Ciberseguridad: lo que todo CEO y CFO debe saber

Resumen ejecutivo

Introducción

Piense en [la ciberseguridad] más como seguridad en carreteras y automóviles. El auto realmente no ha cambiado en los últimos 30 años, pero tiene mucha seguridad incorporada y no es sexy hasta el momento en que te salva la vida. Tiene partes que están ocultas (bolsas de aire) y partes allí para recordarle que esté seguro, como los cinturones de seguridad... Algunas de ellas tienen que ver con el buen comportamiento y la buena actitud, algunas tienen que ver con la seguridad física para recordarle que existe un riesgo, y algo de eso está horneado para salvarte.

– Sian John, estratega sénior de ciberseguridad en Symantec

Lo admitiremos. La ciberseguridad no es sexy. Sin embargo, en la era digital actual, la ciberseguridad se ha vuelto cada vez más crítica tanto para las grandes corporaciones como para las pequeñas empresas emergentes. Hoy, lo que está en juego es más alto que nunca, ya que "todas las empresas se han convertido en empresas de tecnología". La tecnología se ha convertido en más que un complemento para las operaciones de una empresa y, en muchos casos, los activos que viven en su red son sus operaciones principales. Esto se ve agravado por el hecho de que los hacks se están volviendo comunes debido al aumento del uso de dispositivos móviles y el internet de las cosas, así como al creciente ecosistema de ciberdelincuentes.

Este artículo describe los tipos de ciberdelincuentes, las tácticas de ciberdelincuencia y los factores contribuyentes. La pieza también incluye soluciones tangibles que las empresas pueden usar para protegerse. Las soluciones incluyen salvaguardas tecnológicas y componentes humanos. Por ejemplo, el liderazgo debe reconocer la seguridad cibernética como un problema comercial estratégico y no solo como un "problema de TI". Además, algunas de las soluciones más efectivas son bastante básicas, como la educación de los empleados o la autenticación de dos factores para los usuarios.

¿Qué es un delito cibernético?

En pocas palabras, un delito cibernético es un delito con algún tipo de aspecto informático o cibernético. Puede tomar forma en una variedad de formatos y de individuos o grupos con diferentes factores de motivación. Las amenazas cibernéticas son fundamentalmente riesgos asimétricos en el sentido de que pequeños grupos de personas pueden causar daños desproporcionadamente grandes.

Categorías de ciberdelincuentes

1. Grupos de delincuencia organizada con motivación financiera: la mayoría de estos grupos están ubicados en Europa del Este

2. Actores del estado-nación: personas que trabajan directa o indirectamente para su gobierno para robar información confidencial e interrumpir las capacidades de los enemigos. Por lo general, son los atacantes cibernéticos más sofisticados, con un 30% originados en China.

3. Grupos de activistas, o “hacktivistas”: por lo general, no buscan robar el dinero. Están fuera para promover su religión, política o causa; para impactar reputaciones o para impactar clientes.

4. Insiders: estos son los empleados "desilusionados, chantajeados o incluso demasiado serviciales" que operan desde dentro de una empresa. Sin embargo, no pueden involucrarse en actividades cibercriminales intencionalmente; algunos podrían simplemente tomar una lista de contactos o un documento de diseño sin darse cuenta del daño que podría causar.

La edad promedio de un ciberdelincuente es de 35 años y el 80% de los piratas informáticos criminales están afiliados al crimen organizado. En resumen, la gente elige esto como profesión.

Tácticas de ciberdelincuencia

Los ciberdelincuentes utilizan métodos tanto estáticos como dinámicos para cometer sus delitos. Profundicemos.

Denegación de servicio distribuida (DDoS)

Un ataque DDoS intenta interrumpir el servicio de una red. Los atacantes envían grandes volúmenes de datos o tráfico a través de la red hasta que se sobrecarga y deja de funcionar. El tráfico entrante que inunda a la víctima se origina en muchas fuentes diferentes, potencialmente cientos de miles. Esto hace que sea imposible detener el ataque bloqueando una sola dirección IP y dificulta distinguir el tráfico legítimo del tráfico de ataque.

