Si partimos de la base de que la información es poder y lo trasladamos al siglo XXI, resulta que la información, además, es dinero. Lo estamos viendo con las noticias que nos llegan a diario sobre infinidad de situaciones que los ataques cibernéticos están causando a lo largo y ancho del planeta: robos de datos bancarios, datos de tarjetas de crédito, redes sociales, fotos, spam, acceso a contactos en agendas personales, datos de empleados, espionaje industrial, venta de material confidencial y muchos más actos delictivos.
En el mundo de los sistemas de información y comunicaciones no podemos dejar de hablar de las ventajas de la red internet, de su uso y de las posibilidades que nos abre en todos los campos.
Utilizar internet es ya una faceta cotidiana de la vida familiar y profesional y no podemos rehuir el uso de la misma para nuestras transacciones de compra/venta y bancarias. No sólo eso sino que, además, los sistemas de las Administraciones Públicas y la Banca basan ya sus operaciones y transacciones en internet.
La mayoría de los desarrollos que una empresa realiza son para acercar al usuario, proveedor o cliente hacia su negocio, bien para que compre, bien para fidelizarle o bien para que al final introduzca sus productos y servicios como oferta a la compañía. Es decir, una aplicación web está pensada para permitir la compra y venta on-line de bienes productos o servicios.
Dicho de esta manera, deberemos entender que el desarrollo de una web, además de ser agradable a la vista (es nuestra imagen de empresa hacia el exterior), debe ser segura porque expone las bases de datos que gestiona a un mundo amplio de usuarios y empresas a nivel mundial.
No sólo debemos pensar ya en esto sino en la importancia que cobran las redes sociales, donde se comentan y desarrollan foros de opinión que generan demanda (economía) o castigan a las empresas y personas (reputación).
Esto significa que nuestra web queda expuesta al mundo exterior, al mundo interno y a la imagen que damos y que dan de nosotros.
Podemos dar múltiples ejemplos de cómo el ataque a un sitio web está siendo parte interesada de las personas que sin pretender robar dinero físico, sí que tienen gran interés en crear daño a la empresa u organismo. Quizás lo último que podamos recordar sea el ataque de Anonymus a la web del gobierno americano (Federal Bureau of Investigation) a raíz del cierre de Megaupload.
Estos actos delictivos se ejecutan en base a un grupo alto de participantes dispersos que, vía las redes sociales e internet, se ponen de acuerdo en atacar determinada empresa con el fin de dejar sin servicio los sistemas, no se trata de robar dinero, el objetivo es causar un daño a la imagen de la institución por determinadas protestas que quieren reivindicar, es la llamada ciberprotesta.
Pero no debemos desestimarla porque dejar fuera de servicio, en un ataque sincronizado, una web significa que el servicio que la empresa u organismo está proporcionando a sus clientes o ciudadanos no se puede dar, su imagen cae, su prestigio también y sus transacciones económico-financieras se ven afectadas igualmente.
Es cierto que no es lo mismo dejar inoperativa la web de un banco que la de una operadora de telefonía o la de una empresa energética o de la Comisión del Mercado de Valores, pero si el lector analiza con calma los impactos que puede producir este tipo de ataque y la mala planificación y ejecución de seguridad en este tipo de compañías, verá como el impacto es de un coste económico altísimo y, según a quién se ataque, incluso llega a transcender al país en su conjunto o a la seguridad nacional.
Si pensamos en lo que pudo significar el caso de stuxnet si, en vez de lanzarse contra Irán y retrasar el plan de enriquecimiento de uranio, se hubiera lanzado contra los sistemas SCADA que no estuvieran bien protegidos, parando la producción y transporte de energía eléctrica en un país, el impacto afectaría a grandes núcleos de población y tejido industrial. Si ese mismo tipo de ataque lo lanzásemos contra una operadora de telefonía y dejáramos sin servicios un sistema de emergencias, infraestructuras críticas o comunicaciones en Fuerzas y Cuerpos de Seguridad del Estado, ¿cuál sería el impacto?
Un ejemplo más, ¿cuál es el impacto económico para un país si su Mercado de Valores no puede operar un día, un solo día, por recibir un ataque de ciberterrorismo, ciberprotesta o lo que llamo Terrorismo Económico? Dejo al lector que analice, en el caso de España, el número de transacciones que circulan en un día a través de la Comisión del Mercado de Valores, el tipo medio de valores, las inversiones nacionales e internacionales y la imagen del país.
Como vemos, el hacktivismo o ciberprotesta, no tiene un objetivo final de robar datos y usarlos fraudulentamente sino de causar un daño de imagen, un daño reputacional de la compañía u organismo. Es un ataque movido por una ideología que, sin objetivo económico directo, causa un impacto en la imagen y reputación, a la vez que mediático, político y económico indirecto.
Podemos sacar algunas ideas específicas y básicas:
. El acceso a las transacciones on-line y los negocios a través de internet es un hecho objetivo y real que forma parte de la vida cotidiana de la interrelación de personas, empresas y organismos públicos.
. El número de usuarios y dispositivos que se conecta a internet es un número creciente, de igual manera, la posibilidad de transacciones electrónicas y los riesgos que las acompañan.
. El ciberterrorismo no es un arma clásica, es un arma moderna, con un disparador (la tecla de enter), un cañón (la WiFi o el cable de conexión a internet) y con una munición (los tipos de ataque que existen para causar daños económicos y daños reputacionales).
. El ciberterrorismo está al alcance del crimen organizado, de los delincuentes, de los grupos terroristas y de los grupos activistas con demandas políticas.
. El terrorismo económico persigue robar datos en las transacciones y aprovecharse de ellos para conseguir acceder a un robo mayor que es el del dólar o el euro.
. El terrorismo económico persigue hacer daño al atacado, bien sea una empresa u organismo público, y causar un mal económico y reputacional que da prestigio al atacante.
No debemos bajar la guardia. Las Fuerzas y Cuerpos de Seguridad del Estado trabajan en ello, los fabricantes de software y hardware de los sistemas de información trabajan en ello, los organismo legales trabajan en ello, y así sucesivamente, no siempre al mismo ritmo, pero el problema mayor en estos momentos es que se require:
. Dotar presupuestariamente una partida de seguridad para la actualización de equipos, aplicaciones, personal, formación y procedimientos.
. Preparar, implantar y ejecutar un Sistema de Gestión de los Sistemas de Información con un Plan Director de Seguridad incorporado (contemplando los riesgos físicos y los riesgos lógicos).
. Implantar las mejores prácticas del mercado de la seguridad en las empresas.
. Monitorizar alertas tempranas, planes y riesgos de manera diaria, con revisiones semanales, mensuales y anuales.
. Estar presente en los foros de seguridad que cada sector mantiene operativos.
. Estar informados y formados a través de las asociaciones, organismos, universidades, etc, de las políticas y procedimientos de seguridad.
. Formar al empleado y a la familia de la conciencia de seguridad y de la sensibilidad por la información y la protección de los datos, la intimidad y la confidencialidad.
Y todo esto es al final mucho dinero que, en la empresa y en la economía familiar, pesa mucho pero que no se debe menospreciar pues el riesgo y el impacto puede ser todavía peor.
Por: Francisco José Cesteros
Fuente: ateneadigital.es
Me gusta:
Sé el primero en decir que te gusta esta post.
