Colombia

Home Unsubscribe Forward Register Privacy

ERS

Los ataques de piratas informticos (Hackers) pasan a ser extorsin

Estn siendo atacadas las instituciones financieras?
Por Simon Tang Revisado y adaptado por Wilmar Arturo Castellanos, CISM, CISA

En estos das, ms y ms compaas estn reportando ataques a la seguridad en sus sistemas de computacin. Pero lo ms alarmante es que estos ataques se estn volviendo ms sofisticados. Simon Tang, de Servicios de Seguridad de Deloitte, da una mirada a este problema creciente.
Hay un chiste viejo acerca de un ladrn de bancos a quien cogen en el acto. Despus de ser arrestado, el polica le pregunta porqu decidi robar el banco. l responde, por que all es donde est el dinero. Parecera que algunos de los piratas informticos (hackers) de Internet han tomado este chiste en forma literal. De acuerdo con la Encuesta Global de Seguridad de 2006 realizada por Deloitte Touche Tohmatsu, durante el ao pasado, las instituciones financieras ms grandes del mundo experimentaron un incremento en el nmero de ataques contra la seguridad que ellas enfrentaron particularmente proveniente de hackers externos. Ms inquietante an, dos de los tres ataques ms comunes experimentados por la industria financiera global fueron desplegados para extorsionar a cambio de dinero.

Aumentan las violaciones a la seguridad

Qu tan exorbitante es el incremento? Bueno, en 2005, el 26% de los encuestados experimentaron una violacin externa a su seguridad, mientras que el 35% enfrent una violacin interna a su seguridad. Para 2006, esas cifras aumentaron a 78% y 49% respectivamente. Entre los entrevistados en esta encuesta, que se lleva a cabo por cuarto ao consecutivo, hay ejecutivos senior de las principales instituciones financieras globales del mundo. An ms preocupante es el hecho de que estas violaciones a la seguridad estn volvindose cada vez ms sofisticadas. La ejecucin y explotacin de estos ataques requieren recursos significativos y coordinacin, lo cual implica que los hackers profesionales y el crimen organizado han entrado al dominio que estuvo alguna vez regido por script kiddies y one-off hackers, dice Adel Melek, lder global de servicios de seguridad y privacidad en Deloitte. Para entender cmo est aumentando la virulencia de estas amenazas, uno slo necesita considerar la manera en que han evolucionado los ataques a la seguridad. No hace mucho, los ataques de Negacin del Servicio (Denial of Service) estaban entre las amenazas externas ms comunes para las organizaciones. En estos tipos de ataques, los hackers abrumaban la red de una compaa inundndola con trfico intil; lo que en ltima instancia resultaba en lentitud y cada de las redes.

Aunque los ataques de Negacin del Servicio todava son prevalecientes, hoy los hackers estn desplegando un rango ms grande de ingenio y malicia. Tomemos por ejemplo, el spyware. Este sistema de software se anexa en forma secreta al computador de alguien, monitorea la actividad de esa persona en Internet y luego transmite informacin privada a alguien ms. Llevado al extremo, el spyware puede recopilar contraseas e inclusive informacin de tarjetas de crdito, y transmitirla en forma secreta a un hacker lo que hace surgir preocupaciones serias en cuanto a la seguridad corporativa.

Ataques de Phishing
Los ataques de Phishing utilizan correos electrnicos que lucen autnticos pero son falsos para engaar a empleados y otros usuarios de computadores para que visiten sitios Web que tambin lucen autnticos pero que son igualmente falsos. Una vez all, los hackers pueden cosechar informacin confidencial para ser usada en estafas mediante el robo de identidades. El Pharming eleva al phishing a un nivel totalmente nuevo re-dirigiendo en forma automtica todo el trfico, que est destinado a un sitio Web legtimo, hacia otro sitio Web falso, embaucando en el proceso a cientos, si no miles, de navegantes que no sospechan lo que est ocurriendo. Luego, est Ransomware, un nuevo tipo de ataque que se distribuye a travs de anexos de correo electrnico o como un enlace en un sitio Web aparentemente legtimo. Una vez que es liberado, Ransomware se difunde en el computador del usuario y cifra archivos de herramientas comunes como Word, Excel e imgenes JPEG. Cuando el usuario trata de abrir un archivo, el usuario recibe una alerta que le dice que solamente puede obtener el cdigo de des-cifrado del archivo pagando un rescate a una direccin de correo electrnico de Yahoo o a una cuenta PayPal. Tpicamente, el rescate es lo suficientemente pequeo para que las vctimas desesperadas consideren pagarlo lo ms rpido posible para poder seguir trabajando - alimentando as el scam progresivo y lucrativo del Hacker. Qu tan penetrantes son estos riesgos para la industria financiera global? La encuesta de Deloitte Touche Tohmatsu dice que el phishing y el pharming representaron el 51% de los ataques externos que se llevaron a cabo en contra de las instituciones financieras, mientras que el spyware represent el restante 48% de los ataques externos.

