque hay muchas herramientas disponibles. Hoy en día hay una industria de crimen, de cibercrimen. Hay gente que desarrolla herramientas de software para efectuar ataques y las vende por internet con precios por paquete y con servicio al cliente. Entonces ni siquiera hay que ser un hacker genio. Alcanza con conectarse y pagar para tener acceso a herramientas que te permiten hacer cualquier tipo de daño. Y pueden hacerlo además porque hay muchas vulnerabilidades y se descubren cada día nuevas. Es imposible estar al tanto de todo.
LEA MÁS:
Ransomware: virus con el que un niño secuestraría tus archivos
Cómo funciona la millonaria industria del cibercrimen
-¿Qué podemos esperar para el año próximo?
—A medida que avanza la transformación digital de las empresas, su "superficie de ataque" (es decir, todas las formas en que son susceptibles de ser hackeadas) también seguirá creciendo. La adopción de tecnologías virtuales y de la nube vuelve cada vez más compleja la superficie de ataque y dificulta aún más la protección de datos.
Entonces, es muy difícil para compañías con redes híbridas (redes físicas, nube y entornos virtuales) saber a dónde se almacenan los datos, qué medidas de protección tienen y qué amenazas pueden comprometerlos. Obtener una visibilidad perfecta y detallada sobre dichas redes será más importante que nunca en 2018.
Las tendencias en ciberseguridad que seguirán acentuándose en el futuro cercano son:
1.La comercialización y automatización del cibercrimen
Es de esperar que en 2018 continúe expandiéndose el uso de "crimeware distribuido", que ya experimentó un gran crecimiento en 2017. El ransomware es sólo un ejemplo de muchos. Ocurre que, a medida que los grupos criminales se vuelven más organizados, comienzan a conducirse como verdaderas empresas comerciales que buscan maximizar sus ganancias. ¿Cómo logran esto? Con ataques de bajo costo, pocos obstáculos y tantas víctimas como sea posible. Lo vimos con lo que pasó con WannaCry. Lo que hicieron fue atacar a individuos y compañías en todo el mundo, repitiendo el mismo exploit (en este caso, de vulnerabilidades de Microsoft), propagándose automáticamente a través de un gusano que se autoreplica y autotransmite.
LEA MÁS:
2. Amenazas a redes operacionales (sistemas de control industrial)
Las redes de infraestructuras críticas – como servicios públicos, producción y distribución de energía, fábricas, etc. – también se han vuelto más complejas. La tecnología operativa (OT) – sensores utilizados para monitoreo y alertas – se conectan cada vez más con redes de datos. Esta integración crea vías que pueden ser explotadas por los atacantes.
Los ataques cibernéticos contra estos objetivos pueden ocasionar daños físicos a empleados, comunidades y al medio ambiente.
2018 será un año clave para las redes de OT. Muchas empresas ya han puesto la seguridad de OT bajo la autoridad de sus jefes de seguridad informática. Esto también afecta a las redes de informática, ya que en ellas se originan muchos ataques y pueden ser utilizadas para recopilar información sobre el entorno de OT. Estos procesos requieren automatización de la prevención. Y es vital ya que, casi a diario, se producen ataques a la infraestructura crítica, incluyendo instalaciones de energía nuclear. Hay países, como Ucrania, que han llegado a ser totalmente paralizados por este tipo de ataques.
3.La proliferación de ataques indiscriminados de ransomware y wipeware
El ransomware (o software "de rescate") es un programa dañino que se transmite utilizando un troyano o un gusano para infectar el sistema operativo. De esta manera, se cifran todos los archivos y el usuario sólo podrá volver a acceder a los mismos mediante una clave que sólo conoce el creador del ransomware, quien reclama un rescate. Para descargar estos programas, usan ciertas vulnerabilidades del software. Por ejemplo, pueden camuflar el código malicioso dentro de un archivo atractivo. El usuario cae en la trampa y hace clic en una invitación infectada. Estos troyanos y gusanos pueden venir escondidos en archivos adjuntos de correos electrónicos, videos webs de dudoso origen, actualizaciones de sistemas o programas que resultan confiables y familiares, como Windows, Adobe Flash, etc.
