¿Qué tienen en común las empresas The Home Depot, Target, eBay y UPS? En que además de pertenecer al sector comercial, las cuatro se convirtieron en presa fácil de los ciberdelincuentes, lo que parecía imposible para una organización de gran tamaño. Si bien, el impacto económico es de lamentar, ahora se están enfrentando a la difícil tarea de recuperar la confianza de sus clientes y de atraer a nuevos prospectos.
De acuerdo con un estudio de la compañía analítica B2B International y Kaspersky Lab realizado el año pasado, un exitoso ataque dirigido específicamente contra una gran compañía puede provocar daños de hasta 2.4 millones de dólares (mdd) en promedio y es uno de los tipos más peligrosos de amenazas cibernéticas ya que en su preparación y lanzamiento participan cibercriminales profesionales.
De este monto, 2.1 millones de dólares surgen directamente del incidente en sí en forma de pérdidas derivadas de filtraciones críticas de datos, interrupción de la operativa empresarial y gastos por servicios especializados de reparación (abogados, profesionales de seguridad de TI, etcétera). Adicionalmente, las empresas enfrentan un costo de 224,000 dólares aproximadamente por las medidas que deben implementar para impedir que esos incidentes vuelvan a repetirse, como actualizar el software y el hardware, y contratar y capacitar su personal.
En el caso particular de The Home Depot, esta cifra es superada por mucho. Según con lo declarado por esta tienda de retail, el costo de investigar la brecha en los datos, ofrecer servicios de monitoreo de crédito a sus clientes, aumentar el personal de los centros de llamados, además de pagar servicios legales y profesionales, será de 62 mdd aproximadamente, de los cuales 27 mdd podrán ser recuperados por medio de aseguranza.
La investigación en curso de la compañía determinó que los delincuentes usaron un solo malware desarrollado a la medida para evadir la detección, el cual estuvo presente entre abril y septiembre de 2014, y el ciberataque dejó en riesgo la información de alrededor de 56 millones de tarjetas de pago únicas.
Las pequeñas y medianas empresas (PyMEs) no están exentas de sufrir ataques dirigidos. Geldard Valle, ingeniero especialista en Ciberseguridad para Symantec México, afirmó que este sector empresarial, generalmente el sector de servicios ha sido la principal víctima del cibercrimen en los últimos años. Esto debido a que las grandes empresas subcontratan sus servicios, convirtiéndolo en el blanco perfecto pues cuentan con el acceso a las redes e incluso a los datos de negocios de estos corporativos.
Según B2B International y Kaspersky, las pérdidas en las PyMEs son notablemente más bajas, de alrededor de 92,000 dólares por incidente, aunque considerando el tamaño de estas compañías (que tienen un promedio de entre 100 y 200 empleados), el golpe es de todas maneras muy fuerte. Del total de dicho monto, aproximadamente 72,000 dólares van directamente a la reparación del incidente, mientras que los otros 20,000 dólares se destinan a prevenir que ocurran incidentes similares en el futuro.
Por otro lado, las infraestructuras de red hackeadas a grandes compañías pueden causar daños de 1.67 millones de dólares (73,000 dólares en el caso de las PyMEs), y son el segundo tipo más costoso de ataque. El 19% de las compañías sufrieron filtraciones intencionales de información corporativa, y las pérdidas financieras resultantes ascendieron a un promedio de 984,000 dólares (51,000 dólares para las PyMEs).
Los ataques dirigidos a las vulnerabilidades comunes de software afectaron al 39% de las empresas. Las grandes compañías tuvieron que pagar un promedio de 661,000 dólares por los daños provocados por este tipo de ataques, mientras que el costo de los daños para las PyMEs fue de 61,000 dólares.
La pérdida de la información es invaluable para una organización, no obstante Ponemon Institute estimó que el costo promedio por registro perdido o robado debido a una fuga de datos es de 188 dólares.
Carlos G. González, director general de McAfee México, mencionó que el cibercrimen es un negocio muy rentable. “Es igual a la economía número 28 del mundo (Sudáfrica), y de continuar de esta manera, para los próximos 10 años será igual a la economía número 1, es decir, a Estados Unidos”.
En México también pasa
Si bien cada vez son más frecuentes los ataques a las cadenas minoristas, principalmente de Estados Unidos, esto no significa que en México no suceda. Los especialistas coinciden en afirmar que por supuesto muchas empresas están sufriendo de robo de información y lo peor de todo es que no se han dado cuenta. No por algo ocupamos la posición número uno de los países de América Latina en ser atacados.
