“Facebook, Apple, Microsoft, tienen todo el tiempo vulnerabilidades, la gran diferencia es que invierten de forma proactiva en ciberseguridad, en la parte tecnológica y en la parte operativa.”
México, uno de los países con más ciberataques a nivel mundial
Hace algunos años, KPMG lanzó un estudio en el cual hablaba de que en México se posicionaba como el tercer país del mundo con más ciberataques, el dato es real, si consultamos un radar que marca el nivel de seguridad a nivel mundial, por lo general México se ubica en el top 15 de países con más ciberataques. Además, en esa lista hay varios países de Latinoamérica como Perú y Colombia. ¿Por qué nos voltean a ver los hackers alrededor del mundo? La primera razón es porque hay escasez de talento en materia de ciberseguridad, además de que para muchos directores todavía no es un top of mind invertir en ciberseguridad. También es importante mencionar que ninguna empresa es 100 % segura, las empresas más grandes como Facebook, Apple, Microsoft, tienen todo el tiempo vulnerabilidades, la gran diferencia es que invierten de forma proactiva en ciberseguridad, en la parte tecnológica y en la parte operativa.
Los ciberataques también nos pueden ocurrir a los usuarios, durante la pandemia estos aumentaron 400 % a nivel mundial con las nuevas formas de trabajo remoto y muchas empresas que no estaban digitalizadas lo tuvieron que hacer de un día para otro. Algo que ocurrió con frecuencia en teléfonos Android es que muchas personas descargaron un virus que se llamaba Coronavirus-19 Tracker que aparecía en un link que se descargaba al celular, al momento de descargarlo aparecía un mensaje de un hacker que amenazaba con compartir la información del celular a cambio de un pago de 250 dólares en 24 horas. En Delta Protect, además de proteger empresas, tenemos clientes comunes a quienes les han hackeado el WhatsApp, lo que ocurre es que hay una cadena de hackers a nivel mundial que interviene las aplicaciones de las personas.
Mi recomendación en estos casos es activar el factor de doble autenticación en nuestros correos personales, Facebook, LinkedIn, plataformas de criptomonedas, etc. Este método de seguridad consiste en que si me quedé sin pila y accedo en otros dispositivo, pongo mi mail y contraseña y me envía a mi celular un dígito que solo me llegará a mí para poder acceder a mi correo.
Tipos de ciberataques
Una de las formas de ciberataques más comunes es el phishing que consiste en un proceso denominado ingeniería social, ¿cómo un hacker envía un mail a una persona para que le haga clic? Te llega un correo de alguna empresa reconocida, por ejemplo, de Netflix donde te dice que tu suscripción ha sido cancelada y debes dar clic para rehabilitar tu cuenta. También te puede llegar un mail con el logo de la CFE donde supuestamente te envían una factura para descargar, al dar clic descargas un malware (malicious software) y lo que ocurre es que en la terminal o código de la computadora que como usuarios nunca vemos se ejecutan comandos que envían información a los hackers, contraseñas almacenadas en nuestro kitchen, tarjetas de crédito, direcciones y otro tipo de información. Lo importante en estos casos es cerciorarnos que el mensaje es de un dominio real y no de uno apócrifo. Este tipo de mensajes llegan de varias compañías importantes, Apple, aerolíneas, etc.
Hay otro ataque común que se llama ataque de denegación de servicio (Distribuited Denial of Service, DDoS), por ejemplo, en una transmisión en vivo de repente entran miles de personas al mismo tiempo, llegará el momento en el que el Zoom no lo soportará y no dejará entrar ni salir a nadie y eventualmente se caerá la transmisión. Lo que hacen los hackers en este caso es conectar miles de computadoras en todo el mundo para que en cuestión de milisegundos se conecten al servidor de una empresa, ocurre que el servidor de la empresa no lo puede soportar y se cae. Mucha gente le tiene miedo a este tipo de ataques, pero por lo general se utilizan como distracción, lo lanzan los hackers, se cae el servidor, y mientras que el personal de sistemas está ocupado resolviendo el problema, los hackers entran por otro lado al servidor.
“Los ataques DDoS se utilizan como distracción, lo lanzan los hackers, se cae el servidor y mientras que el personal de sistemas está ocupado resolviendo el problema, los hackers entran por otro lado al servidor.”
