Cybersecurity Awareness and Readyness
Conciencia de Ciberseguridad y Preparación para la Ciberseguridad, son dos conceptos que han venido cobrando gran importancia en nuestra vida diaria en los últimos años. Y es que, así como nuestros padres y profesores nos transmitían la “conciencia y la preparación de la seguridad” para el mundo físico, por ejemplo, que hay que mirar a ambos lados de la calle antes de cruzar, que hay que ser precavido con extraños, que si un extraño nos ofrecía un dulce en un parque había que salir corriendo, y todos esos consejos útiles que de alguna forma nos ayudaron a mantenernos a salvo, hoy más que nunca es necesario recibir ese tipo de educación para la vida en el mundo digital.
Y resulta increíble, pero sucede: alguien que nunca habría aceptado un dulce de un extraño en un parque no puede resistir la tentación de hacer clic sobre un vínculo que promete una forma de ganar dinero fácilmente.
Hoy todos estamos expuestos a diversas amenazas del cibercrimen y es necesario preguntarse, qué tan preparados estamos, no solo como individuos, sino como empresas, para enfrentarnos a todos estos riesgos con sus potenciales desastrosas consecuencias, pues más allá de las pérdidas monetarias, los ciber-ataques pueden conllevar la pérdida de vidas humanas. De hecho, este año la policía alemana lanzó la primera investigación por homicidio ligada a un ciberataque.
Digo cibercrimen, porque en eso se ha convertido lo que antes era un juego de pequeños diosecitos de la computación, cuyo único propósito era infectar con virus la mayor cantidad de computadores posibles, o irrumpir ilegalmente en redes corporativas o del gobierno, solo para sentir la satisfacción de haberlo logrado. Y aunque aún existen este tipo de ciber-atacantes, lo que predomina en el paisaje actual son redes organizadas de cibercriminales con recursos financieros y tecnológicos ilimitados, cuyo único propósito es hacerse con el dinero de sus víctimas.
Para tener una idea del impacto que el cibercrimen tiene en nuestro mundo actual, basta con echar un vistazo a las impresionantes estadísticas:
El ataque de Ransomware reclama una nueva víctima cada 10 segundos
Según un análisis de Check Point Software
El antivirus web Kaspersky detectó en 2019 más de 246 millones de “objetos maliciosos únicos”.
Más de 273 millones de URL únicas (direcciones de Internet) fueron reconocidas como maliciosas por el antivirus web de Kaspersky en 2019.
Más de 500 millones de registros de usuarios de Facebook fueron encontrados expuestos en servidores desprotegidos en la nube de Amazon. Los datos expuestos fueron recopilados y almacenados de forma insegura en línea por desarrolladores de aplicaciones de Facebook.
Check Point Software Security Report 2020
El 94 % del Malware se instala en los dispositivos vía e-mail (Verizon 2019 Data Breach Investigations Report).
El costo promedio de una filtración de datos (data breach) es USD 3.86 millones. Tiempo promedio para detectar y contener una filtración de datos: 280 días.
Cost of a Data Breach Report 2020, IBM
El centro de quejas de crímenes de internet del FBI (Internet Crime Complaint Center, IC3) reportó que en 2019 recibió 467.361 quejas, un promedio de casi 1.300 cada día, y registró más de 3.500 millones de dólares en pérdidas para víctimas individuales y comerciales.
“Los incidentes más reportados en Colombia siguen siendo los casos de Phishing con un 42%, la Suplantación de Identidad 28%, el envío de malware 14% y los fraudes en medios de pago en línea con 16%.”, “Cerca del 90% de los ciberataques que sufren las empresas en Colombia se deben a ingeniería social,” “en Colombia, el monto promedio de las cifras de pérdidas por ataque puede oscilar entre 300 millones y 5.000 millones de pesos, según el tamaño de la empresa afectada.”
«Tendencias Cibercrimen Colombia 2019-2020” publicado por la CCIT en conjunto con la Policía Nacional.
Cybersecurity Ventures predice que los daños por delitos cibernéticos costarán al mundo $ 6 billones de dólares anuales para 2021, en comparación con $ 3 billones en 2015.
Según un estudio de la Universidad de Maryland, un computador conectado a internet recibe un ataque cada 39 segundos (este estudio ya tiene sus años por lo que la cifra actual debe ser mayor).
Con delitos que van desde la ciber-extorsión, pasando por el secuestro de datos, la explotación sexual de niños, suplantación de identidad y llegando al fraude, el panorama es abrumador.
