Ciberdelincuentes: estamos en una guerra

Ingeniero Ramiro Marín-Ace

Senior Consultant, Digital Forensics

FTI Consulting

 

Trabajar en casa demanda conectarse a internet y esto representa amenazas. Desde hace poco más de una década, en un mundo “normal”, hubo una apuesta por la tecnología: se quiso mejorar la vida cotidiana, reducir costos y tiempos, así como aumentar los ingresos en el trabajo. Pero también se requirieron inversiones para proteger los datos de servidores, computadores, correos o dispositivos móviles, porque habían surgido, de la misma manera, amenazas a la seguridad. Hoy, en la coyuntura del coronavirus, persisten.

 

Algunas empresas migraron en su momento parte de sus servicios a la “nube”. Otras tercerizaron el servicio y unas más mantuvieron sus servidores locales. Con el aislamiento preventivo obligatorio ordenado a mediados de marzo y la necesidad de habilitar el trabajo desde casa, la mayoría de las empresas adoptaron nuevos protocolos, aprovecharon el uso de dispositivos personales (BYOD o ‘Bring Your Own Device’), el uso de VPN (Virtual Private Network) y activaron medidas de seguridad para asumir el trabajo virtual.

 

Sin embargo, para otras compañías, durante años, sus productos o servicios no demandaron nada más que equipos de soporte en el área de tecnología para revisar problemas comunes. Ante los nuevos desafíos, sus equipos se enfrentaron a serias amenazas en internet, potencializadas durante la pandemia y que han generado una creciente demanda de servicios que antes no eran prioritarios o no se tenían previstos: seguridad de la información, capacitación contra peligros cibernéticos, aumento de ancho de banda y dificultades técnicas de conectividad, entre otros.

 

Contrarrestar las amenazas

 

Algunas de las herramientas para contrarrestar estas amenazas son:

 

• Ampliar los equipos de IT y crear nuevas áreas dedicadas a la seguridad (algunas empresas optaron por tercerizar estos servicios con empresas especializadas).

 

• Fortalecer las herramientas de seguridad, como firewalls (dispositivos que bloquean conexiones), IDS (Intrusion Detection System), IPS (sistema de prevención de intrusos), honeypots (sistemas de trampa para rastrear incidentes de seguridad), entre otras.

 

• Usar VPN para crear túneles cifrados y proteger la información corporativa.

 

• Crear y poner en marcha políticas, procesos y procedimientos de seguridad.

 

• Proveer a los empleados de los recursos tecnológicos para hacer su trabajo en casa.

 

Riesgos en la seguridad

 

El boletín Threat Intelligence Insider[1], publicado por la compañía Fortinet para el primer semestre del 2020, asegura que, en Colombia, entre enero y marzo, hubo un incremento del 131 % de las amenazas en internet con respecto del mismo periodo del 2019. Y en Tendencias cibercrimen. Colombia 2019-2020[2], reporte publicado en abril por el Centro Cibernético de la Policía Nacional y otras entidades, se indica que, en lo corrido del año, se ha reportado un incremento del 37 % en el número de ciberdelitos con respecto al 2019. Es sorprendente que el phishing ha crecido el 240 %.

 

Esta tendencia es global. De acuerdo con la organización APWG, durante el primer trimestre del 2020, se han detectado 165.772 sitios en internet con contenido de phishing, comparados con los 162.155 sitios del 2019.

 

Recordemos que, según el Grupo de Respuesta a Emergencias Cibernéticas de Colombia, el phishing es “un intento de un individuo o grupo que puede solicitar información personal de usuarios desprevenidos mediante el uso de técnicas de ingeniería social”[3]. El phishing es uno de los mayores riesgos en internet. Se construye a la medida, no tiene límites y no es previsible. Utiliza todo tipo de estrategias para engañar hasta a los más conocedores y se vale de la ingeniería social para conocer el entorno de las personas y pasar desapercibido. Como resultado, los ciberdelincuentes se apoderan de información personal y de la compañía.

 

Un informe del Centro Cibernético de la Policía Nacional indica que entidades como la Dian y la Fiscalía General de la Nación, con el 57 % y el 12 %, respectivamente, son los sitios de internet más suplantados en lo que va del 2020. Para esto, los cibercriminales crean dominios similares que confunden y, como resultado, se apoderan de información.