En una infografía publicada por Google se informaba que los ataques de denegación de servicio más relevantes son uno de 623 gigabytes por segundo, es decir, a una PyME con un procesador normal de repente le llegan 623 gigabytes por segundo se cae o explota el servidor; hay otro de 2.5 terabytes por segundo, son muchísimas llamadas, son calls, por ejemplo cuando hacemos login en Facebook, es una llamada, las empresas cuentan con un balanceado o recarga con lo cual pueden amortiguar las entradas o salidas de información de una página.
Este tipo de ataque se común, muchas páginas de gobierno han recibido ataques de denegación de servicio y son efectivos por no tener un balanceador de carga. Para realizar este ataque se necesitan de algunos skills técnicos, además, nosotros hemos visto en la deep web que hay foros de hackers que comercializan sus servicios, quienes ofrecen realizar ataque de denegación de servicios a empresas pequeñas, medianas o grandes por 25, 50 y 75 dólares.
Por otra parte, tenemos los Remote Access Tool (RAT), por ejemplo, estás en la presentación con un cliente que te da un USB con una presentación, conectas el USB en la computadora y sin darte cuenta ejecuta código y comandos en la terminal, en el backend, el RAT permite prender la cámara de la computadora, el micrófono incluso teclear para mandar información. En los últimos años han aumentado los casos de ciberwarfare o la ciberguerra que se da entre países como Corea del Sur y Corea del Norte, China y Rusia contra Estados Unidos, en Ucrania hubo un apagón eléctrico producto de un ciberataque, lo que ocurre es que entre más migremos a lo digital, más ciberataques van a haber, hay una correlación entre los ciberataques y el uso de la tecnología que ha crecido exponencialmente. Ahora hay cerca de 50 mil millones de dispositivos conectados a internet alrededor del mundo que generan y comparten información, por lo tanto, habrá mayor información que proteger y los hackers estarán siempre detrás de esta.
Concientizar al usuario
Es relevante que el usuario se plantee protocolos de seguridad por este tipo de riesgos. La concientización es importante, como usuarios de internet nadie nos enseñó a tener cuidado con los peligros a los que nos enfrentamos. Los padres de familia deben educar a sus hijos sobre estos riesgos, la gente cae porque no tiene conocimiento en este aspecto. A nivel organización, empresa, concientizar a los empleados en cuanto a qué es la ciberseguridad, enseñarles ejemplos de phishing, ramsonware, que entiendan qué deben hacer tanto dentro como fuera de la empresa.
“A nivel organización se debe concientizar a los empleados en cuanto a qué es la ciberseguridad, enseñarles ejemplos de phishing, ramsonware, que entiendan qué deben hacer tanto dentro como fuera de la empresa.”
Una medida de seguridad puede ser la página emailrep.io, en la cual podemos verificar dominios de correos con información de alta o baja reputación, con perfil en Twitter, LinkedIn y la fecha en que fue creado. Otro recurso similar es la página VirusTotal.com donde se pueden verificar tanto archivos como URL, por ejemplo, me llega un correo con un supuesto boleto de avión en PDF, no debo descargar el archivo, debo subirlo a esta página que realiza un escaneo y me aparece información sobre que contiene un trojano bancario que me va a robar todas mis credenciales del banco, un malware que me va a robar credenciales de acceso o un adware que permite la aparición de mensajes de ciertos productos. Este tipo de herramientas gratuitas se conocen como Open Source Intelligence (OSINT) que podemos utilizar sin ser expertos.
Otra opción de seguridad similar es haveibeenpwned.com, una plataforma creada por un hacker ético que ha recopilado desde hace varios años múltiples fugas de información, data reaches o hackeos a empresas y se utiliza de la siguiente manera, por ejemplo, si le pido a la plataforma escanear un correo personal que tengo desde hace varios años, haveibeenpwned.com me arroja como resultado un aviso de seguridad que dice: ten cuidado, tu correo se ha visto implicado en cinco fugas de información, en cinco data reaches, y me aparece información detallada de cada caso, por ejemplo, me aparece uno relacionado con Canvas donde dice que en mayo de 2019 la plataforma de diseño gráfico tuvo un ciberataque que expuso la información de 137 millones de sus clientes, se expuso data como correo, usuarios, nombres, ciudades, contraseña, entre otros. El problema es que yo utilizaba ese correo para varias páginas de internet y como práctica de cibernauta, la misma contraseña para todo, por eso es importantísimo utilizar contraseñas complejas y no repetidas.
