Un mínimo Error, abre una Puerta a la Inseguridad
Fueron incontables las ocasiones en que las divisiones de seguridad de múltiples organizaciones, le advertimos al resto de la comunidad (sin diferenciar a que mercado pertenecían), sobre los riesgos asociados a la ciberseguridad y la urgente necesidad de realizar inversiones o como mínimo iniciar con procesos de aprendizaje y relaciones con la cultura cibernética y la seguridad de la información. Sin embargo, en muchas empresas, fue algo “para después” y no tomado con la seriedad que amerita. Hoy, la empresa que no tenga controles en su ciberseguridad y procesos asociados, está destinada a desaparecer del mercado o sufrir las consecuencias de cibercriminales que no discriminan en absoluto sus objetivos de ataque.
Debido a la nueva normalidad creada por el COVID19 y todos los sucesos asociados a la transición mundial que los seres humanos han venido experimentando, la virtualización se ha convertido no solo en una opción, más bien, en un elemento de supervivencia para los mercados que avanzan progresivamente y de manera avasalladora hacia un futuro tecnológico y benéfico para las organizaciones: El ECommerce.
Y aunque el comercio electrónico, las pasarelas de pago, plataformas de compras y servicios en línea no son una novedad, la seguridad y los controles requeridos para el cuidado del consumidor final si han representado una sorpresa para la mayoría de organizaciones. Es importante aprender que muchos se encuentran frente a un panorama totalmente nuevo y algo complejo, que simplemente no se trata de crear un sitio web o pagar por su construcción, generar un lindo diseño y empezar a vender. Quizás, uno de los errores más frecuentes al iniciar negocios en línea, es ignorar por desconocimiento o economía la infraestructura y seguridad atrás de cada sitio web, por sencillo que este sea. Por ejemplo: Todos sabemos que, ¿si cometo un error ortográfico en este texto lo veríamos e inmediatamente y nuestro cerebro intentaría corregirlo automáticamente? Lo mismo hacen los cibercriminales, con la gran diferencia que un error de escritura en una línea de código de la programación de su genial sitio web de ventas, significa el agujero de seguridad, por el cual un atacante puede ingresar a su base de datos y obtener todas las tarjetas de crédito, correos electrónicos, datos personales completos de sus clientes y no solo eso, probablemente inyectar código aleatorio (datos maliciosos con un objetivo), correctamente modificado y diseñado para aprovecharse de otras vulnerabilidades en su sistema. Incluso, con algo de pericia, un equipo de cibercriminales puede dejar ransomware (virus que secuestra información), en los equipos de trabajo de sus empleados obligándolos a perder todos los documentos, exponer también su vida privada incluyendo, tendencias, gustos, opiniones y cualquier cosa considerada intima, además de contraseñas, usuarios, chats con clientes, facturas, datos sensibles financieros como accesos a cuentas entre muchas más cosas, solamente por un error de una “coma”, literalmente, en una línea de código.
Esto no es un escenario de película, aunque probablemente se visualice así, es la realidad de millones de organizaciones y usuarios que consideraron la ciberseguridad como un lujo, poco importante o algo que era demasiado lejano para tenerlo en cuenta. En términos de ataque y basados en experiencias reales con simulaciones para visualizar el panorama completo de ciberseguridad en las organizaciones, un ejercicio conocido como Hacking Ético, el tiempo para dejar en jaque y pérdida total una organización de 500 empleados es de 48 horas. De nuevo, no es ficción. Imagine que algunos de sus empleados desde una oficina adaptada para el COVID19 o desde sus hogares olvido instalar el antivirus en su laptop. Luego instalo “algo” que le recomendaron porque era “gratis” y en la noche al descansar dejó el equipo encendido y sin bloquear. Falla a las buenas prácticas básicas de seguridad de la información en las organizaciones. El antivirus no funciona, la descarga gratis traía un paquete con código camuflado y el cibercriminal logró acceder al equipo del usuario. Haciendo una rápida verificación con software especializado (gratis y de dominio público), busca usuarios, contraseñas, datos considerados sensibles, ah y no hay que olvidar, ya tiene acceso a la cámara del laptop logrando ver y escuchar todo lo que pasa en su casa. A partir de este punto, en una resultante del ejercicio, puede iniciar una fase conocida como “escalada de privilegios” que, usando los datos obtenidos al inicio del ataque, ingresa a sus sistemas de CRM, financieros, ventas y cualquier cosa conectada que represente interés aumentando el vector de explotación o éxito de ataque. Además, del gran caos que se puede generar es muy importante tener en cuenta que un atacante con nivel medio es capaz de ocultarse en su red por mucho tiempo, espiar sus conversaciones, ver sus movimientos, transacciones, comunicaciones en general y en desde ese momento, el cielo es el límite.
Todo un escenario que no solamente desemboca en pérdidas financieras, imagen y reputación de las organizaciones, hay que sumarle a esta catástrofe, las multas gubernamentales por exposición y fuga de información de datos privados de sus clientes. Una incómoda situación que se repite cada día, por fallos en la cadena de buenas prácticas de seguridad, desde el usuario que solamente recibe y procesa datos hasta los encargados de todas las plataformas.
El primer aprendizaje, por si alguien le vendió esa idea: La seguridad 100% no existe. Siempre hay una forma, siempre hay un error, siempre hay cambios y un cambio no controlado genera un acceso que voluntariamente o no, permite una entrada. El pensamiento del Hacker Oscuro o cibercriminal no está seguido por patrones o normas básicas con métodos ortodoxos y lineamientos comunes, por eso ven lo que incluso, un grandioso y costoso sistema de seguridad no detecta. Cuentan además con el factor error humano, basado en psicologías básicas como miedo, ego, arrogancia, necesidad, altruismo y en estos tiempos del COVID19 “apoyo y humanidad”. Los ataques pueden venir de cualquier parte, internos o externos. Sin embargo, lo más importante es aprender a reconocerlos y mitigarlos. Minimizar el vector de ataque, reducir las puertas de acceso, invitar y exigir a todas las personas en las organizaciones a ser parte activa de controles de seguridad. Entender cómo funcionan y pueden ser usados en su beneficio. Ciberseguridad ampliada no se trata de solamente de comprar dispositivos e instalarlos en modo automático, sin que nadie revise los procesos y la actividad que generan. Es un trabajo en equipo, un usuario con la información más básica puede dar la alarma que al recibirla analistas de seguridad, toman rápidas decisiones y acciones destinadas a reconocer, mitigar y eliminar la amenaza.
La Ciberseguridad ampliada, invita a las organizaciones a considerar que una nueva normalidad, exige cambios positivos, nuevos modos de interacción y aprendizaje en un nuevo modo de trabajo. Implementar políticas de ciberseguridad no debe ser una tarea estresante, debe ser tomada como un ejercicio de fortalecimiento para todos. Además, siempre será mejor un ejercicio aplicado de concientización que la experiencia de un caos siendo víctima de un ataque, probablemente devastador. Todo el tiempo y esfuerzo que se genera cuando se crean excelentes plataformas de pago, relación con clientes, globalización de servicios, rendimientos financieros solo para ser destruido en horas. Simplemente, por un error “ortográfico” en una coma. En tiempos de cambios, es el momento de interiorizar la ciberseguridad ampliada como un proceso positivo, efectivo y de progreso para su organización.