¿Nunca se han preguntado dónde queda la seguridad informática en los escenarios futuristas que se plantean en películas como Minority Report, Yo Robot, Inteligencia Artificial, Blade Runner o, incluso, Volver al futuro 2? Uno ve pantallas digitales inteligentes, lectores de retina ligados a aplicaciones de mercadotecnia, dispositivos de cristal que almacenan grandes cantidades de información, autos con conexión a internet y más, pero si uno piensa con malicia, todo eso es susceptible de ser vulnerado.

Y aunque tal vez parezca que esos escenarios son aún lejanos, en verdad no lo son tanto. Una simple búsqueda en YouTube permite encontrar decenas de videos de las tecnologías del mañana que ya están desarrollando compañías como Microsoft, Cornwell, Nokia o Cisco. Algunas tecnologías, de hecho, son ya una realidad en ciudades de países tecnológicamente avanzados, como Japón.

Sin ir más lejos, en las pasadas elecciones presidenciales, Jalisco utilizó casillas electrónicas presenciales para registrar la votación de sus ciudadanos. Casi de manera predictiva, durante un evento de seguridad informática que se llevó a cabo en Cancún a principios de año, Alexander Ktoko, líder de la división de Estrategia Corporativa de la International Telecommunications Union (ITU), me dijo que en un futuro cercano los jóvenes ya no querrán ir a las casillas a votar, sino que buscarán hacerlo por Internet. Todo esto genera nuevas alertas en materia de seguridad informática. Si algo nos han enseñado los más recientes ataques de malware dirigidos a blancos específicos, es que no hay fronteras en internet ni dispositivos que no sean vulnerables, aun si no están conectados a la web. “Las amenazas tienen que verse desde una óptica diferente a la actual”, dijo Ktoko.

Ciberespionaje y ataques dirigidos

En los últimos meses se ha detectado un aumento considerable de los ataques dirigidos a compañías y organizaciones específicas. Por ejemplo, Aurora tenía el objetivo de acceder a compañías de alta tecnología, defensa y seguridad e intentar modificar repositorios de código fuente, mientras que Stuxnet fue programado para ingresar a los sistemas de una planta nuclear iraní que, dicho sea de paso, no estaban conectados a Internet, lo que implica el uso de ingeniería social para introducir la pieza de malware a las instalaciones.

Recientemente se difundieron noticias sobre casos detectados de ciberespionaje en Medio Oriente y América Latina, y poco antes se dio a conocer el descubrimiento de Flame, otro código malicioso altamente sofisticado cuyos ataques al parecer se dirigían a instalaciones iraníes. La lección que dejan estos descubrimientos es que si estos ataques han tenido éxito, seguramente proliferarán.

“Nos preocupa la militarización del uso de malware como arma”, comentó Ktoko. “La gente tiene que saber los riesgos y considerar en algunos casos la desconexión de Internet para buscar otros medios de control. También es necesario trabajar en conjunto, y desarrollar sistemas que sean evaluados por otros para asegurarnos de que no fallen. Se requiere más evolución en esta área”, agregó.

Michael Moran, directivo de Ciberseguridad y Crimen de Interpol, coincidió: “Necesitamos trabajar más con otros stakeholders, industria, academia y mejorar la tecnología, así como usar las herramientas y sistemas en línea para innovar.” En este sentido, comentó, Interpol busca que los países en donde tiene presencia incrementen sus capacidades para lidiar con los criminales –tanto internos como externos– y puedan responder a los ataques.

Para ello, el organismo cuenta en Singapur con un centro denominado Interpol Global Center for Innovation (IGCI) a través del cual apoyan a varios países, la industria y la academia para enfrentar el problema de la ciberdelincuencia.

La ITU, por su parte, estableció en mayo de 2007 la Global Security Agenda con el objetivo de conjuntar los esfuerzos de 140 países registrados y llegar a acuerdos comunes. “No hay fronteras en el ciberespacio. Uno puede tener la mejor infraestructura y leyes pero si no ayuda a los que están menos avanzados, los ataques pueden venir de estos países”, explicó Ktoko.

Naturaleza de los ataques dirigidos

De acuerdo con CIO España, el estudio “Impacto del cibercrimen en las empresas”, realizado por Check Point, revela que los ataques de denegación de servicio (DDoS) y los fraudes bancarios por medio de una inyección SQL o infecciones botnet son los ataques dirigidos más habituales contra las empresas. Cada semana se producen un promedio de 66 tentativas de ataque con costos de hasta $300 mil dólares para las organizaciones, explica el estudio.

La mayoría de los encuestados señalaron el fraude financiero (65%) como la principal motivación de los cibercriminales, seguido de la de interrupción de las operaciones de negocio (45%). Más de un tercio de los encuestados han sido víctimas de amenazas persistentes avanzadas o APT (35%), infecciones botnet (33%) y ataques DDoS (32%). Se calcula que aproximadamente el 5% de los ataques tuvieron motivos políticos o ideológicos.

Las principales consecuencias de dichos ataques se tradujeron en importantes interrupciones en los negocios, así como pérdida de información sensible, incluyendo datos confidenciales y de propiedad intelectual.

Sin embargo, algunos ataques dirigidos provocan escalofríos por su capacidad para introducirse en sistemas críticos, como los de la compañía de luz, plantas hidroeléctricas o nucleares, o incluso los sistemas de seguridad de las prisiones, alterando los parámetros y generando consecuencias que, más allá de la pérdida financiera o de reputación, implican un riesgo severo a las vidas humanas.

En este sentido, Alexander Ktoko comentó que la ITU está muy preocupada por los ataques SCADA debido a la capacidad que tienen para tirar infraestructuras críticas (agua, electricidad, etc.) simplemente porque estos equipos están conectados a Internet. “El hecho de que sea posible abrir las puertas de las prisiones ya es atemorizante. Esto implica que debemos tomar las amenazas con más seriedad. En el ámbito tradicional se requieren muchos recursos para abrir las puertas de una prisión pero en el ciberespacio sólo se requieren conocimientos”, opinó.

Por su parte, Michael Moran de Interpol, expresó que se requiere un análisis apropiado de las infraestructuras críticas que se conectan a la red, y asegurar los equipos que requieran conectarse. “El potencial de ataque está ahí, latente”, expresó.

¿Qué lecciones dejan los sucesos hasta ahora registrados? De entrada, el conocimiento de que todos los sistemas pueden ser atacados, incluso aquellos no conectados a Internet o están dentro de redes autónomas protegidas.

Otra lección es que aún con el mejor software de seguridad, la educación de los usuarios y los controles de seguridad son imperativos, para disminuir la vulneración de brechas por medio de técnicas de ingeniería social. Los ataques dirigidos también han demostrado la necesidad de mantener las aplicaciones y los sistemas actualizados, pues muchas amenazas han aprovechado las vulnerabilidades de versiones antiguas o parches no instalados.

Finalmente, es importante el esfuerzo conjunto entre clientes, proveedores y agencias gubernamentales. “Se argumenta que todos los criminales están un paso delante de la ley, pero no estoy de acuerdo. Creo que cualquier brecha que exista entre los criminales y las fuerzas de la ley puede salvarse si trabajamos juntos”, concluye Moran.

– Lizzette Pérez, CSO México