Suplantación de identidad

A menudo, haciéndose pasar por una solicitud de datos de un tercero de confianza, los ataques de phishing se envían por correo electrónico y piden a los usuarios que hagan clic en un enlace e ingresen sus datos personales. A menudo implica manipulación psicológica, invocando urgencia o miedo, engañando a personas desprevenidas para que entreguen información confidencial.

Hay un par de factores preocupantes. En primer lugar, los correos electrónicos de phishing se han vuelto sofisticados y, a menudo, parecen solicitudes legítimas de información. En segundo lugar, la tecnología de phishing ahora se otorga bajo licencia a los ciberdelincuentes, incluidos los servicios de phishing a pedido y los kits de phishing listos para usar. Quizás lo más preocupante es el hecho de que los servicios de la web oscura han permitido a los ciberdelincuentes perfeccionar sus campañas y habilidades. De hecho, es seis veces más probable que se haga clic en los correos electrónicos de phishing que en los correos electrónicos regulares de marketing para el consumidor.

Malware

Malware, abreviatura de "software malicioso", está diseñado para obtener acceso o dañar una computadora. Malware es un término general para una gran cantidad de amenazas cibernéticas, incluidos troyanos, virus y gusanos. A menudo se introduce en un sistema a través de archivos adjuntos de correo electrónico, descargas de software o vulnerabilidades del sistema operativo.

Uso indebido de privilegios internos

Si bien los infiltrados maliciosos que filtran información a WikiLeaks reciben toda la prensa y la gloria, un escenario más común es que un empleado o usuario final promedio pero oportunista toma en secreto datos confidenciales con la esperanza de cobrar en algún momento (60% del tiempo) . A veces, los empleados se vuelven demasiado curiosos y husmean un poco (17%). La información personal y los registros médicos (71 %) son objeto de delitos financieros, como el robo de identidad o el fraude en la declaración de impuestos, pero a veces es simplemente para chismear.

Skimmers de tarjetas físicas

Estos ataques incluyen la implantación física en un activo que lee los datos de la banda magnética de una tarjeta de pago (por ejemplo, cajeros automáticos, surtidores de gasolina, terminales POS). Es relativamente rápido y fácil llevar a cabo un ataque como este, con el potencial de un rendimiento relativamente alto, por lo que es un tipo de acción popular (8 %).

Consecuencias y costos de ciberseguridad

Costos para las empresas

Hace tres años, el Wall Street Journal estimó que el costo del delito cibernético en los EE. UU. era de $100 mil millones. Otros informes estimaron que la cifra era hasta diez veces mayor que esta. En 2017, el coste medio de una filtración de datos es de 7,35 millones de dólares, en comparación con los 5,85 dólares de 2014. Los costes incluyen todo, desde la detección, la contención y la recuperación hasta la interrupción del negocio, la pérdida de ingresos y los daños en los equipos. Más allá de las preocupaciones monetarias, una brecha cibernética también puede arruinar intangibles, como la reputación de una empresa o la buena voluntad de los clientes.

Curiosamente, las empresas con los niveles más altos de innovación empresarial a menudo tienen ataques más costosos. Una “innovación empresarial” puede ser cualquier cosa, desde una adquisición o venta hasta la entrada en un nuevo mercado geográfico. Se demostró que la adquisición o venta de una empresa aumenta el costo del delito cibernético en un 20 %, mientras que el lanzamiento de una nueva aplicación importante aumentó el costo en un 18 %.

Para las empresas de servicios financieros, los costos posteriores a una violación de la seguridad se pueden atribuir a la interrupción del negocio, la pérdida de información, la pérdida de ingresos y otros costos.

La ciberseguridad se pronuncia para la industria de servicios financieros

La desafortunada verdad es que, si bien ninguna industria es inmune, los problemas de ciberseguridad son particularmente pronunciados para los servicios financieros. Según el Informe de investigaciones de violación de datos de Verizon de 2017, el 24 % de las violaciones afectaron a organizaciones financieras (la principal industria), seguidas por la atención médica y el sector público. A modo de comparación, en 2012, la industria ocupó el tercer lugar, después de la defensa y las industrias de servicios públicos y energía. Más allá de la frecuencia, el costo de financiar empresas es el más alto de todas las industrias, con una pérdida promedio de $16,5 millones en 2013.

