¿De verdad va en serio lo de las ‘ciberamenazas’?

¿De verdad va en serio lo de las ‘ciberamenazas’?

Socio-Director de S2 Grupo

2015-enero-S2Grupo-Miguel-Angel-JuanHace unos meses, en estas mismas páginas, abordamos la cuestión de si las pequeñas y medianas empresas estaban o no expuestas a las amenazas de los ‘ciberdelincuentes’. O, para ser más precisos, si estas amenazas eran percibidas como un problema real, con un impacto real en su cuenta de explotación. Nuestra conclusión entonces fue que las empresas empiezan a ser conscientes de las amenazas, pero aún queda un largo camino que recorrer hasta llegar al nivel adecuado de concienciación.

Afortunada y desgraciadamente, la realidad viene en nuestra ayuda para alcanzar este propósito. El número y la complejidad de las amenazas siguen aumentando y a los medios de comunicación siguen llegando cada vez más casos de robos y sabotajes, que afectan a Estados y grandes empresas. Términos como ‘hacker’, ‘phishing’ o ‘malware’ son ya de dominio público y no debe quedar ser viviente que no sepa lo peligrosos que son los ‘ciberdelincuentes’. Ahora bien, ¿se corresponde este despliegue mediático con un incremento real del riesgo?

Manteniendo las cosas simples, podemos decir que Riesgo = Probabilidad x Impacto. En general, a una organización le interesa minimizar los riesgos, asumiendo solo aquellos que son necesarios para operar el negocio o que nos pueden dar una ventaja competitiva.

Por ejemplo, la mayoría de las empresas utilizan infraestructuras TIC para mejorar la gestión de sus procesos operativos y de soporte, porque obtienen una ventaja competitiva al usarlos, proporcionando a sus clientes un mejor producto o mejores condiciones de servicio. Pero el mismo uso de estas infraestructuras supone la introducción de un nuevo riesgo, debido a sus vulnerabilidades.

Para saber si este riesgo es asumible, debemos considerar ambos factores, probabilidad e impacto. Si la conclusión es que el riesgo no es asumible, nos veremos obligados a tomar medidas para reducir uno o ambos factores.

Lo cierto es que, a juzgar por nuestra experiencia profesional, el riesgo ha aumentado realmente, incluso para las pequeñas empresas. Expondremos dos ejemplos reales de amenazas que se materializan con una frecuencia significativa en cualquier tipo de empresa, y cuyo impacto es importante.

Casos reales

. Ataque “man in the middle” combinado con algo de ingeniería social para desviar transferencias bancarias.

Una empresa de fabricación que subcontrata algunas piezas o materias primas a un país extranjero, tiene establecida una relación de confianza entre el comprador y su proveedor, y realiza sus pedidos a través de correo electrónico a una persona encargada de las relaciones comerciales en el mencionado proveedor. Un ‘hacker’ intercepta las comunicaciones por correo durante unas semanas hasta obtener suficiente información, y entonces usurpa la identidad del proveedor para enviar un correo al comprador en la empresa de fabricación, con un texto más o menos de este estilo:

“¿Qué tal el fin de semana? ¿Fuiste con tus hijos a ver la película que te recomendé? Bueno, volviendo al trabajo, recibí vuestro último pedido y te confirmo las fechas que te adelanté. Por cierto, hemos hecho un cambio de banco y la transferencia correspondiente al pago de los pedidos de este mes la tenéis que hacer a la nueva cuenta que te indico a continuación […]”.

Evidentemente, la “nueva” cuenta no tiene nada que ver con el proveedor y el dinero va, directamente o a través de un ‘mulero’ bancario (ver Wikipedia), a las manos del delincuente. Como, además, el ‘hacker’ suele intervenir cuando hay pendiente un pago de cierta importancia, el importe del timo puede estar en torno a los 30.000-50.000 €.

Por cierto, la empresa de fabricación puede no darse cuenta hasta que el proveedor reclame tras no haber recibido uno o más pagos, según su paciencia.

. ‘Ransomware’. Es un tipo de ‘malware’ que se propaga como un gusano o un troyano y, una vez infecta uno de los servidores en la organización, se dedica a cifrar total o parcialmente el contenido del disco, haciéndolo inaccesible para los usuarios. Posteriormente, pide un rescate a cambio de la clave para descifrar el disco. Básicamente, es un secuestro de la información en toda regla.

Puesto que el cifrado de la información se puede hacer de manera que resista a todo intento de ruptura, se puede decir que, salvo que se tenga una copia de seguridad anterior a la infección, si la información es importante para la empresa, no hay más salida que el pago del rescate…, si es que podemos confiar en que eso nos garantiza obtener la clave auténtica. Mal asunto. Muy mal asunto.

Por otra parte, el susodicho ‘malware’ intentará propagarse a otros servidores de la empresa, por lo que, si no se detiene a tiempo, podemos encontrarnos con una situación desesperada, en la que toda la información mínimamente relevante de la organización está, a efectos prácticos, destruida.

En el mejor de los casos (que la empresa disponga de copias de seguridad adecuadas y funcionales), los sistemas quedan paralizados durante el tiempo que cueste eliminar el ‘malware’ y restaurar la información, con las consiguientes pérdidas de tiempo de operaciones.

Y esto son solo dos ejemplos.

Infonif Bases de datos
Dia de la dona
Infonif Bases de datos

Dejar una respuesta

*