Ataques cibernéticos

Estrategias para la prevención

Pese a los avances tecnológicos, los delitos cibernéticos continúan aumentando en México y en el mundo. Malware, pishing, hackeo, vandalismo e intrusiones en sistemas, así como fraudes, extorsiones y estafas, fueron los incidentes de seguridad más denunciados en México. De acuerdo al reporte “Tendencias de seguridad cibernética en América Latina y el Caribe” de Symantec, las pérdidas monetarias relacionadas con este tipo de delitos en México alcanzaron 3,000 millones de dólares (mdd), con ello nos posicionamos en el segundo lugar del ranking, solo superados por Brasil que reportó un monto de 8,000 mdd.

Por otra parte, según datos de la División Científica de la Policía Federal, en 2013 el número de incidentes relacionados con seguridad cibernética fue 113% mayor con respecto al 2012. Los datos preliminares del año en curso reportan un aumento de 300% en relación con 2013, es decir, más del doble que en el período anterior. Los organismos más afectados son las instituciones académicas (39%), seguidos del gobierno (31%) y el sector privado (26%).

PRINCIPALES MÉTODOS DE ATAQUE CIBERNÉTICO

En el ámbito comercial, la violación de datos en puntos de venta (PoS) es el principal vector de ataque para robar información de identidad personal de las bases de datos de clientes. El método de ataque más usado es el malware, un programa malicioso para robar información. El malware se distribuye mediante un correo electrónico de tipo spear-phishing (ataque dirigido) o a través de ligas con códigos maliciosos que mandan a sitios web concurridos por las víctimas, a este último se le conoce como watering-hole.

Los archivos adjuntos más comunes en los correos electrónicos usados en ataques son los siguientes: .exe (31.3%), .scr: (18.4%), .doc (7.9%), .pdf (5.3%).

En América Latina, los sectores industriales más afectados son el manufacturero con 30% de los casos, la construcción con 23%, los servicios profesionales con 20%, las finanzas y seguros con 10% y el comercio mayorista con 9%.

Otra forma de ataque es el secuestro informático, comúnmente llamado ransomware. En esta modalidad los delincuentes se hacen pasar por agentes de seguridad para exigir el pago de una “multa” para restablecer una computadora bloqueada que supuestamente había sido utilizada por las autoridades durante una investigación. En nuestro país ha proliferado esta forma de extorsión y en el pasado mes de abril la Policía Federal tuvo que publicar un aviso formal para dar aviso de esta nueva forma de ataque.

La rápida difusión que se hizo sobre el ransomware provocó que los delincuentes la llevaran a otro nivel, utilizando un programa conocido como Cryptolocker; el delincuente solicita explícitamente una recompensa para descifrar los archivos de la víctima que han sido atacados. Las estadísticas muestran que solo el 3% de los usuarios afectados pagan la recompensa y el 97% restante pierde sus datos. Esta amenaza también afecta a los archivos contenidos en unidades de redes compartidas de las empresas.




MEJORES PRÁCTICAS CONTRA DELITOS CIBERNÉTICOS

Ante el presente panorama, Symantec propone una serie de recomendaciones y mejores prácticas que pueden ayudar a minimizar riesgos cibernéticos en las empresas:

• Estrategias de defensa profunda: emplear sistemas defensivos múltiples, de soporte mutuo y superpuesto. Se deben implementar firewalls actualizados junto con antivirus de puertas de enlace, sistemas de detección contra intrusiones (IPS), protección contra malware y seguridad en las puertas de enlace web en toda la red.

• Monitoreo para detectar intentos de incursión en la red, vulnerabilidades y abuso de marca: funciona enviando alertas sobre vulnerabilidades y amenazas, ayuda a detectar casos de abuso de marca mediante alertas de dominio e informes sobre sitios web ficticios.

• Protección adicional: el uso de antivirus en endponits no es suficiente, es importante configurar el control de dispositivos que impida y limite los tipos de dispositivos USB, verificar las funciones de prevención que revisan las actividades de aplicaciones e impiden la ejecución de malware, configurar el control de aplicaciones que impida que estas y los complementos (plug-ins) del explorador descarguen contenido no autorizado.

• Claves privadas: proteger las claves privadas asegurándose de que los certificados digitales sean emitidos por una autoridad confiable y reconocida, además se recomienda protegerlas en dispositivos de hardware confiable y seguro, esto es, a prueba de alteraciones.

• Encriptación de datos sensibles: es importante y altamente recomendado realizar políticas de seguridad para que la información que se considere importante y sensible sea encriptada y que su acceso quede restringido. Además de esto, se debe incluir una solución de protección contra pérdida de datos (DLP).