LEA MÁS
Cómo es el nuevo malware espía que se propaga por Adobe Flash
Recordemos que, en 2017, los ataques como WannaCry y NotPetya causaron estragos en todo el mundo. En el tercer trimestre del año, apareció ransomware en un 64% de los correos electrónicos maliciosos, según un informe de Proofpoint. Esto probablemente empeorará en 2018.
El ransomware consiste en ataques que encriptan la información en los sistemas de la víctima y exigen rescate para decodificarlos. El wipeware se refiere a ataques que, disfrazados de ransomware, no permiten recuperar los datos ni siquiera pagando. Por eso, el wipeware es más usado por fuerzas estatales, mientras que el ransomware tiene objetivos de lucro.
LEA MÁS:
El jefe del Centro británico de Ciberseguridad denunció ataques cibernéticos de Rusia
Reino Unido acusó a Corea del Norte por el ciberataque del virus WannaCry
Para el consumidor, el ransomware sigue siendo una amenaza personal y directa. Sin embargo, hay ganancias mucho mayores para los criminales en el ataque a empresas. Es probable que veamos más casos de ransomware a gran escala en 2018 que llevarán a que los datos de los clientes sean destruidos o se vuelvan inutilizables.
Todas estas tendencias tienen algo en común: el nivel de sofisticación del atacante puede ser menor. Incluso, puede tratarse de alguien que sencillamente haya comprado el virus y lo use para atacar un sitio web. La gran mayoría de estos ataques – 97%, según un informe de Verizon – ocurre porque las víctimas no han implementado correctamente los controles más básicos, como parches de software y reglas de filtrado de conexiones, en sus redes.
Uno de los problemas con los que nos encontramos en la actualidad es que para poder implementar y monitorear todos estos controles, también necesitamos automatización, ya que la cantidad de información y el volumen de cambios en las redes son inmensos.
4.La escasez de talentos:
La industria de ciberseguridad enfrenta una escasez masiva de talento y algunos analistas pronostican un déficit de dos millones de expertos para 2019. Esta estadística es particularmente preocupante ante la creciente complejidad de las redes y un panorama de amenazas crecientes. En 2018, las organizaciones deberán recurrir a la automatización inteligente para cerrar la brecha de talento, desde la recopilación de datos y el análisis, hasta la orquestación y la elaboración de informes.
5.Falta de integración automática:
Si bien varios procesos de ciberseguridad ya están automatizados, a menudo son inconexos: se centran en una función específica en vez de integrarse en un programa de seguridad más amplio. Por ejemplo, muchas empresas suelen tener herramientas para gestionar las vulnerabilidades en sus sistemas y otras para notificarles sobre nuevas alertas de amenazas. El análisis de los resultados de estas herramientas, es en gran medida un proceso manual. Sin la integración automática de esta información con rutas posibles de ataque y otros datos, los equipos de seguridad terminan centrándose en amenazas de bajo riesgo.
Esto sucedió en organizaciones que fueron víctimas de WannaCry: las vulnerabilidades que el ataque explotaba eran conocidas y tenían exploits publicados; sin embargo, estaban expuestas en todo el mundo. El software de Skybox evalúa automáticamente cuán expuestas y cuán peligrosas son, antes de que se produzca el ataque.
-¿Algunos consejos para usuarios particulares?
—Lamentablemente, la mayoría de los impactos sufridos por individuos son resultado de ataques a las empresas y organizaciones con las que ellos trabajan. El único control que el usuario individual tiene sobre su propia seguridad consiste en mantener normas básicas tales como:
1-Aplicar las actualizaciones de seguridad difundidas por los fabricantes de los sistemas
2-Jamás cliquear enlaces que llegan por mail
3-Realizar backups frecuentes
4-Generar contraseñas difíciles de romper
5-Instalar verificación de dos pasos, cada vez que se pueda
6-Formarse como usuarios: las empresas deberían instruir a sus empleados sobre estos temas porque ellos suelen ser uno de los puntos más débiles y la puerta de acceso a ciberdelincuentes Hay que invertir (tiempo y/o dinero) en educación, como parte fundamental de la estrategia de seguridad. Lo mismo deberíamos hacer cada uno de nosotros en forma particular
LEA MÁS:
Ciberdelito: 10 consejos de un experto israelí para protegerse de los ataques de hackers
Por qué es muy mala idea (y un riesgo) tener siempre encendido el wifi del celular