Los costos de la vulnerabilidad

Los costos de estas violaciones a la seguridad van mucho ms all de la productividad perdida. Un sitio Web que se ha cado puede costarle a una organizacin millones de pesos por cada hora en que est cado. Los costos son inclusive ms altos para las organizaciones de comercio electrnico (ecommerce). Por su parte, el 72% de las instituciones financieras globales que experimentaron violaciones a su seguridad indicaron que la suma estimada de daos para la organizacin estuvo dentro del rango del milln de dlares (US$ 1 milln).

Ms all de los ingresos perdidos est la confianza perdida. Con frecuencia, todo lo que se necesita es una violacin o un evento anmalo para que un gran nmero de clientes se vaya a la competencia. Esto es particularmente cierto para la industria de servicios financieros, donde los pasos en falso en seguridad pueden costarle a los clientes sus ahorros de toda una vida. Las organizaciones no solo enfrentan ataques ms sofisticados y ms difciles de rastrear, sino que ellas tambin enfrentan un riesgo ms alto y prdidas potenciales mayores confirma Melek. Las instituciones financieras deben tener en cuenta estos factores en su estrategia global de seguridad. Parece que las instituciones financieras estn haciendo exactamente eso. El sector de servicios financieros globales contina dando pasos para mantener a raya a estas crecientes amenazas, no obstante el creciente nmero de ataques que enfrenta. Para 2006, las principales iniciativas de seguridad adoptadas por las instituciones financieras globales incluyen la prevencin del robo de identidad y del fraude en cuentas bancarias, un mejor manejo de la identidad y del acceso, y unos procesos robustos de recuperacin de desastres y planeacin de continuidad del negocio. Sin embargo, aunque las iniciativas de seguridad que actualmente se estn llevando a cabo en toda la industria de servicios financieros son crticas, podran no ser suficientes. Esto es porque una verdadera posicin de seguridad con frecuencia tiene que ver ms con el simple comportamiento humano que con software antivirus y firewalls. Piense de esta forma. An si una organizacin adopta los sistemas ms robustos para prevenir violaciones y ataques a la seguridad, ellos estn destinados a ser insuficientes a menos que los empleados entiendan el papel crtico que juega la conciencia sobre seguridad en toda la organizacin. Esto es as porque muchos de los ataques que ms prevalecen en contra de instituciones financieras se basan en la ayuda inconsciente del personal interno. Tomemos el Ransomware o el phishing como ejemplos. Cada vez que los empleados abren un anexo del correo electrnico y no reconocen, o en forma inocua hacen clic, en un enlace Web sospechoso, ellos estn exponiendo su organizacin a la amenaza real de un ataque de virus. Salvo el fraude intencional u otras formas de violaciones intencionales a la seguridad interna, la mayora de los empleados estaran horrorizados al descubrir que podran ser responsables por inflingir estragos a la red corporativa o presencia en la Web. Entonces, la solucin es de naturaleza estratgica. En vez de mirar la seguridad como una interminable serie de respuestas tcticas a amenazas tcticas, la organizacin que piensa hacia el futuro tiene que adoptar una visin ms amplia. Un futuro seguro se origina en el nivel gerencial y se manifiesta como un compromiso de largo plazo para manejar en forma proactiva el ambiente de seguridad, educando a la fuerza de trabajo. Dicho en forma sencilla, para tener xito en el largo plazo, el conocimiento de la seguridad tiene que estar totalmente integrado con los esfuerzos existentes de capacitacin de empleados de la organizacin.