• Medios extraíbles: implementar política de medios extraíbles. Es importante restringir dispositivos no autorizados –medios extraíbles como una USB– para eliminar la introducción de malware y otras amenazas.

• Actualización y aplicación de parches: es importante hacer las actualizaciones, parcheos y migraciones necesarias, tanto de software como de exploradores obsoletos para asegurar un funcionamiento adecuado. Siempre que sea posible conviene automatizar las implementaciones de parches para mantener la protección contra vulnerabilidad.

• Política de contraseñas: Cambiar las claves de seguridad con regularidad –puede ser cada tres meses– y cerciorarse de que sean una combinación de letras y números entre 8 y 10 caracteres.

• Copias de seguridad: mantener actualizadas las copias de seguridad (back ups), ya que en una emergencia se debe garantizar el acceso a estas copias para atenuar el tiempo de inactividad y garantizar que la operación de la empresa o el departamento no se vea afectada.

• Restricciones de archivos adjuntos de e-mail: Configurar los servidores de correo para bloquear archivos adjuntos que usualmente son usados como medios para llevar virus. Algunos de los archivos que contienen virus son .vbs, .exe, .pif, .bat y .scr.

• Proveedor de seguridad informática: tener siempre los datos de contacto del proveedor a la vista por si se presenta alguna irregularidad. En caso de tener equipos infectados, estos se deben aislar para prevenir que el virus se propague por la red y en caso de que esta última sea infectada, es importante bloquear el acceso hasta aplicar un parche.

Los usuarios (personal de la empresa) deben conocer los protocolos básicos de seguridad para evitar virus y amenazas potenciales, la información básica es la siguiente:

• No abrir archivos adjuntos si no provienen de una fuente conocida o que no esperaba recibir. Además, no se debe descargar software a menos que haya sido previamente escaneado.

• Tener cuidado al hacer clic en un URL provenientes de un correo electrónico o en las redes sociales, aunque estas provengan de personas conocidas.

• Utilizar complementos para mostrar la reputación de sitios web en los exploradores.

• El usuario debe estar familiarizado con el programa de antivirus y mantenerse informado de las actualizaciones para garantizar una protección eficiente.




SELECCIÓN DE PROVEEDORES DE SEGURIDAD INFORMÁTICA

En muchas ocasiones una empresa no puede hacerse cargo (por falta de conocimiento o de recursos) de la aplicación de las mejores prácticas y estrategias de ciberseguridad, por ello es recomendable que elija un proveedor cuya experiencia permita poner en marcha un sistema acorde con las necesidades de la organización.

La elección del proveedor es fundamental para el éxito de un proyecto de seguridad, para realizar una buena elección se deben tener en cuenta seis factores: 1) política de privacidad, 2) requisitos técnicos, 3) experiencia, 4) costos, 5) confiabilidad, y 6) soporte al usuario.

• Política de privacidad: el usuario debe verificar que el proveedor tenga una política de privacidad publicada en sus medios de comunicación y que sea sólida y adecuada, por lo que es importante que las empresas estén informadas y de acuerdo con la forma como se manejan sus datos.

• Requisitos técnicos: un buen proveedor debe tener recursos humanos, técnicos y operativos que le permitan funcionar de manera eficiente, es recomendable pedir información sobre protocolos y funcionamiento de servidores.

• Experiencia: lo más adecuado es que el proveedor tenga gran experiencia en el área de seguridad cibernética, que conozca los requisitos de un sistema adecuado a las actividades de la empresa.

• Costo: es importante conocer si la cantidad de servicios que se recibe es la que realmente se necesita, también es sustancial que no se sacrifique la calidad y seguridad a cambio de un bajo precio.

• Confiabilidad: se debe preguntar lo siguiente, ¿los servicios que brinda el proveedor son confiables o frecuentemente no están disponibles debido a mantenimiento? Esto puede llevar a pensar que posiblemente este proveedor tiene problemas de seguridad o que tiene un volumen de usuarios muy alto.

• Soporte al usuario: el personal que brinde la atención en seguridad debe tener un alto nivel de conocimiento y la capacidad de actuar con rapidez en caso de emergencia. El tipo de soporte postventa es fundamental para el funcionamiento adecuado del sistema de seguridad.

Las recomendaciones siempre son un buen indicador de la calidad del proveedor, por lo que el posicionamiento que tenga la empresa debe ser bueno.

Son muchos los puntos que se deben de tomar en cuenta para poder enfrentar y prevenir una amenaza cibernética, las estadísticas muestran que la situación es complicada, por ello entre más informadas y preparadas estén las empresas tendrán más posibilidades de poder identificar y actuar de manera eficiente ante un crimen cibernético.

Adicionalmente, es importante que todos los involucrados tengan una capacitación constante a favor de la mejora continua dentro de las empresas.