Incluso Google Chrome avisa sobre tus cuentas relacionadas que han sido hackeadas. En realidad, lo que hace Google es alimentarse de plataformas como esta y cuando te avisa que tienes una contraseña expuesta, debes cambiarla inmediatamente, la recomendación es utilizar contraseñas complejas y no repetidas, no debes utilizar una única contraseña para plataformas distintas.
Una solución para administrar contraseñas es utilizar un manager password, un administrador de contraseñas, pero es importante mencionar que nunca se debe utilizar uno gratuito porque se generarán problemas. Algunas opciones recomendables son 1Password tanto para Android como para iPhone, Keeper Security es una de las mejores porque incluye doble autenticador. Mi recomendación en torno a las contraseñas complejas es que tengan mayúsculas, minúsculas, caracteres alfanuméricos, y al final construir un patrón, que cada quien cree su propio patrón para acordarse de sus contraseñas.
¿Cómo se relaciona la ciberseguridad con el área jurídica de las empresas?
Al iniciar contacto con una empresa a través de Delta Protect, la parte de la confidencialidad es relevante. El primer contacto debe ser con abogados para resolver cuestiones de NDA, cada vez hay más relación entre áreas y es relevante que el área de tecnología comunique bien cómo están almacenando los datos, qué están haciendo con esos datos, si se agrega el componente de Ley General de Datos personales, derechos de Acceso, Rectificación, Cancelación y Oposición, etc. La ciberseguridad tiene dos frentes, el tecnológico, sistemas, tecnología con el cual el abogado no se relaciona demasiado, y la parte operativa donde se encuentra compliance y el área legal, algo de lo que nos hemos dado cuenta es lo relevante que se ha vuelto la figura del director de ciberseguridad de la organización (Chief Information Security officer, CISO). Por ejemplo, conozco a un CISO de un banco que en su anterior trabajo en otro banco decía que debía reportar a un director que reportaba a otro director y así sucesivamente, es decir, no había buena comunicación. El CISO es relevante porque no se encarga tanto de la parte técnica, sino de operación, el tener un Disaster Recovery Plan (DRP), un Business Continuity Plan, en caso de que tenga un ciberataque cómo levanto otro servidor para dar atención a los usuarios. El CISO debe tener perfecta comunicación tanto con el área legal como con el área de compliance. Dentro de la Ley Fintech, la Comisión Nacional Bancaria y de Valores (CNBV) exigirá a las Fintech que la empresa cuente con los servicios de un CISO para otorgar el inicio formal de operaciones.
Es importante entender cómo está operando el negocio y tener bien cuantificados los riesgos, cómo se almacena la información, qué se está haciendo con la información, cuál es el costo derivado por ciberataque en caso de un ataque cibernético. En este caso vamos a tener un costo reputacional con los clientes que puede ser difícil de cuantificar, costo de operación que a raíz del ciberataque no se ha podido operar durante 72 horas, a cuánto ascendió el costo, después está el tema regulatorio, dependiendo de qué país es la empresa, tendrá distintos costos.
“Es importante entender cómo está operando el negocio y tener bien cuantificados los riesgos, cómo se almacena la información, qué se está haciendo con la información, cuál es el costo derivado por ciberataque en caso de un ataque cibernético.”
Es necesario considerar que muchas PyMES llegan a pensar ¿a nosotros quién nos puede atacar?, actualmente ya no se puede pensar así, como buenos latinos actuamos hasta que nos pasa, también podemos pensar que la ciberseguridad es un tema demasiado caro, cuando hay múltiples opciones en el mercado a precios competitivos, hay diversos proveedores que se adaptan a las necesidades de los clientes, tal vez no puedes contratar a un CISO de tiempo completo, pero sí puedes contratar a un CISO as a Service para que te brinde consultoría cierto número de horas. Hay empresas que tienen sus servidores físicos y otras están migrando sus servicios a Zoom y a Gmail donde puedes contratar un especialista de ciberseguridad para que cheque que tengas buenos protocolos de ciberseguridad implementados.
