En la actualidad, conectarse a redes sociales para mantenerse informado, o ver las noticias en línea es bien común. También es frecuente leer sobre cómo los cibercriminales han comprometido por completo sistemas y redes corporativas, impactando adversamente las operaciones, producción y prestación de servicios de las compañías. Estos ataques han ocasionado un impacto negativo en la reputación e imagen de las empresas o instituciones y por consiguiente, en la confianza y lealtad de sus clientes. Peor aún, al exponerse los datos no públicos de millones de clientes, empleados y/o ciudadanos, se compromete la confidencialidad y privacidad de la información de éstos. No sólo se compromete la información, sino que también se exponen secretos y estrategias de negocios, propiedad intelectual y vulnerabilidades en la infraestructura gubernamental que son críticas y pudieran poner en peligro hasta la seguridad nacional de un país.
Ante este peligroso panorama de amenazas cibernéticas, instituciones públicas y privadas han creando más consciencia, adquiriendo tecnologías que les permite la implementación de más y mejores controles de seguridad en sus infraestructuras tecnológicas. De igual forma, han definido políticas, estándares y guías de seguridad de información para forzar las buenas y mejores prácticas de uso y manejo seguro de sus sistemas, equipos y procesos operacionales. Sin embargo, continuamos observando un aumento vertiginoso en brechas de seguridad y/o de datos en todo tipo de empresas e industrias. Entonces, nos podemos preguntar, ¿por qué aún con la adquisición de tecnologías de sistemas de información más seguras, “robustas” e inteligentes, y la implementación de políticas más restrictivas y disuasivas, siguen aumentando estos eventos? Pareciera que cada vez que las empresas dan un paso hacia un nivel de madurez mayor en términos de seguridad de información, los cibercriminales aventajaran en creces dichos controles y prácticas de ciberseguridad. Y en efecto, así ocurre.
Los cibercriminales, en muchas ocasiones, trabajan de forma organizada y utilizan aplicaciones y estrategias originadas por comunidades de “hackers”, teniendo así poderosas herramientas y mayores capacidades para perpetrar sus actos criminales. La mayoría de las veces hacen daño sin necesidad de tener un alto conocimiento técnico. Pero independientemente de si tienen o no los conocimientos necesarios, si actúan solos o de forma organizada, no cabe dude que representan una gran amenaza para cualquier organización o empresa, por lo que es imperativo no subestimar sus capacidades, técnicas, tácticas y procedimientos para cometer sus actos criminales.
Los criminales cibernéticos no sólo hacen uso de tecnologías para llevar a cabos sus actos, sino que también se valen de técnicas de ingeniería social para lograr, de una forma convincente, manipular la psicología de los usuarios de sistemas de información. Aunque es una técnica bastante vieja, no ha dejado de estar entre los vectores de ataque más utilizados por los “hackers” dado su alto nivel de efectividad y éxito. Esta técnica ha probado ser tan efectiva que, personas con un alto nivel de conocimiento técnico en el campo de ciberseguridad han sido víctima de la misma, o han revisado dos veces la legitimidad de los mensajes electrónicos que las emplean. Aunque el medio por donde mayormente se emplea está técnica es a través de correos electrónicos o mensajes de texto con hipervínculos, su éxito se debe principalmente al empleo de la manipulación psicológica del usuario a través de mensajes que aparentan provenir de una fuente legítima o conocida, provocando un sentido de premura o urgencia de dar una respuesta inmediata, con un mínimo o ningún tipo de razonamiento o conciencia. Es aquí donde, indistintamente de los controles tecnológicos implementados por cualquier organización, se pudieran ver comprometidos los tres principios básicos de seguridad de información: la confidencialidad, integridad y disponibilidad de los datos.
Sin duda, los controles tecnológicos pudieran prevenir la fuga de datos en casos de una brecha de seguridad informática ante un incidente ocasionado por éstos “phishing e-mails” que emplean la susodicha técnica de ingeniería social. Lo cierto es que, un “phishing e-mail” puede utilizar múltiples técnicas o tácticas, entre ellas puede contener un “malware”, un enlace a un portal falso (“fake”) donde solicite las credenciales del usuario (nombre de usuario y contraseña de la red corporativa), o un “script” que ejecute una serie de instrucciones maliciosas que comprometan una red corporativa o el sistema. Así que no se trata de un mero e-mail, sino de un arma sumamente poderosa de la cual se valen los “hackers”. Entonces, ¿cómo prevenimos un evento que utiliza este tipo de técnica? Puede ser con tecnología tal como “firewalls”, “spam filters”, antivirus y/o anti-malware, entre otros. Pero más poderoso aún, es con capacitación, entrenamiento y concienciación (“awareness”) de seguridad de información.
