Empleado de Renault, entrando ayer en la fábrica de Douai (Francia), cuya producción está parada por el ciberataque.
Empleado de Renault, entrando ayer en la fábrica de Douai (Francia), cuya producción está parada por el ciberataque.

Hace falta más ciberprevención

Es hora de que las empresas rindan cuentas y los Gobiernos presionen

El parche salió en marzo, lo cual plantea dudas sobre la actitud de las organizaciones

Telefónica, Iberdola, Gas Natural y cientos de otras organizaciones sufrieron un ataque cibernético el viernes. Más de 75.000 ordenadores de casi un centenar de países fueron atacados en este hackeo masivo. Los hackers penetraron en entidades como el sistema nacional de salud británico (NHS), e infiltraron un software llamado WannaCry, desarrollado originalmente por la Agencia de Seguridad Nacional estadounidense como arma cibernética.

El software se extendió rápidamente en forma de “gusano” y encriptó archivos de los ordenadores afectados. Un mensaje en la pantalla exigía un rescate de 300 dólares en bitcoin para liberarlos. Afortunadamente, a diferencia del NHS, los servicios de Telefónica parecen no haberse visto afectados en gran medida. Para cuando el gusano cruzó el Atlántico, las alarmas se habían disparado y las empresas de EE UU estaban más preparadas.

Solo en este año hemos visto más de 20 brechas de seguridad importantes y casi 2.000 millones de documentos robados, desde direcciones de email a detalles completos de cuentas bancarias, según informationisbeautiful.net. Sin embargo, la atención pública parece ser a corto plazo. La mayoría de los usuarios parecen ignorar el impacto en su vida diaria de una filtración de datos. ¿A quién culpar? Pero lo más importante: ¿qué se debe hacer?

Las ciberamenazas, como cualquier otra amenaza, son una combinación de intención y capacidad. Hace unos meses, el mundo vio el mayor ataque DDoS, de denegación de servicio distribuido, del mundo, sobre la compañía de internet Dyn. Servicios como Spotify, Twitter, Paypal yNetflix se vieron afectados. En un ataque DDoS, el autor intenta desactivar el sitio web de una empresa visitando repetidamente el sitio millones de veces por segundo. Este ataque en concreto se atribuye a un individuo enojado con Sony y la red de PlayStation.

Para lanzar el ataque, el individuo compró un software en los oscuros rincones de internet. Lo que otrora requería la habilidad de inteligentes programadores pudo comprarse esta vez por solo 7.500 dólares. Dado que la intención era relativamente no delictiva, a pesar del alcance de los servicios afectados, la amenaza fue bastante limitada. La mayoría de las empresas han aprendido a protegerse de la amenaza más bien leve que supone un ataque DDoS. Pero no siempre es el caso.

En el ataque de ransomware que estamos viendo ahora la intención es claramente ¡robar! A diferencia de un ataque DDoS, que solo desactiva un sitio web, un ataque de ransomware implica que el hacker penetra en la red de la organización, y llega a acceder a los archivos, que luego secuestra y cambia por dinero. Lo primero es más como desfigurar la pared de un negocio con un grafiti para enviar un mensaje, mientras que lo segundo es como allanar y robar. Lógicamente, los ataques de ransomware u otros ataques que implican allanamiento requieren mayor capacidad. Con una intención más seria y una mayor capacidad, la amenaza es claramente más fuerte. Se podría esperar entonces que grandes organizaciones como Telefónica y Gas Natural hubieran prestado atención a sus defensas para frustrar tales amenazas.

Lo interesante del último ataque es que el parche que podría haberlo evitado fue lanzado por Microsoft en marzo, cuando la brecha se detectó por primera vez. Esto plantea la pertinente cuestión de por qué estas empresas no han actualizado sus sistemas con el parche. Los parches son gratuitos y Microsoft recomienda encarecidamente su actualización. ¿No aplicaron proactivamente el parche grandes empresas con enormes presupuestos de TI?

En algunos países, cada seis meses los dueños de coches deben certificar que no son contaminantes. La mayoría de los automóviles no pasan drásticamente de máquinas no contaminantes a trampas mortales móviles en seis meses. Sin embargo, cada seis meses nos aseguramos de que nuestros coches no han cruzado los límites, ni siquiera por unos pocos puntos porcentuales. Por otro lado, en cuestión de unas pocas horas hemos visto sistemas de TI pasar de “funcionar bien” a “perdón por haber perdido todos sus datos”. ¿Cómo puede ser que los sistemas de TI no sean auditados cada seis meses?

Es comprensible que si estas amenazas fueran débiles, no merecerían inversiones en una política de seguridad estricta. Sin embargo, con los recientes ataques queda claro que las amenazas no son leves. La intención no es solo avergonzar a una organización, sino más bien mantenerla como rehén. La capacidad desplegada no es obra de aficionados ni se ha vendido en el mercado gris online, sino más bien ciberarmas fuera de lugar desarrolladas por organizaciones gubernamentales internacionales.

Es hora de que las empresas rindan cuentas, de que la prensa no olvide fácilmente y de que los Gobiernos ejerzan cierta presión sobre las organizaciones para que inviertan tiempo, esfuerzo y dinero en garantizar que los datos de los usuarios están seguros.

Kiron Ravindran es profesor de Sistemas de Información en IE Business School.

Normas
Entra en EL PAÍS