El año 2011 se ha caracterizado por ataques combinados que han expuesto millones de archivos de clientes, información personal y otros datos organizacionales confidenciales, señala la firma de seguridad Check Point.

En una columna, Tomer Teller, evangelista de Seguridad  de Check Point Software Technologies, señala que los ataques realizados por los cibercriminales han impulsado a las compañías a ser más proactivas con la seguridad. “Ya están reportando las fugas cuando ocurren y, en la mayoría de los casos, están notificando prontamente a sus clientes y a la gente acerca de lo que pasa.

Así hace un recuento de las amenazas de seguridad del 2011:

• El año comenzó con la fuga RSA un ataque de phishing sofisticado y dirigido donde un grupo pequeño de empleados fueron engañados para que abrieran un correo electrónico corrupto con una línea de asunto atractiva “Plan de Reclutamiento 2011”. En realidad el correo escondía una hoja de cálculo envenenada. Los atacantes pudieron comprometer los tokens de autenticación securID de RSA poniendo en riesgo potencial a decenas de empresas Fortune 500 y costar millones de dólares.

• HBGary Federal, una firma de seguridad TI del gobierno de los Estados Unidos fue violada a principios de año. La agencia que fue blanco de un grupo determinado de hackers vio la descarga y distribución de datos confidenciales, miles de correos electrónicos corporativos, datos de malware y documentos financieros pertenecientes a sus clientes. La meta del grupo activista de Internet “Anonymous” era perjudicar y avergonzar a la firma como represalia a la declaración de su CEO de que había infiltrado el grupo y que revelaría datos de los miembros de Anonymous.

• En abril, Epsilon, uno de los proveedores más grandes del mundo de servicios de mercadotecnia por correo electrónico que despacha alrededor de 40 billones de e-mails al año a clientes como Mc Kinsey & Company, Marriott Rewards, Citibank, Walgreens, Tivo, etc., sufrió una de las pérdidas de datos más severas de la historia exponiendo millones de direcciones de correo individuales. Los criminales intentaron capturar tanta información de los clientes como fuera posible para crear estafas por correo electrónico avanzadas, personalizadas y creíbles con el fin de usarlas después contra los receptores de los correos violados.

• Luego en ese mes la red Playstation de Sony tuvo la fuga de información personal de más de 70 millones de suscriptores, incluyendo correos electrónicos, contraseñas, PINs, detalles de contacto, posiblemente datos de tarjetas de crédito y todo tipo de otros registros, dejando a los clientes de Sony vulnerables a las campañas de phishing y al robo de identidad. Es más la compañía confesó haber sufrido una segunda fuga de datos a principios de mayo y una pérdida extra de 24.6 millones de usuarios de juegos de computadora.

• Citibank reveló en junio que información personal y de cuentas de aproximadamente 200 mil clientes de tarjetas bancarias en Estados Unidos fue extraída. Los datos hurtados pudieron incluir información de tarjetas de crédito, así como nombres de los clientes y direcciones de correo electrónico.

Tomer Teller señala entre los puntos comunes de los incidentes:

Ataques Dirigidos

Estos ataques han sido planeados, orquestados y ejecutados cuidadosamente. Son ataques altamente sofisticados que califican como Amenazas Avanzadas Persistentes (APT por sus siglas en inglés), creadas específicamente contra compañías blanco, corporaciones en su mayoría con más de diez mil empleados, que operan volúmenes significativos de bienes, información de clientes y datos confidenciales. Los atacantes son expertos en seguridad sumamente entrenados que están motivados por un apetito de reto y ganancias financieras.

Ataques de Ingeniería Social

Otra similaridad es que estos ataques resultan de técnicas de ingeniería social. Los cibercriminales se dirigen ahora y manipulan a los empleados dentro de la organización “hackeando la mente humana” para violar los sistemas de la organización. Además, estos cibercriminales ya no son aficionados aislados. Pertenecen a organizaciones bien estructuradas que se parecen a células terroristas con dinero, motivación y metas. Pueden implementar inteligencia, tiempo y recursos considerables con el fin de crear ataques originales de ingeniería social y recabar bienes de información.

Información: la mina de oro de los hackers

En estas fugas de datos destaca que los atacantes procuran más datos generales de clientes y menos datos específicos de facturación o de tarjetas de crédito. En verdad, tal información puede ser muy lucrativa para los remitentes de spam.

El directivo de Check Point recomienda a las empresas no crearse la ilusión de que cumplen con sus políticas y que por lo tanto están libres de ataques. Los ataques dirigidos están en aumento y ninguna compañía es infalible. Los negocios deben erigir tantas barreras como sean posibles entre los cibercriminales y la red corporativa y los bienes.

“La protección empieza con la implementación de una estrategia de seguridad profunda en la red, puntos finales y los múltiples dispositivos de seguridad que se conectan a la red. Las empresas necesitan aplicar varias capas de protección, incluyendo un firewall avanzado y un sistema de prevención de intrusiones (IPS) para detectar amenazas mezcladas; una solución de seguridad de punto final completa para proteger todos los endpoints y dispositivos móviles; una solución de prevención de pérdida de datos para proteger bienes de información. Simultáneamente necesitan definir una política de seguridad sólida y bien estructurada para reforzar las protecciones. Esta política necesita alinearse con los objetivos de negocio y que se comprenda claramente por los empleados de la organización. Además estimularía a las empresas para que analizaran cómo exponen sus bienes de datos con el fin de reevaluar cómo protegerlos mejor”, aconseja.

“Luego de proteger y cerrar esta ‘puerta principal’ a atacantes potenciales las organizaciones deben trabajar en asegurar y cerrar su ‘puerta trasera’. El error humano es el problema de seguridad que la tecnología sola no puede arreglar y para la cual no existe un parche. Depende de las organizaciones involucrar, entrenar y educar activamente a sus empleados con el fin de convertirlos en cuidadores de puertas corporativos reales y alertas sobre la seguridad”, concluye Tomer Teller.