El “awareness” es concienciar a los usuarios sobre los sistemas de información y del panorama de amenazas cibernéticas que existen dentro y fuera de una empresa. Es capacitarlos y brindarles las herramientas para que puedan identificar cualquier técnica y táctica utilizada por cibercriminales, y que en conjunto con los controles tecnológicos, mejores prácticas y guías, puedan prevenir y/o mitigar un evento de seguridad o fuga de datos de una forma efectiva. Dado que el panorama es uno complejo, cambiante y evolutivo, es importante entender que el proceso debe ser continuo e iterativo, por lo que hay que capacitar al personal constantemente. El éxito de este “awareness” radica principalmente en una constante comunicación por los distintos canales y en el traspaso de conocimiento sobre las últimas tendencias de amenazas cibernéticas. De igual forma, la efectividad se mide con pruebas de comprensión sobre el conocimiento compartido y métricas que validen una disminución en eventos de seguridad, o la total erradicación de éstos.
Autor: Ing. Gilberto Crespo, MSCE, CDIA+, CIP, ITILv3
Computer Engineer & Blogger
Los cibercriminales, en muchas ocasiones, trabajan de forma organizada y utilizan aplicaciones y estrategias originadas por comunidades de “hackers”, teniendo así poderosas herramientas y mayores capacidades para perpetrar sus actos criminales. La mayoría de las veces hacen daño sin necesidad de tener un alto conocimiento técnico. Pero independientemente de si tienen o no los conocimientos necesarios, si actúan solos o de forma organizada, no cabe dude que representan una gran amenaza para cualquier organización o empresa, por lo que es imperativo no subestimar sus capacidades, técnicas, tácticas y procedimientos para cometer sus actos criminales.
Los criminales cibernéticos no sólo hacen uso de tecnologías para llevar a cabos sus actos, sino que también se valen de técnicas de ingeniería social para lograr, de una forma convincente, manipular la psicología de los usuarios de sistemas de información. Aunque es una técnica bastante vieja, no ha dejado de estar entre los vectores de ataque más utilizados por los “hackers” dado su alto nivel de efectividad y éxito. Esta técnica ha probado ser tan efectiva que, personas con un alto nivel de conocimiento técnico en el campo de ciberseguridad han sido víctima de la misma, o han revisado dos veces la legitimidad de los mensajes electrónicos que las emplean. Aunque el medio por donde mayormente se emplea está técnica es a través de correos electrónicos o mensajes de texto con hipervínculos, su éxito se debe principalmente al empleo de la manipulación psicológica del usuario a través de mensajes que aparentan provenir de una fuente legítima o conocida, provocando un sentido de premura o urgencia de dar una respuesta inmediata, con un mínimo o ningún tipo de razonamiento o conciencia. Es aquí donde, indistintamente de los controles tecnológicos implementados por cualquier organización, se pudieran ver comprometidos los tres principios básicos de seguridad de información: la confidencialidad, integridad y disponibilidad de los datos.
Sin duda, los controles tecnológicos pudieran prevenir la fuga de datos en casos de una brecha de seguridad informática ante un incidente ocasionado por éstos “phishing e-mails” que emplean la susodicha técnica de ingeniería social. Lo cierto es que, un “phishing e-mail” puede utilizar múltiples técnicas o tácticas, entre ellas puede contener un “malware”, un enlace a un portal falso (“fake”) donde solicite las credenciales del usuario (nombre de usuario y contraseña de la red corporativa), o un “script” que ejecute una serie de instrucciones maliciosas que comprometan una red corporativa o el sistema. Así que no se trata de un mero e-mail, sino de un arma sumamente poderosa de la cual se valen los “hackers”. Entonces, ¿cómo prevenimos un evento que utiliza este tipo de técnica? Puede ser con tecnología tal como “firewalls”, “spam filters”, antivirus y/o anti-malware, entre otros. Pero más poderoso aún, es con capacitación, entrenamiento y concienciación (“awareness”) de seguridad de información.
El “awareness” es concienciar a los usuarios sobre los sistemas de información y del panorama de amenazas cibernéticas que existen dentro y fuera de una empresa. Es capacitarlos y brindarles las herramientas para que puedan identificar cualquier técnica y táctica utilizada por cibercriminales, y que en conjunto con los controles tecnológicos, mejores prácticas y guías, puedan prevenir y/o mitigar un evento de seguridad o fuga de datos de una forma efectiva. Dado que el panorama es uno complejo, cambiante y evolutivo, es importante entender que el proceso debe ser continuo e iterativo, por lo que hay que capacitar al personal constantemente. El éxito de este “awareness” radica principalmente en una constante comunicación por los distintos canales y en el traspaso de conocimiento sobre las últimas tendencias de amenazas cibernéticas. De igual forma, la efectividad se mide con pruebas de comprensión sobre el conocimiento compartido y métricas que validen una disminución en eventos de seguridad, o la total erradicación de éstos.
Autor: Ing. Gilberto Crespo, MSCE, CDIA+, CIP, ITILv3
Computer Engineer & Blogger