Es por eso que hoy se hace muy urgente darle a la educación en ciberseguridad un lugar más prominente en todos los ámbitos: desde el hogar, la escuela, la universidad, las empresas y el mismo gobierno. La ciberseguridad debe ser un compromiso conjunto. Todos debemos convertirnos en “ciber-defensores” para lograr así contrarrestar los devastadores efectos de los “ciber-atacantes”.
No cabe duda que en un futuro será común que, así como hoy una empresa les pide a sus proveedores el certificado de cumplimiento de su sistema de gestión de seguridad y salud en el trabajo, le pida también su certificado de Conciencia de Ciberseguridad y Preparación para la Ciberseguridad.
EL PUNTO DE ENTRADA
Para que un ciberataque tenga éxito, el cibercriminal sólo necesita un “Punto de apoyo” (foothold), que es esa brecha que se abre en el sistema en virtud de alguna vulnerabilidad. Una vez logrado el “foothold”, el atacante se apodera del dispositivo (sin que el usuario necesariamente se de cuenta) y puede descargar más software maligno, extraer información y propagarse a dispositivos aledaños.
Este punto de apoyo en la mayoría de los casos se logra a través de “Ingeniería Social” soportada por técnicas de “Phishing”. En otras palabras: los seres humanos somos el eslabón más débil en lo que a ciberseguridad se refiere.
En muchos casos de estafa o hurto el ataque es una combinación de técnicas que involucran llamadas telefónicas, SOCMINT (Inteligencia en Medios Sociales, por su nombre en inglés), OSINT (Inteligencia de fuentes abiertas, por su nombre en inglés) e incluso, se ha visto “dumpster diving”, o lo que se conoce como “buceo en el contenedor de basura”.
¿QUÉ HACER?
¿Qué hacer entonces? Debemos mantenernos en un estado de alerta constante. Como cuando uno camina en la noche por un vecindario peligroso. Hay que mirar a todos lados y no bajar la guardia, esto significa conducirnos bajo las siguientes normas de seguridad:
- cualquier mensaje de correo puede ser el inicio de un ataque (incluso si es un mensaje de alguien conocido)
- sospechar de todos los anexos y vínculos que vienen en los mensajes
- sospechar de todas las llamadas de personas desconocidas
- no suministrar información personal por teléfono, ni claves y tampoco la fecha de vencimiento de la tarjeta de crédito
- no compartir información personal en redes
- no discutir asuntos de la empresa en frente de extraños (aeropuerto, restaurante, medio de transporte)
- triturar los documentos antes de arrojarlos a la basura
- no usar la misma contraseña para todos los servicios
- usar contraseñas seguras y en lo posible autenticación de 2 factores
- educar a nuestros hijos sobre los peligros de internet
Estas son solo algunas buenas prácticas que pueden ayudarnos a mantenernos a salvo. La clave está en reconocer la actividad criminal antes de caer víctima de ella.
En cuanto a las vulnerabilidades de los equipos las tres cosas que más nos pueden ayudar son:
- Mantener siempre instaladas las actualizaciones más recientes del sistema operativo
- Mantener el sistema antivirus actualizado
- Usar un software antimalware
VOCABULARIO
MALWARE. Código malicioso destinado a realizar un proceso no autorizado que tendrá un impacto adverso en la confidencialidad, integridad o disponibilidad de un sistema de información. Un virus, gusano, caballo de Troya u otra entidad basada en código que infecta un dispositivo.
PHISHING: Una forma digital de ingeniería social que utiliza correos electrónicos de apariencia auténtica, pero falsos, para solicitar información a los usuarios o dirigirlos a un sitio web falso que solicita información o descarga malware.
RANSOMWARE. Una forma de malware que bloquea los archivos o dispositivos del usuario y luego reclama un pago (rescate), generalmente en una cripto-moneda, para restaurar el acceso.
DUMPSTER DIVING. En ciberseguridad, el “buceo en basureros” es una técnica que se utiliza para recuperar información que podría utilizarse para llevar a cabo un ataque a una red informática, por ejemplo, códigos de acceso o contraseñas escritas en papel, hojas de vida, mensajes de correo, registros médicos, extractos bancarios, detalles de cuentas, etc.
Imagen: Vector de Diseño creado por freepik – www.freepik.es
Referencias:
https://www.ibm.com/security/data-breach
https://pages.checkpoint.com/cyber-security-report-2020.html
https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
https://go.kaspersky.com/rs/802-IJN-240/images/KSB_2019_Statistics_EN.pdf
https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016
https://blog.checkpoint.com/2020/10/06/study-global-rise-in-ransomware-attacks/
https://pdf.ic3.gov/2019_IC3Report.pdf
https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds
Lucía Robledo F. es ingeniero electrónico especializado en gerencia de informática, desarrollo y arquitectura de software.