Ramón Salas, director regional para América Latina de Websense, mencionó que en México no sabemos de este tipo de situaciones porque finalmente cuando sucede algo así se trata de evitar que se sepa. “Nuestras leyes son diferentes a las de Estados Unidos: allá tienen la obligación de avisar. Pero no quiere decir que en nuestro país no esté sucediendo, ¡claro que aquí ha habido fuga de información importante!”.
Por su parte, Carlos G. González, de McAfee, opinó que México, al ser parte del Grupo de los 20 o G20, es vulnerable a estos ataques, y la razón de esto es porque los ciberdelincuentes están en busca de dinero y aquí en nuestro país existen muchas compañías que son muy atractivas para ellos. “Seguimos viendo ataques persistentes avanzados (Advanced Persistent Threats) directamente contra mercados verticales, principalmente retail, finanzas, energía, tecnología”.
En la actualidad las organizaciones se enfrentan a ciberdelincuentes que son tan hábiles que tratan que su presencia no sea percibida, actúan de manera tan sigilosa para que nadie se dé cuenta y puedan perpetuar los ataques de la mejor manera y así robar la mayor información posible.
De acuerdo con información de Kaspersky, en el mundo de los delincuentes informáticos ha aparecido una nueva categoría de atacantes llamada “cibermercenarios”. Se trata de grupos organizados de hackers de alta cualificación, que pueden ser contratados por compañías estatales y privadas para organizar y llevar a cabo complejos ataques específicos contra compañías privadas con el objetivo de robar información, destruir datos o infraestructura.
Los cibermercenarios reciben un contrato donde se especifican los objetivos y el carácter de la misión, después empieza la cuidadosa preparación y realización del ataque. Antes, durante los ataques dirigidos, ocurrían robos masivos de diferente información, ahora, los cibermercenarios tratan de conseguir documentos en concreto o los contactos de las personas que pueden tener la información deseada.
Pueden pasar días, meses e incluso años sin que una empresa se dé cuenta que está siendo hackeada. El tiempo promedio para descubrir una amenaza persistente avanzada para una infracción maliciosa es de 80 días y 123 días el tiempo promedio de resolución para una infracción maliciosa, según un documento de Blue Coat Systems.
Ramón Salas, de Websense, mencionó que los ciberdelincuentes operan bajo dos modalidades: 1) Robo por goteo o robo hormiga, en los cuales los hackers se van robando la base de datos poco a poco; de esta manera no es tan fácil que los descubran y después de determinado tiempo logran su objetivo, y 2) las amenazas que se instalan dentro de la infraestructura del cliente sin hacer nada. Pueden permanecer mucho tiempo y simplemente esperan el momento adecuado para poder efectuar el ataque. Éstas son persistentes y pacientes.
El directivo informó que cuando instalan la solución DLP (Data Loss Prevention) a clientes prospectos han detectado problemas de fuga de información en un poco más del 92% de las empresas. ¿Cuál es la mayor incidencia? “En primer lugar se ubica información de datos personales con lo cual está en falta con la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares; segundo, información confidencial de la empresa que puede ser de cualquier tipo, financiera, espionaje industrial, etcétera; y por último, información relacionada con tarjetas de crédito”, explicó Salas.
“En los últimos años hemos visto que hay otro tipo de amenazas que las empresas no están tomando en cuenta y es el ataque que una firma puede sufrir cuando el hacker logra entrar en sus sistemas, pero lo efectúa a través de sus proveedores, que fue lo que precisamente le sucedió a Target”, aseguró Camilo Gutiérrez Amaya, Senior Security Researcher de ESET.
El primer informe de la encuesta de Ponemon Institute “Exposing the Cybersecurity Cracks: A Global Perspective” reveló que el 44% de las empresas representadas en esta investigación (5,000 profesionales a nivel mundial, entre ellos México) experimentaron uno o más ataques cibernéticos considerables el año pasado. Adicionalmente, el 59% de las compañías no tiene la inteligencia o no está segura sobre los intentos de ataque y su impacto, y el 51% mencionó que sus soluciones de seguridad no brindan información sobre las causas profundas de un ataque o son inseguras.
También llama la atención que sólo el 37% de los encuestados podría decir con certeza que la organización perdió información sensible o confidencial como resultado de un ataque cibernético, mientras que el 35% de los que han perdido información sensible o confidencial no sabía exactamente qué datos fueron robados.