En los servicios financieros, el tipo más común de brecha cibernética involucró ataques DDoS. Y, en cuanto a todos los ataques DDoS, la industria financiera fue la más afectada.

Famosos hackeos de servicios financieros

Ataque a seis bancos estadounidenses (2012)

En 2012, seis importantes bancos estadounidenses (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo y PNC) fueron objeto de una ola de ataques informáticos por parte de un grupo que afirmaba tener vínculos con Oriente Medio. Los ataques provocaron apagones en Internet y retrasos en la banca en línea, lo que resultó en clientes frustrados que no podían acceder a sus cuentas o pagar facturas en línea.

Estos fueron ataques DDoS, donde los piratas informáticos abrumaron los sitios web del banco hasta el punto de cerrarlos. Los ataques también utilizaron botnets, redes de computadoras infectadas que cumplen las órdenes de los delincuentes. A veces, las redes de bots se denominan "computadoras zombis" que obedecen los comandos de una "red de bots maestra". Desafortunadamente, estos pueden ser alquilados a través del mercado negro o prestados por criminales o gobiernos.

JPMorgan (2014)

En el verano de 2014, en la mayor violación de seguridad de un banco estadounidense hasta la fecha, los piratas informáticos vulneraron los nombres, direcciones, números de teléfono y direcciones de correo electrónico de alrededor de 83 millones de cuentas. Irónicamente, JPMorgan gasta alrededor de $250 millones en seguridad informática cada año. La violación de 2014 no fue el resultado de un esquema sofisticado. El ataque no usó un ataque de día cero, el nuevo error de software que se vende por millones en el mercado negro. Tampoco utilizó malware que los piratas informáticos de Corea del Norte emplearon en su ataque cibernético a Sony. Más bien, el origen del problema era básico: el banco no empleó la autenticación de dos factores, que es una capa adicional de seguridad cuando los usuarios inician sesión para acceder a datos o una aplicación. El equipo de seguridad de JPMorgan se olvidó de actualizar uno de sus servidores de red con el esquema de contraseña dual; eso fue todo lo que necesitó.

Sistema de pago SWIFT (2016)

En febrero de 2016, la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT), un consorcio internacional de más de 11 000 bancos que facilita las transferencias transfronterizas, fue pirateada. El Banco de Bangladesh, un usuario de la red SWIFT, fue pirateado por un monto de 81 millones de dólares. Solo se recuperó una pequeña proporción antes de que el Banco de la Reserva Federal de Nueva York bloqueara otras 30 transacciones que podrían haber transferido $850 millones adicionales.

Estos ataques muestran que las redes de pago son tan confiables como su eslabón más débil. Muchos en la industria no se sorprendieron por el ataque. Según Justin Clarke-Salt, cofundador de Gotham Digital Science, una empresa de ciberseguridad, los ataques aprovecharon una debilidad del sistema: que no todas las instituciones protegen el acceso a SWIFT de la misma manera. Después de todo, “los atacantes a menudo atacan a las personas que son más fáciles de atacar… Lejos de lo que sabemos que se ha informado públicamente, se han dirigido en gran medida a las instituciones financieras más pequeñas. Esto probablemente se deba a que tienen controles menos sofisticados”.

¿Son más vulnerables las empresas pequeñas o las grandes?

Aunque las noticias a menudo cubren los ataques a las corporaciones más grandes (Target, Yahoo, Home Depot, Sony), las pequeñas empresas no son inmunes. En los últimos 12 meses, los piratas informáticos han violado la mitad de todas las pequeñas empresas en los Estados Unidos, según el Informe sobre ciberseguridad del estado de las PYMES de 2016.

