La información es un bien o un producto que se puede comercializar y los ciberdelincuentes lo saben.
Puede parecer un mail inocente o un mensaje de texto. Los ciberdelicuentes utilizan la ingeniería social para engañarte. (Foto: iStock)
El hackeo o el robo de información es toda una industria. Los beneficios que obtienen los ciberdelincuentes van desde probarse a sí mismos –su destreza burlando la seguridad tecnológica de empresas y gobiernos– hasta sacar un beneficio económico al vender tus datos o hasta hacer activismo. Te explicamos qué es la seguridad en la red y el porqué debemos invertir en ella.
Recomendamos: Revolución digital, ¿qué futuro nos espera?
Con la llegada de la pandemia del Covid-19 y el uso del internet para mantenernos comunicados se registró un aumento de los ciberataques, como lo han mencionado especialistas del Foro Económico Mundial.
Estiman que en la gran mayoría de los ciberataques, aproximadamente en el 98% de los casos, se implementan métodos de ingeniería social y, de esa forma, todos somos más vulnerables.
Por ejemplo, en México, más de la mitad de las organizaciones fueron víctimas de un ciberataque.
Esto es más que el doble del número de afectados en Brasil (22%), Sudáfrica y Japón (ambos 23%), de acuerdo con un estudio realizado por Sophos, compañía británica de software y hardware de seguridad.
De ahí la importancia de la seguridad en la red, que es un aspecto al que −quizá− no se le da tanta relevancia o la inversión suficiente sobre todo en México, de acuerdo con Leonardo García, desarrollador de apps y columnista sobre temas tecnologías de la información y redes sociales.
Lección No. 1
↓
En el ambiente digital de lo único que somos legítimamente dueños es de decidir con quién, como, cuando y por qué, queremos interactuar.Es su espacio, exíjalo para sí, decida con a quién le dedica su tiempo y su atención. Siempre en libertad y por voluntad.
↑— Leo García (@leogarciamx) August 13, 2021
Recomendamos: Qué es la Deep Web: si decides entrar, te decimos qué precauciones tomar
En entrevista para Tec Review, Leo García, como popularmente le conocen en Twitter y quien desde dicha cuenta se ha dedicado a concientizar sobre lo vulnerables que estamos a los ciberataques, describe la seguridad en la red como hacer uso de las tecnologías y la mensajería privada y, a la vez, no exponer la integridad de tu información personal.
Asimismo, que esta información pueda tener un cierto grado de privacidad en la comunicación y en el flujo de la información, para que no sea expuesta a un ataque malicioso.
“La seguridad en la red abarca el manejo de la identidad, las credenciales de seguridad −como nuestra contraseña−, así herramientas de doble factor de seguridad y la información biométrica, que son datos inherentes a la persona o usuario. Se trata de todos los elementos que pueden hacer más seguro nuestro contacto con el internet de las cosas”, comenta.
En pocas palabras, la inseguridad en la red es esa debilidad o falla que puede ser aprovechada por un actor malintencionado para realizar acciones no autorizadas dentro de un sistema informático.
Te puede interesar: El programa Pegasus burla a los nuevos iPhone
Leo García explica que el hackeo o el robo de información es una industria y, como tal, tiene su mercado negro e incluso gobiernos de algunos países ya se toman tan en serio la seguridad en la red que lo clasifican como parte de la seguridad nacional.
“La información es un bien, es un producto que se puede comercializar y que es muy valioso. Esa es una de las piedras angulares de las tecnologías de la información”, expresa.
Cuando grupos de hackers logran demostrar que vulneraron a un banco o a una empresa, pueden llamar la atención de un gobierno y los reclutan para hacerlos parte de sus cuerpos de inteligencia.
Hay otros casos en los que las empresas se ven obligadas a pagar por la información que les roban para poder operar nuevamente, como fue el caso en Estados Unidos con Colonial Pipeline, el ciberataque a la red de oleoductos más grande de aquel país.
Al final, la empresa reconoció que una brecha de seguridad detuvo sus operaciones y afectó a sus sistemas informáticos.
“No era tanto la información que habían robado del oleoducto, sino qué iban a hacer con la información del oleoducto”, cuestiona el experto.
García explica que existen plataformas que se dedican a comprar fallas en ciberseguridad, como es el caso de Zerodium, creada por expertos en ciberseguridad a fin de crear una comunidad de investigadores en este sector, para brindar esos servicios a empresas.
“Son muchos ojos los que están viendo las fallas en las instituciones y al mismo tiempo se dedican a explorarlas”, dice.
Añade que, en el caso de Pegasus, los creadores se dieron cuenta que pudo surgir por tres fallas de seguridad que tenían los dispositivos de Apple.
El Grupo NSO, con sede en Israel, logró desviar la atención de la comunidad de seguridad cibernética a pesar de estar operando durante más de cinco años, al desarrollar y vender software de vigilancia de teléfonos móviles a gobiernos de todo el mundo.
Fue hasta agosto de 2016 que The Citizen Lab informó la existencia de malware.
“Esta falla en Apple duró entre cinco y seis años y fue explotada por NSO. Apple solo la resolvió a través de actualizaciones”, señala García.
Pero no solo empresas, defensores de derechos humanos o periodistas son vulnerables, todos podemos caer en alguna estafa, engaño o robo de información.
Caemos porque conocen nuestros temores, cosas que nos interesan o con algo que habitualmente solemos hacer, a eso le llaman ingeniería social.
Leo García explica que los usuarios pueden caer en un engaño con el robo de información con herramientas sofisticadas como Pegasus y están hasta las más agresivas que hacen a nombre de los bancos, creyendo que estás entrando a la página de tu banco y la víctima terminan dando toda su información para ser robada.