Respecto a las amenazas más comunes a las que está expuesta una organización, Camilo Gutiérrez Amaya, de ESET, citó que, de acuerdo con el Eset Security Report Latinoamérica 2014, las pequeñas y medianas empresas sufrieron en primera medida incidentes de infecciones de malware, puntualmente un 67.10% de las 3369 empresas encuestadas en Latinoamérica.
Los casos de phishing y explotación de vulnerabilidades ocupan los lugares siguientes, habiendo afectado al 48.43% y 47.35% de las empresas, respectivamente. Si bien las empresas grandes también sufrieron incidentes de infección de malware y phi-shing, el tercer lugar corresponde a la falta de disponibilidad (afectando al 51.35% de las empresas), y no la explotación de vulnerabilidades (ver gráfica Comparativa de incidentes en 2013 en la página anterior).
Ante una vulnerabilidad inesperada a los sistemas de una organización, las empresas enfrentan dos situaciones en la recuperación de la misma, señaló Eduardo Rico, LATAM SE Manager de Blue Coat Systems. La primera es tecnológica, en cuyo caso existen en el mercado herramientas para la identificación y erradicación de un ataque. “La empresa debe empezar a hacer algún análisis forense que le permita identificar realmente qué pasó, asegurarse que ya no esté pasando y que no vuelva a pasar”.
Otro tema importante es la recuperación de la imagen pública, que consiste en volver a ganar la confianza de los clientes. “A partir de estas herramientas, ellos puedan proveer información clave y concreta a los clientes, a los medios, para que su imagen en el lado público se recupere mucho más rápido”, indicó el gerente.
Por una seguridad unificada
Al cuestionar a los expertos sobre las razones principales por las cuales estos corporativos como Target y The Home Depot han sido vulnerados, Carlos González, de McAfee, indicó que el problema no es de tecnología sino que a menudo es de procesos. “Hoy en día, el gran problema que están viendo los directores de informática es que muchas soluciones están operando en silos, por lo que hoy se requiere de una plataforma de seguridad interconectada”.
De igual manera, Geldard Valle, de Symantec, destacó la importancia de que las organizaciones cuenten con soluciones de seguridad inteligentes capaces de compartir información entre ellas. “Seguridad unificada, es un término que está empezando a sonar con mayor fuerza y que estamos desarrollando como estrategia de negocio. Lo que nosotros planteamos es que sin importar las marcas de las soluciones que tenga la compañía éstas puedan integrarse.
Agregó que “un requerimiento específico por parte de nuestros clientes es que nuestros productos hablen entre sí e intercambien información y de alguna forma les entreguen datos que les permitan tomar decisiones especificas que de una u otra forma prioricen tanto sus inversiones en cuanto a dinero, tiempo y recursos”.
Entre otras sugerencias, Eduardo Rico, de Blue Coat Systems, hizo referencia sobre el Ciclo de vida para la protección de amenazas avanzadas, el cual consta de tres pasos: 1) Consiste en gente preparada con los sistemas que la industria hasta ahora ha provisto (aquellos sistemas que nos ayudan a dejar afuera lo que ya sabemos que es malo, tecnologías como firewalls, DLP, etcétera; 2) contar con infraestructura que permita realizar un análisis y detonar aquello que no sabemos que es malo bajo un ambiente controlado, se utilizan herramientas del tipo Sandboxing; y 3) si se identifica que el código efectivamente puede hacer daño, las organizaciones deben tener la tecnología, los procesos y las personas para la resolución de incidentes.
Si bien no existen soluciones que garanticen el 100% de seguridad, Ramón Salas, de Websense, sugirió la instalación de herramientas que se enfoquen a asegurar el negocio -mas no la infraestructura-, que tengan la posibilidad de hacer análisis en tiempo real, así como implementar una herramienta de DLP que ayude a la empresa a monitorear y detener una fuga de información que la organización haya decidido proteger.
“Una herramienta de DLP debe cumplir con tres características principales: primera, no sólo debe monitorear sino detener los ataques; segunda, debe tener visibilidad del robo hormiga porque hoy en día los ciberdelincuentes están robando las bases de datos por partes, y tercera, debe tener capacidad para proteger la información fuera de línea, es decir cuando se comparte información vía USB”, explicó el directivo.
Por último, Camilo Gutiérrez Amaya, de ESET, insistió en la doble autentificación. “Se trata de una metodología que implementa un segundo factor de verificación, como por ejemplo, cuando un usuario accede a su cuenta, aparte de ingresar las credenciales de acceso (autenticación simple) tendrá que escribir un segundo código que suele ser enviado al teléfono inteligente por medio de un mensaje de texto o una aplicación”.
-Mireya Cortés