Un enfoque integrado al manejo de vulnerabilidades

Aunque la concienciacin y la capacitacin en seguridad fueron temas principales para las instituciones financieras en los aos pasados, para 2006 su prioridad parece haber cado. Este ao, solamente el 34 % de los entrevistados en la encuesta afirmaron haberle proporcionado a su personal capacitacin en seguridad y privacidad de la informacin. Adicionalmente, el tipo ms comn de capacitacin se basaba en la divulgacin de alertas de seguridad publicadas en pginas Web y en el envo de correos electrnicos a los usuarios, en vez del uso de mtodos tradicionalmente ms efectivos tales como capacitacin dirigida y reconocimiento de comportamientos ejemplares. Sin embargo, para contrarrestar verdaderamente las amenazas progresivas contra la seguridad, esta tendencia tendr que cambiar. Para asegurar que los empleados tomen consistentemente un enfoque de conciencia sobre la seguridad, las instituciones financieras y otras organizaciones tienen que integrar mejores prcticas para la administracin de vulnerabilidades dentro de los programas de entrenamiento en tecnologa y procesos, y deben reforzar en sus empleados el rol prioritario que cada empleado juega en el mantenimiento de la seguridad en la organizacin. Adems, las instituciones financieras tienen que exponer los comportamientos potencialmente riesgosos, junto con las estrategias para contrarrestar esos riesgos. Impulsadas por la gerencia, estas iniciativas tienen que involucrar a los interesados en la organizacin (p. e. clientes, proveedores, contratistas). Finalmente, es importante que las instituciones financieras reconozcan que la gestin de vulnerabilidades tiene que representar un enfoque de tiempo completo. A medida que los ataques y virus continan evolucionando, las organizaciones cada vez ms tendrn que ir a especialistas externos para contrarrestar estas amenazas progresivas. En el mundo de la seguridad, es esencial consultar a los especialistas que entienden cmo estn expuestas las organizaciones al riesgo y lo que tienen que hacer para minimizar este riesgo, ya que la falta de habilidades especializadas puede hacer ms dao que bien.

Mirando al futuro
A medida que la confianza de las corporaciones en los sistemas electrnicos contina creciendo, hay poca duda en cuanto a que las instituciones financieras permanecern siendo objetivos para los hackers emprendedores. Tampoco hay duda de que las instituciones financieras continuarn adaptando y respondiendo a las amenazas a la seguridad. Como concluye la encuesta de 2006, las instituciones financieras globales, de hecho estn atentas al ambiente de seguridad rpido y cambiante, y entienden la necesidad de modificar sus prioridades y tomar las medidas necesarias para mitigar los mltiples riesgos y desafos de seguridad. Sin embargo, aunque es apenas natural enfocarse en las amenazas ms inminentes, las organizaciones tambin tienen que luchar por mantener un enfoque equilibrado para sus iniciativas de seguridad. Adoptando una posicin integrada de manejo de vulnerabilidades, las instituciones financieras estarn mejor posicionadas para evaluar reas de riesgo emergente y entender los costos potenciales de estos riesgos. Trabajando con especialistas experimentados, las instituciones financieras tambin pueden comenzar a priorizar sus respuestas con el objetivo de hacer sus sistemas cada vez ms resistentes y flexibles ante los ataques.

Igualmente, los empleados ganarn la capacitacin que necesitan para ayudar a proteger los activos corporativos; las instituciones financieras disfrutarn un nivel ms alto de conciencia y de inters en la seguridad, y el pblico tendr la seguridad tan necesaria sobre la confiabilidad e integridad de sus proveedores de servicios financieros. Simon Tang es un socio de Servicios de Seguridad de Deloitte, especializado en evaluacin de riesgos y evaluacin de controles relacionados con sistemas y redes de computacin (stang@deloitte.ca). Wilmar Arturo Castellanos es el gerente responsable de Servicios de Seguridad de Deloitte en Colombia, especializado en gestin de seguridad de la informacin (wcastellanos@deloitte.com).

Security | Legal | Privacy

Carrera 7 No.74-09 Bogot, Colombia 2006 Deloitte Touche Tohmatsu. All rights reserved. Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, its member firms, and their respective subsidiaries and affiliates. As a Swiss Verein (association), neither Deloitte Touche Tohmatsu nor any of its member firms has any liability for each other's acts or omissions. Each of the member firms is a separate and independent legal entity operating under the names "Deloitte," "Deloitte & Touche," "Deloitte Touche Tohmatsu," or other related names. Services are provided by the member firms or their subsidiaries or affiliates and not by the Deloitte Touche Tohmatsu Verein.