También hay que implementar políticas, aunque tengas tu infraestructura con Google Drive y uses el File Stream para tu computadora, debes hacer respaldos físicos, probablemente a Google nunca le pasará nada y la información siempre estará a salvo, aunque no lo sabemos y debemos tener una política de respaldos físicos en discos duros físicos. Klaus Martin Schwab dijo recientemente que el próximo problema grande mundial no será una pandemia, sino un ciberataque que nos deje sin acceso a servicios básicos, un riesgo que es real. Las empresas deben tener estas políticas, por ejemplo, antes existía la política de Bring your Own Device, en cuanto a que yo tengo mi empresa, van a trabajar conmigo colaboradores y no les puedo dar una computadora, pero ellos pueden ocupar la suya, y dentro de esta política se considera qué software se puede utilizar para cuidar la información sin abusar de monitorear, cuánto tiempo está conectado el empleado a su computadora, etc. Actualmente se implementa el Take Home your Own Device que son los protocolos para los empleados y colaboradores que trabajan desde sus casas, desde el cambio de la contraseña del wifi.
Por ejemplo, una vez tuvimos un caso de una escuela que tenía contratado un sistema de transporte para sus alumnos con geolocalización, pero no lo tenían bien aclarado en su aviso de privacidad, es decir, todo empieza desde el aviso de privacidad que tienen mal planteado las empresas y desconocen las multas a las que se pueden enfrentar por este hecho. En caso de que te roben los servidores, te quedas sin operación. Otro caso es el de una empresa de Monterrey que nos buscaron porque recibieron un ransomware y no sabían si pagar el ramsomware porque no tenían backups, a diferencia de otro cliente que tenía un backup de hace dos semanas, estos últimos pueden omitir las amenazas del hacker, perderán la información de dos semanas, pero cuentan con una actualización reciente.
Dentro de los procesos operativos es crucial tener un plan director de ciberseguridad, tener modelos de madurez, modelos de gestión, gestión de riesgos, de controles, definir un proyecto y cuáles son las iniciativas que vamos a tener dentro de la ciberseguridad de la empresa, matriz de riesgos, de controles, etc. Todo esto ayuda a robustecer la madurez de la seguridad informática de una empresa y de estar conscientes de qué es lo que debemos hacer.
Otros consejos prácticos para reforzar la ciberseguridad
Cuando navegamos en alguna página en ocasiones aparece un candado en la parte superior que dice secure o not secure, que hace referencia al certificado SSL, un protocolo de encriptación. Cuando hagas intercambio de información con alguna plataforma o página de internet, como comprar productos, boletos de avión, etc., es importante que la página tenga el certificado SSL, lo que quiere decir que nuestra información se enviará encriptada.
Otro consejo útil es tener mucho cuidado con los wifis públicos de centros comerciales, hospitales, aeropuertos, metro, el C5, porque nos exponemos a un ataque llamado Man in the middle Attack con el cual alguien puede conseguir acceso a estos wifis y ver toda la información que viaja a través de ese router, nunca se deben hacer compras en un wifi público ni transacciones bancarias. Esto se relaciona con la red privada virtual (Virtual Private Network, VPN), muchas empresas lo utilizan para los colaboradores o empleados que están en casa, y lo que hace la VPN es que en lugar de conectarme directo de mi router a un servidor de internet, redirecciona mi router a un servidor encriptado y de ahí a internet, por lo que la información puede viajar segura. Algunas recomendaciones de VPN son para iPhone, Betternet, para Mac, está Star VPN.
“Otro consejo útil es tener mucho cuidado con los wifis públicos, centros comerciales, hospitales, aeropuertos, metro, el C5, porque alguien puede conseguir acceso a estos wifis y ver toda la información que viaja a través de ese router.”
Una acción relevante es actualizar los sistemas operativos, un grupo de analistas de seguridad encontraron vulnerabilidades o exploits en el sistema operativo de iPhone por lo que recomendaron actualizar el sistema operativo, de esta manera estamos un paso delante de los hackers.
Como recomendación para las empresas, es mejor buscar una empresa de ciberseguridad que antes de cualquier cosa les brinde una plática de concientización de cortesía a todos los empleados para que entiendan qué es lo que está pasando, cuáles son las preocupaciones que hay que atender y platicarlo. En cuanto a las políticas, hay algunos frameworks gratuitos, como NIST, MITRE Attack o Cyber Kill Chain, que ayudan a dimensionar qué políticas, procesos o manuales debemos implementar dentro de la empresa.
Entrevista con Santiago Fuentes, Fundador de Delta Protect, conducida por Janet Huerta para Abogado Digital.