 

Otras amenazas

 

Hay otras amenazas como las mencionadas por el Instituto de Ciberseguridad de España (Incibe)[4]. Los troyanos, por ejemplo, se ocultan en programas legítimos (fotografías, videos, archivos de PDF o de ofimática) y el usuario los instala en su computador o móvil sin darse cuenta. Otro de estos programas es el ramsomware, también relacionado en el portal de Incibe como una clase de troyano que tiene como objetivo secuestrar la información, con el fin de pedir dinero a cambio de liberarla.

 

Algunos ejemplos de esto, que siempre está latente, y cuyas herramientas evolucionan e, incluso, resultan de combinaciones elaboradas, son:

 

- El uso del phishing para que algún virus o troyano (o ambos) se descargue en su computadora.

 

- El software malicioso podría estar programado para buscar conexiones a la red corporativa y llegar al servidor de correo electrónico, donde se activa y crea puertas traseras (backdoors) que permiten que se descargue información en segundo plano.

 

- Un troyano conteniendo un ramsomwere se descarga y cifra los datos corporativos, para luego pedir dinero por devolverlos, lo que, al final, no será suficiente para recuperarlos.

 

Este tipo de amenazas a la seguridad exige atención permanente de las compañías, implementar herramientas antes y durante los riesgos o su materialización y llevar a cabo entrenamientos continuos con todos los empleados, sin excepción de cargo o nivel en la organización.

 

El mundo cambió para todos

 

Mitigar el riesgo para las compañías tiene un amplio abanico de posibilidades. Sí o sí, hay un problema latente y, como en las guerras, algunas batallas ocurren tal como se planean, pero otras se van solucionando en el camino. Un camino que, quiérase o no, las compañías y las instituciones deben recorrer. Los cambios del entorno que surgieron de la pandemia están ocurriendo y muchos de ellos serán inevitables e, incluso, duraderos.

 

Ante esta perspectiva de amenazas digitales, las empresas requieren gestionar el riesgo en tres momentos: prevención, detección e investigación. Tanto la prevención como la mitigación implican rastreo. Y si la amenaza se materializó, corregir el rumbo incluye un plan de salida que, sin duda, tomará un tiempo y una inversión mayor, pero que resulta necesario para poder seguir adelante.

El área de tecnología no lo resolverá todo y no podrá estar sola ante las amenazas de la red en ninguna de las etapas. Este es un tema que abarca las áreas críticas de la operación, las de soporte administrativo y, por supuesto, involucra a la alta gerencia. Como en las guerras, las fuerzas y los batallones no son ni de un hombre, ni de un comandante, ni de una especialidad.

 

Los pasos

 

En esas luchas resulta esencial empezar por lo pequeño para ir a lo grande, a través de cuatro pasos.

 

1.  En el escalón más básico de la cadena de prevención y solución está proteger la información que tienen los usuarios con las soluciones tecnológicas destinadas para tal fin.

 

2. Lo siguiente es proteger y aislar la información que viaja por internet, con una VPN, por ejemplo, para eliminar las fisuras que representa este flujo.

 

3. Luego, dar el paso a la nube. Migrar, si la compañía aún no lo ha hecho. No tener allí sus herramientas clave puede ser muy costoso, por ejemplo, para una empresa cuyas plataformas de ventas se alojan en servidores locales y, en tiempos como el que vivimos, eso significa unos grandes problemas operativos y transaccionales de alto impacto.

 

Actuar en solitario, durante la guerra, puede terminar minando todas las retaguardias.

 

4. Por último, está la educación. Hay que continuar educando a los empleados, si ya se ha hecho antes: implementar o reforzar, según aplique. Un paquete completo de capacitación, con pruebas incluidas, es de gran utilidad, pero, sobre todo, lo es la mirada aguda y consciente de que hoy las prácticas de ciberseguridad, durante y después de las medidas para evitar la expansión del coronavirus en la pandemia, son imprescindibles.

 

El mundo vive una aceleración digital sin precedentes. Y tanto los robos de información, como los piratas de esta, también aceleraron el paso. El mundo cambió para todos.