“No hay nada elaborado. Solo saben qué mensaje correcto mandar para que la gente se enganche y entregue sus datos. Acá el truco es que saben cómo presentarlo para que la gente dé su información”, explica.
El 98% de los ciberataques se basan en la ingeniería social, de acuerdo con expertos de Purple Sec en su más reciente informe de seguridad cibernética 2021.
Además, 43% de los profesionales de tecnologías de la información dijeron que habían sido objeto de esquemas de ingeniería social en el último año.
El mismo estudio menciona que 21% de los empleados actuales o anteriores utilizan la ingeniería social para obtener una ventaja financiera, por venganza, por curiosidad o por diversión.
Añade que los intentos de ingeniería social aumentaron más del 500% entre el primer y el segundo trimestre de 2018.
En el caso de las redes sociales, el experto señala que les damos mucha información.
Por ejemplo, aunque digas que no publiques nada en Facebook, tu información está alojada ahí y vale mucho dinero para ellos, porque la usan para segmentar y con ello vender estratégicamente publicidad para las marcas.
Te puede interesar: ¿Por qué Apple detuvo su software contra el abuso infantil?
El experto en tecnologías de la información dice que los padres deberían comenzar a educar a sus hijos sobre los riesgos a los que se enfrentan, pero aún no hay una conciencia de alfabetización digital.
Leo García señala que el principal riesgo es uno mismo y que como usuario debemos procurar mantener la seguridad de la información de sus dispositivos y en sus cuentas de redes sociales. “Es esencial entender esto”, expresa.
El experto recomienda que al usuario aprovechar los recursos que tiene a la mano, por ejemplo, una buena contraseña.
Además, ahora los mismos sistemas te presionan para que tu password no sea tan fácil de adivinar.
También usar la tecnología de doble factor de seguridad, es decir, que te llegue un mensaje o un correo electrónico para confirmar que seas tú el que está haciendo cierta operación.
García, como experto desarrollador de apps, ve un riesgo en las aplicaciones que están de moda y se vuelven “el juguete del momento”.
Dice, incluso, que los usuarios entregan hasta sus datos biométricos con tal de saber a qué artista se parecen o cómo serían sus hijos. “Esto con mucha frecuencia son un gran factor de riesgo”, dice.
En estos casos, por la información que entregas de las apps, el que tengas una buena contraseña no te mantiene seguro, ya que los ciberdelincuentes apelan al “principio de ingenuidad”: te hacen ver que es un juego inocente y que −aparentemente− no estás haciendo nada raro, pero estás cayendo en su trampa.
“Les estás dando tu información a desconocidos sin necesidad de dar contraseñas. Le abriste la puerta a un juego que pueden hacer cualquier cosa con su información”, dice el especialista.
Te puede interesar: Estos son los riesgos de la nueva actualización de WhatsApp
En México hay en promedio 299 ciberataques cada minuto, mientras que Brasil lidera la región con más de 1,390 intentos de infección por minuto, de acuerdo al estudio Panorama de Amenazas de América Latina 2021 de la firma de ciberseguridad Kaspersky.
Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky para América Latina, afirma que en los ataques a las empresas se explota vulnerabilidades presentes en las tecnologías de acceso remoto o se intentan adivinar las contraseñas para acceder a una máquina o servidor conectado a internet, e ingresar a la red corporativa para robar datos o extorsionar a su víctima.
Y en parte se lo atribuye a que no migraron de manera segura al trabajo remoto con la llegada de la pandemia del Covid-19.
Si se comparan los primeros ocho meses de 2021, con el mismo periodo del año anterior, los expertos de la firma ven un aumento del 78% en ataques de escritorio remoto (Remote Desktop Protocol (RDP), por sus siglas en inglés), que consiste en infecciones que convierten a tu equipo en un zombi, controlado remotamente por ciberdelincuentes.
Entre los países más atacados por este tipo de amenazas están Brasil, con más de cinco millones de intentos de ataque este año, seguido por Colombia con 1.8 millones, México en 1.7 millones, seguido de Chile y Perú.
Leo García asegura que en México tanto el sector público o privado ven la seguridad en la red como un lujo.
Es decir, no invierten en talento permanente para evitar los constantes ciberataques. Muchas veces creen que con un mantenimiento periódico a sus sistemas les va alcanzar para mantener una red segura, pero la realidad no es así.
“Cuando hay ataques a instituciones, la gente suele asociarlo a que no se pagaron las licencias de antivirus, pero la falta de inversión más grave es el recurso humano. No se está invirtiendo especialistas en ciberseguridad”, detalla.
El especialista recuerda lo sucedido con Pemex, que en 2018 fue golpeada por un ataque de ransomware, que tuvo como objetivo entrar a un sistema a través de una vulnerabilidad y realizar actividades que pueden ser de espionaje, robo de información o monitoreo de la actividad del usuario.
“Pemex tuvo un problema con un ransomware. Empezó a tener problemas de distribución porque tenían detenida la plataforma de tecnología con la que operaban”, comenta García.
El especialista sugiere que las empresas tengan perfiles profesionales en ciberseguridad de tiempo completo, para que la información de una institución no se vea comprometida de manera permanente.
La seguridad en la red se convierte en toda una carrera, ya que las fallas informáticas siempre estarán presentes y afuera hay grupos que por ocio o intereses económicos están esperando las vulnerabilidades para sacar provecho.
¿Te gustan nuestros contenidos? Suscríbete gratis a nuestro newsletter personalizado
