"Son necesarios nuevos sistemas de seguridad"
La experta asegura que la invasión de dispositivos electrónicos de consumo aumenta el riesgo en las empresas
Los tiempos cambian. Si hace una década la irrupción de la telefonía móvil empezó a diluir las fronteras físicas de las oficinas, hoy el 3G y el consumo generalizado de dispositivos electrónicos han acabado de dilapidar la imagen clásica del puesto de trabajo. Los empleados escriben en ordenadores portátiles que se llevan a casa, leen los correos en las mismas Blackberry que emplean para conversaciones privadas y acceden al sistema de la empresa desde cualquier ordenador.
Según un estudio de Cisco, casi la mitad de las 500 empresas consultadas reconocen que sus trabajadores han otorgado accesos no autorizados a familiares o amigos, y la mayoría no renuncia a acceder a redes sociales desde su puesto de trabajo. Las brechas de seguridad abiertas por esta nueva realidad son enormes. Los hackers lo saben y se aprovechan de ello.
"El ataque Zeus consiguió propagarse por las redes sociales hasta obtener 10 millones de dólares de un banco en sólo 24 horas introduciendo malware en el ordenador personal del tesorero a través de una web infantil a la que accedió su hijo", cuenta a modo de ejemplo Pilar Santamaría, directora de Desarrollo de Negocio y Ciberseguridad para la región Mediterráneo de Cisco.
El estudio del gigante de las comunicaciones señala también que en el 40% de las compañías los empleados usan aplicaciones que no deberían en sus dispositivos personales, causando pérdidas de información sensible para la empresa. Al mismo tiempo, dado que la invasión de dispositivos de consumo es imparable, la mitad de ellos asegura estar dispuesto a permitir su uso en el próximo año, "por lo que hace falta plantearse nuevos mecanismos de seguridad en el acceso, provisionando y asegurando automáticamente" los aparatos electrónicos susceptibles de interactuar con las redes corporativas.
La seguridad debe plantearse, según esta experta, de manera holística. "Nuestra apuesta son soluciones de seguridad y telemetría global. En este momento filtramos el 30% del tráfico online mundial", afirma Santamaría.
El modus operandi de la lucha contra el cibercrimen también ha cambiado. Es inútil que los antivirus se perfeccionen al ritmo de las innovaciones de los hackers. "Lo importante es la prevención. Nuestros ingenieros elaboran análisis de reputación de las fuentes. Se analiza su origen, si el emisor de tráfico ha estado comprometido, si es muy nuevo, etc. Si su reputación no es alta, directamente no se recibe el archivo".
En cuanto al futuro de las amenazas, Santamaría lo tiene claro: ingeniería social y mezcla de tecnologías. "Cada vez vemos más ataques multivector, que combinan diferentes soportes (mail, web, voz, vídeo) para encontrar fisuras. Intentarán ganarse nuestra confianza con archivos audiovisuales, que acapararán el 90% del tráfico en los próximos dos años".
La delgada línea entre control y libertad
Amenazas. El 55% de los responsables de seguridad de las 500 compañías del mundo consultadas por Cisco considera que los usuarios no autorizados son la principal amenaza a la seguridad corporativa. Las redes sociales (51%) y nuevas aplicaciones (47%) también se identifican como amenaza.Aplicaciones. Más de la mitad admiten que los trabajadores usan aplicaciones no permitidas, en la mayoría de los casos redes sociales (68%).Control. La mitad de los responsables de seguridad están dispuestos a permitir el uso de dispositivos personales en el trabajo, aunque un tercio se han encontrado con fallos de seguridad o pérdida de datos por esta razón.Libertad. Un 71% reconoce que las políticas de seguridad corporativas demasiado estrictas impactan negativamente en la contratación y retención de trabajadores menores de 30 años.
El cibercrimen quiere rentabilidad
El crimen cibernético es un negocio puro y duro. "Nosotros vemos la seguridad desde el punto de vista de los atacantes, que se organizan como empresas. No siempre los fraudes más llamativos son los más rentables. Al revés: suelen serlo los que requieren menos inversión", apunta Santamaría.Cisco ha elaborado una matriz de rentabilidad de los virus. Así, están decayendo los de mensajes instantáneos, los de denegación de servicios y el phishing (obtención de información sensible bajo la apariencia de comunicaciones oficiales de empresas de confianza). "Lo más rentable ahora es impostar cuotas de alta. Se roban pequeñas cantidades de dinero cada vez y requiere muy poca inversión". Este tipo de fraude requiere de ingeniería social (formularios, llamadas no solicitadas, etcétera). Siguiendo en el cuadrante de altos ingresos para poca inversión tenemos el fraude por clics, el farmacéutico y los ataques que se disfrazan de antivirus.Hay también timos lucrativos pero más costosos. "Entre ellos están Stuxnet, que causó el caos en las redes críticas de medio mundo, o Zeus. Las redes sociales, sin embargo, son una incógnita. No sabemos si llegarán o no a convertirse en productos maduros, ya que los hackers de momento no han sabido sacarle demasiado dinero". En cuanto a los sectores más susceptibles de sufrir crimen cibernético, el bancario sigue siendo el rey en términos absolutos. Pero cuidado: el riesgo para la industria química y farmacéutica creció un 543% en el segundo trimestre, mientras que el de la energía (electricidad, gas y petróleo) lo hizo el 446%.