Por un lado, algunos argumentan que es posible que las empresas más pequeñas no puedan recuperarse de un ciberataque**. **Según Sian John, estratega sénior de seguridad cibernética de Symantec, las empresas afectadas por un problema de seguridad experimentan un "golpe financiero y reputacional masivo" para las empresas en el año siguiente, antes de volver a la normalidad. Ella cuestionó: "Si eres una empresa más pequeña, ¿puedes sobrevivir a esa caída?"

Por otro lado, otros argumentan que las pequeñas empresas tienen una ventaja: “Una gran empresa es más vulnerable que una pequeña empresa: tienen grandes conjuntos de datos y cientos de personas tienen que tener acceso… Si se encuentra en el extremo más pequeño de la escala, ser inteligente acerca de los procesos comerciales y comprender dónde se pueden explotar esos procesos comerciales es más fácil que para una gran organización”, declaró Richard Horne, socio de PricewaterhouseCoopers.

Desafíos de ciberseguridad

Factores que contribuyen al aumento del delito cibernético

Ha surgido una raza "corporativa" de ciberdelincuentes

Los ciberdelincuentes ahora están adoptando las mejores prácticas corporativas para aumentar la eficiencia de sus ataques. Algunos de los delincuentes más emprendedores venden u otorgan licencias de herramientas de piratería informática a delincuentes menos sofisticados. Por ejemplo, los delincuentes profesionales han estado vendiendo tecnología de día cero a delincuentes en el mercado abierto, donde se comercializan rápidamente. Las pandillas también ofrecen ransomware como servicio, que congela los archivos de la computadora hasta que la víctima cumple con las demandas monetarias y luego recibe una parte por proporcionar la licencia.

Ahora existe todo un ecosistema de recursos para que los ciberdelincuentes aprovechen. “Los grupos de ataques criminales avanzados ahora se hacen eco de las habilidades de los atacantes del estado-nación. Cuentan con amplios recursos y un personal técnico altamente calificado que opera con tanta eficiencia que mantienen un horario comercial normal e incluso se toman libres los fines de semana y días festivos... Incluso estamos viendo a atacantes criminales de bajo nivel crear operaciones de centros de llamadas para aumentar el impacto de sus estafas”, dijo Kevin Haley, director de Symantec.

Seguridad de proveedores externos

Si un tercero es pirateado, su empresa corre el riesgo de perder datos comerciales o comprometer la información de los empleados. Por ejemplo, la violación de datos de Target de 2013 que comprometió 40 millones de cuentas de clientes fue el resultado del robo de credenciales de red de un proveedor externo de calefacción y aire acondicionado. Un estudio de 2013 indicó que el 63% de las investigaciones de violación de datos de ese año estaban vinculadas a un componente de terceros.

Mayor uso de tecnologías móviles por parte de los clientes

Debido a un número creciente de objetivos en línea, la piratería se ha vuelto más fácil que nunca. En la banca de consumo, el uso de dispositivos móviles y aplicaciones se ha disparado. Según un estudio de Bain & Company de 2014, el móvil es el canal bancario más utilizado en 13 de 22 países y comprende el 30 % de todas las interacciones a nivel mundial. Además, los consumidores han adoptado sistemas de pago móvil. Para los bancos que compiten con las nuevas empresas fintech, la comodidad del cliente seguirá siendo importante. Es posible que tengan que sopesar las posibles pérdidas por fraude con las pérdidas derivadas de una experiencia de usuario más inconveniente. Algunas instituciones están utilizando la autenticación avanzada para hacer frente a estos riesgos de seguridad adicionales, lo que permite a los clientes acceder a sus cuentas a través del reconocimiento facial y de voz.

Proliferación de Internet de las cosas (IoT)

Internet de las cosas (IoT) se dedica a la idea de que se puede interconectar una amplia gama de dispositivos, incluidos electrodomésticos, vehículos y edificios. Por ejemplo, si su alarma suena a las 7:00 am, podría notificar automáticamente a su cafetera para que comience a preparar café para usted. IoT gira en torno a la comunicación de máquina a máquina; es móvil, virtual y ofrece conexiones instantáneas. Hay más de mil millones de dispositivos IoT en uso hoy en día, y se espera que supere los 50 mil millones para 2020. El problema es que muchos dispositivos inteligentes más baratos a menudo carecen de la infraestructura de seguridad adecuada. Cuando cada tecnología tiene un alto riesgo, el riesgo crece exponencialmente cuando se combinan.

