Mujeres al Timón
No somos la NASA
Miguel Ángel Juan
Socio Director. S2 Grupo.
«¿Quién nos va a atacar a nosotros? No somos la Nasa”. Con estas o parecidas palabras hemos visto en muchas ocasiones como responsables de organizaciones, por lo demás serias, descartan sus preocupaciones sobre la protección de sus activos de información. Como ocurre con tantos mitos, también hay una parte de verdad en este.
Por un lado, es cierto que en el pasado era menos probable que un ‘hacker’ se dedicara a buscar información en organizaciones poco conocidas. Además, se puede confiar, hasta cierto punto, en el principio de la aguja en el pajar; es decir, que habiendo tantas organizaciones conectadas a la red, es poco probable que se dediquen, justamente, a la nuestra.
Ahora bien, esto sería cierto si el mundo virtual funcionara exactamente como el real, pero no siempre es así. Imaginemos que un ladrón pudiera, desde la comodidad de su guarida, enviar una especie de paloma mensajera que recorriera todas las casas de la ciudad, buscando aquellas sin puerta blindada o, mejor aún, con una puerta de un determinado modelo para el cualél dispusiese de la llave maestra.
¿Estaríamos tranquilos pensando que, entre tantas casas, ya sería casualidad que entrara en la nuestra? Claro que no.
NEGOCIO DE MENUDEO
¿Y si, además, el ladrón pudiera robar en muchas casas en muy poco tiempo y con un riesgo mínimo? En tal caso, le interesaría hasta la calderilla. Aunque solo obtuviera unos eurillos en cada casa, si pudiera robar en miles de ellas, el negocio sería rentable. ¿Y si pudiera alquilar nuestras habitaciones a otros delincuentes, haciendo negocio con nuestros recursos?
El caso es que, en internet, se puede hacer precisamente todo esto. Hay programas, llamados “botnets”, que pueden explorar la red en busca de ordenadores conectados que tengan determinadas vulnerabilidades –el equivalente de un modelo de cerradura para la que el delincuente tiene la llave maestra–, o que no tengan protecciones adecuadas –el equivalente de una casa sin puertas o sin rejas en las ventanas–.
Y, por otra parte, todas nuestras organizaciones disponen de recursos informáticos que son atractivos para el uso de los delincuentes. Por ejemplo, servidores que se pueden utilizar para lanzar ataques de “spam” o “phishing” contra otros usuarios, con los que se pueden obtener pequeños beneficios –el equivalente de la calderilla– que, multiplicados por un número suficiente de víctimas, se convierten en ingresos nada despreciables.
Sin contar con que, una vez nos han localizado, podemos ser objeto de ataques más sofisticados. ¿Tenemos en nuestra organización listas de personas con sus datos de correo electrónico, cuentas bancarias o tarjetas de crédito? ¿Quizás nuestros empleados o nuestros clientes?
Dejando aparte nuestra responsabilidad en la custodia de esta información para el cumplimiento de las leyes vigentes, estos datos se cotizan en el mercado negro con precios bien establecidos, que dan cuenta del nivel de segmentación de dicho mercado: precios para direcciones de correo electrónico validadas, para números de tarjetas de crédito, etc.
Una cosa es que la privacidad esté muerta –que a usted le importe o no este hecho depende, muy probablemente, de la edad que tenga–, y otra muy diferente que vayamos exponiendo sin prejuicios la información clave de nuestro negocio y los datos personales de nuestros clientes y empleados.
INTENCIONALIDAD DE LOS ATAQUES
No hemos entrado a considerar aún la intencionalidad dirigida de estos ataques. De momento, no es nada personal. Nos podrían haber robado a nosotros o a cualquier otra organización. Pero, ¿y si el ataque proviene de quien nos conoce y no busca nuestro beneficio, sino todo lo contrario?
Pensemos en competidores sin escrúpulos a quienes les interesaría sobremanera obtener la lista de nuestros clientes, nuestras estructuras de costes, nuestras ofertas o, aún peor, nuestras estrategias.
Claro está que esos competidores, probablemente, no dispongan de los conocimientos técnicos necesarios para realizar los ataques, pero casi todo se puede subcontratar y existen en internet canales para hacerlo. Por cierto, no les recomiendo su utilización: una vez que uno se interna en los malos barrios, no sabe muy bien a lo que se está exponiendo.
¿CUESTIÓN DE PROBABILIDAD?
Nos podemos preguntar: si existe este riesgo, ¿cómo es que no nos ha pasado nada hasta ahora? En algunas ocasiones, es una cuestión de probabilidad: puede ser que, efectivamente, “no nos haya tocado todavía”.
Pero, al igual que no dejamos abiertas las puertas de nuestra vivienda o negocio confiando en que la probabilidad de no ser atacados juegue a nuestro favor, no deberíamos inducir de un pasado sin incidentes que el futuro no nos vaya a deparar ningún disgusto.
Pero es que, además, es muy probable que si hemos sufrido un ataque, no nos apercibamos de ello inmediatamente –y quizás no lo hagamos nunca–, porque el delincuente no tiene ningún interés en ello.
Es mucho mejor pasar desapercibido, instalar un “malware” que garantice el acceso a nuestros recursos cuando convenga, o que suministre de manera silenciosa y discreta nuestra valiosa información a su dueño.
¿Cuál es la respuesta adecuada ante estas amenazas? Como en tantos otros casos, una respuesta proporcionada. Efectivamente, no somos la Nasa y un nivel adecuado de protección no debe suponer una acumulación de medidas de control, sino la implantación y el mantenimiento correcto de las que realmente sean necesarias para reducir el riesgo a un nivel asumible por la organización.
Como dice aquella historia un poco cruel, no se trata de correr más que el león, sino más que el colega que nos acompaña por la selva. Entonces, ¿qué hacer? El primer paso, elevar nuestro nivel de conciencia sobre la importancia del asunto. El mejor consejo, como en tantos otros ámbitos: déjese aconsejar por un profesional de confianza.
