Cambiar la cultura laboral en torno a la seguridad en Internet es tan importante como tener antivirus, dice experto

4min 2
Nº1921 - al de Junio de 2017

Es un click. Un archivo ejecutable adjunto a un e-mail que no necesariamente promete una fortuna de un tío nigeriano que nunca conocimos. Hoy los ataques cibernéticos poseen un grado de sofisticación acorde con el negocio mundial que implican: el FBI estima que ese tipo de crímenes recaudaron más de U$S 1.000 millones en 2016 y que esa cifra crecerá este año.

Ahora tampoco se reduce a obtener datos de una computadora, archivos de una empresa o fotos comprometedoras. El “Internet de las cosas”, un concepto que se extiende rápidamente por el mundo, permite conectar casi cualquier objeto a la red. Esa posibilidad, que trae una serie de comodidades en la vida diaria (programar cuándo levantar las persianas, que la heladera alerte de la comida que falta, luces inteligentes) también conlleva nuevos riesgos y vulnerabilidades donde los cibercriminales pueden atacar.

Por ejemplo, podría ocurrir que una persona llegue a su casa y que la puerta, que cuenta con un dispositivo de apertura electrónico, esté sellada: a cambio de dejarla entrar en su hogar, criminales le exigen un depósito de moneda electrónica (bitcoins) en una cuenta anónima.

Estas situaciones no están tan lejos de la vida real y para los expertos en seguridad son temas que deberían empezar a “permear” en la cultura social, incluso a base de regulaciones estatales que exijan determinados parámetros de protección.

Hace algunas semanas, el virus Wanna Cry del tipo ransomware (que bloquea las computadores “secuestrando” todos los datos del dispositivo y exige un pago en bitcoins para su “liberación”) se propagó con una velocidad vertiginosa por casi todo el planeta, afectando a más de 100 países y 300.000 dispositivos. Afectó a compañías como Telefónica o el servicio de Salud Pública del Reino Unido, donde hospitales enteros tuvieron que paralizar su actividad.

En Uruguay el virus pasó sin pena ni gloria, con apenas una decena de computadoras afectadas, según informó a la prensa Santiago Paz, director del Centro de Respuesta a Incidentes de Seguridad Informática de Uruguay (CERTuy).

Sin embargo, el hecho de que no haya afectado seriamente a Uruguay no significa que el país esté protegido, explicaron especialistas consultados por Búsqueda.

Para Reynaldo de la Fuente, socio de la empresa de seguridad informática Datasec y docente de la Universidad Católica en seguridad de la información, si bien Uruguay está “mejor posicionado” que otros países de la región, lo cierto es que “no está bien” en términos de prevención ante posibles ataques cibernéticos.

“Wanna Cry no nos pasó porque se orientó hacia otro lado, no porque estuviésemos preparados. Hoy las empresas uruguayas son víctimas de otros ransomwares”, dijo a Búsqueda.

De la Fuente señaló que el país “viene trabajando bien” en el tema, pero que “aún falta mucho” y que los cambios “importantes” deberían venir por el lado de la regulación estatal y el cambio cultural sobre los peligros de estos ataques.

“Una parte importante del problema de ciberseguridad son las personas. Alguien hizo click. Por eso son importantes las charlas y la capacitación al respecto. Nosotros las hemos hecho en empresas y organismos públicos. Es ahí cuando te sorprendes porque hay aspectos muy básicos que no se le explican a la gente”, agregó.

“En la mayoría de las empresas cuando entrás te dicen: tenés que tener una contraseña, pero nadie te explica por qué y para qué. Por qué tiene que ser segura, robusta, por qué la tengo que cambiar periódicamente, que no la puedo meter en cualquier lado, que no puede ser el nombre de mi mascota. No se puede culpar al funcionario si nadie le informó o le dio una noción básica de esos riesgos”, sostuvo.

“Esa cultura laboral es la que debe cambiar. Es tan importante como invertir miles de dólares en antivirus”, insistió.

Para el especialista, otro aspecto importante es la regulación que el Estado elabore al respecto: “Es como el tema del cinturón de seguridad. Estas cosas las tenés que imponer, porque no lo va a imponer el mercado en corto plazo”.

En ese sentido, señaló que con el modelo de Internet de las cosas y en la medida en que la transformación digital y la tecnología “se vuelve cada vez más masiva” en la vida de las personas, se van a “ver escenarios de ataques con otro grado de invasión y gravedad”.

“Hasta ahora uno tiene un ransomware que te puede secuestrar tus datos, pero mañana, en un futuro no muy lejano, te pueden secuestrar el auto, que no arranca hasta que no pagues, te pueden secuestrar la heladera, el marcapasos”, dijo.

Por ello entiende que también se les debe exigir a los fabricantes de software “estándares de seguridad”.

Este tipo de acciones ayudarían a evitar ataques masivos, pero para De la Fuente también es necesario un “cambio cultural” donde la gente “internalice la importancia de que tiene que estar prevenido”.

“Hace años, si vos subías al auto de un amigo y te ponías el cinturón tu amigo pensaba que desconfiabas de cómo manejaba; hoy se entiende que es lo correcto. Lo mismo pasa con las buenas prácticas de seguridad. Hay que reconocer que estos controles son valiosos para todos, son importantes. Tenemos que hacer ese click cultural como sociedad”, sostuvo.

Prevención y conciencia.

Charles Ware, líder de seguridad para Sudamérica de IBM, dijo a Búsqueda que estos ataques “muchas veces pueden evitarse” con una prevención “adecuada”.

“Wanna Cry identificó una vulnerabilidad en los sistemas de Microsoft. IBM sacó un parche para sus clientes para evitar que esa vulnerabilidad sea explotada”, dijo Ware.

“El tema es que uno pide, pero no todos lo hacen. En el mundo empresarial instalar un parche en servidores lleva tiempo y planificación”, agregó.

Desde IBM también entienden que la capacitación dentro de las empresas es “vital” para estar mejor protegidos. De hecho, la compañía ya viene desarrollando este tipo de charlas y talleres en varias empresas.

“Se debe mostrar la importancia de estar preparados, ha crecido la concientización de la gente sobre la importancia de estos actos. Hay que sacarse de la cabeza la idea de que uno no tiene información importante. El ataque al dispositivo tampoco tiene idea de qué datos hay, pero saben que son valiosos para ese usuario”, dijo el experto.

“IBM está ayudando a sus clientes a tener actualizados todos los dispositivos, no solo una computadora sino también todo lo relacionado con el Internet de las cosas”, explicó.

Regístrate sin costo, recibe notas de regalo.