Concienciación sobre ciberseguridad frente a preparación para abordar

A pesar de los titulares sobre la ciberseguridad y sus amenazas, sigue existiendo una brecha entre la conciencia de las empresas y su preparación para abordarla. En el último año, los piratas informáticos han violado la mitad de todas las pequeñas empresas de EE. UU. En la encuesta de 2013 del Ponemon Institute, el 75 % de los encuestados indicaron que no tenían un plan formal de respuesta a incidentes de ciberseguridad. El 66 % de los encuestados no confiaba en la capacidad de su organización para recuperarse de un ataque. Además, una encuesta de 2017 de la firma de seguridad cibernética Manta indicó que una de cada tres pequeñas empresas no cuenta con las herramientas necesarias para protegerse.

Hablando tácticamente, las empresas de servicios financieros tienen mucho que mejorar en términos de detección y respuesta a los ataques. En 2013, el 88% de los ataques iniciados contra empresas de FS tienen éxito en menos de un día. Sin embargo, solo el 21% de estos se descubren en un día, y en el período posterior al descubrimiento, solo el 40% de ellos se restauran en un plazo de un día.

Las soluciones de ciberseguridad requieren un enfoque múltiple

No existe una solución única para la ciberseguridad. Sin embargo, en general, las soluciones deben incluir tanto tecnología sofisticada como componentes más “humanos”, como la capacitación de los empleados y la priorización en la sala de juntas.

Inteligencia de amenazas procesable

Inteligencia en tiempo real:

La inteligencia en tiempo real es una poderosa herramienta para prevenir y contener los ataques cibernéticos. Cuanto más se tarde en identificar un hack, más costosas serán sus consecuencias. Un estudio de 2013 realizado por Ponemon Institute reveló que los ejecutivos de TI creen que menos de 10 minutos de notificación previa de una brecha de seguridad es tiempo suficiente para desactivar la amenaza. Con solo 60 segundos de notificación de un compromiso, los costos resultantes podrían reducirse en un 40 %.

Según James Hatch, director de servicios cibernéticos de BAE Systems, "La detección temprana [de un ciberataque] es clave... Podría ser la diferencia entre perder el 10 % de sus [computadoras] y el 50 %". Desafortunadamente, en realidad, en promedio, las empresas tardan más de siete meses en descubrir un ataque malicioso.

Acciones Complementarias:

Las empresas pueden tomar varios pasos tácticos más pequeños para protegerse. Éstos incluyen:

• Promulgar una estrategia de defensa de múltiples capas. Asegúrese de que cubra toda su empresa, todos los puntos finales, dispositivos móviles, aplicaciones y datos. Siempre que sea posible, utilice encriptación y autenticación de dos o tres factores para el acceso a la red y los datos.

• Realización de una evaluación de proveedores externos o creación de acuerdos de nivel de servicio con terceros: implemente una política de "privilegio mínimo" con respecto a quién y a qué pueden acceder los demás. Acostúmbrese a revisar el uso de credenciales con terceros. Incluso podría ir un paso más allá con un acuerdo de nivel de servicio (SLA), que obliga contractualmente a que los terceros cumplan con las políticas de seguridad de su empresa. Su SLA debe otorgar a su empresa el derecho de auditar el cumplimiento de terceros.

• Copia de seguridad continua de los datos. Esto puede ayudar a protegerse contra el ransomware, que congela los archivos de la computadora hasta que la víctima cumple con las demandas monetarias. La copia de seguridad de los datos puede resultar crítica si sus computadoras o servidores se bloquean porque no tendría que pagar para acceder a sus datos.

• Parchar con frecuencia. Un parche de software es una actualización de código en el software existente. Suelen ser arreglos temporales entre versiones completas de software. Un parche puede corregir un error de software, abordar una nueva vulnerabilidad de seguridad, abordar problemas de estabilidad del software o instalar nuevos controladores.

• Lista blanca de aplicaciones de software. La lista blanca de aplicaciones evitaría que las computadoras instalen software no aprobado. Esto permite a los administradores tener mucho más control.

Seguro Antihacker

Una tendencia emergente es el seguro contra piratas informáticos o ciberseguro. Su alcance varía según los proveedores, pero normalmente protege contra pérdidas y brechas de seguridad. Las aseguradoras normalmente limitan su capacidad a entre $5 millones y $100 millones por cliente. A partir de octubre de 2016, solo el 29 % de las empresas de EE. UU. había adquirido un seguro cibernético. Sin embargo, se estima que el mercado general de seguros cibernéticos será de $ 20 mil millones para 2025, frente a los $ 3,25 mil millones actuales. Las aseguradoras son optimistas y estiman que las primas se triplicarán en los próximos años.

Para que una organización determine cuánto seguro cibernético necesita, debe medir su riesgo cibernético. Debe comprender cómo sus activos se ven afectados por un ciberataque y cómo priorizarlos.

Programas de recompensas por errores

Otra idea nueva en la industria es algo llamado programa de recompensas por errores, en el que una organización paga a personas ajenas ("hackers amigos") para que notifiquen las fallas de seguridad. Empresas que van desde Google y Dropbox hasta AT&T y LinkedIn ya han adoptado esta práctica.

No olvides el componente humano

• Un “problema de TI” se convierte en un problema comercial estratégico. Para muchos directores ejecutivos y directores financieros, la piratería puede ser frustrante porque no entienden al enemigo. Según Richard Anderson, presidente del Instituto de Gestión de Riesgos, "todavía hay muchas personas sentadas a horcajadas sobre empresas más grandes que todavía lo consideran algo que los geeks cuidan, en lugar de ser un problema comercial". Sin embargo, como han demostrado las estadísticas, esto no podría estar más lejos de la realidad.

  Un libro blanco de Deloitte sugiere crear un equipo dedicado a la gestión de amenazas cibernéticas y crear una "cultura consciente de los riesgos cibernéticos". También se recomienda que las organizaciones designen un director de seguridad de la información (CISO). Por ejemplo, ni JPMorgan ni Target tenían CISO cuando fueron violados en 2014 y 2013, respectivamente.

• Vuelta a lo básico: formación de los empleados. Las violaciones de datos son a menudo el resultado de las debilidades psicológicas de los humanos. Por lo tanto, es fundamental educar a sus empleados sobre las señales de advertencia de violaciones de seguridad, prácticas seguras (tener cuidado al abrir archivos adjuntos de correo electrónico, dónde navegan) y cómo responder a una supuesta adquisición.

pensamientos de despedida

Una refutación común a la creciente atención a los peligros de la ciberseguridad es: “¿Entonces qué? ¿Se supone que debemos dejar de innovar por miedo a los ataques?” La respuesta es, no exactamente. Sin embargo, podría ser útil para las empresas ver la ciberseguridad como una cuestión de ética. Es decir, la ciberseguridad no debería ser solo una cuestión de tecnología, sino también de moralidad. Después de todo, ¿es ético crear y vender tecnología que deja vulnerables a los consumidores? Con la cultura de “crecer o morir” de Silicon Valley y, a veces, miope, es probable que esta sea una actitud impopular.

Sin embargo, hay precedentes en otros sectores. Por ejemplo, la Asociación Médica Estadounidense y la Asociación Estadounidense de Abogados requieren que los profesionales sigan sus respectivos códigos éticos. Los médicos deben hacer el juramento hipocrático, uno de los documentos vinculantes más antiguos de la historia, que exige que los médicos se comprometan a proteger a sus pacientes. De manera similar, los abogados siguen un Modelo de Reglas de Conducta Profesional, comprometiéndose a proteger y respetar a sus clientes.

Todos haríamos bien en recordar que aunque la tecnología puede aparecer y desaparecer, el bien y el mal nunca cambian.