La ciberseguridad es el conjunto de acciones encaminadas a la protección de la información almacenada en ficheros de datos o archivos digitales. Debido a la vorágine tecnológica actual, la ciberseguridad se ha convertido en un tema toral para las empresas privadas e instituciones públicas en general, ya que han emergido últimamente cantidades de acciones enfocadas en afectar a dichas organizaciones por motivos económicos, políticos, sociales, entre otros. El Phishing, Pharming, Texting; el Ransomware, Virus, Gusanos informáticos, entre otros, son ejemplos de amenazas que rondan a las personas naturales y/o jurídicas, lo cual se debe a que gran parte de la población mundial tiene acceso a Internet y hace uso de él a través de los medios digitales o electrónicos que existen en el mercado, es decir “navegan o se mantienen en el ciberespacio”. En la actualidad, vivimos en la sociedad de la información, donde la tecnología, de forma holística, ha hecho de nuestro mundo un sitio más pequeño e interconectado. Es decir, solo basta tener acceso a internet y el dispositivo tecnológico (smartphone, tablet, laptop), para obtener información mediante cualquier motor de búsqueda o en redes sociales, etcétera.
Según el sitio web we are social, en enero del año 2018, la población humana en el planeta Tierra ascendía a 7.593 billones de personas, con una penetración de Internet de 53 % (4.021 billones); y los usuarios de teléfonos móviles o personas naturales que poseen un teléfono móvil, era el 68 % (5.135 billones). Según la misma fuente, los teléfonos inteligentes o smartphones son la alternativa mundial preferida por la población para conectarse a Internet, por ende, 52 % de la población que posee smartphones se conecta a través de ellos; el 43 % prefiere usar laptops o desktops; 4 % utiliza tablets y un 0.14 % utiliza otros aparatos para conectarse a Internet.
Figura 1. Imagen referencial sobre ciberseguridad.
En este devenir tecnológico, la información personal o los datos personales tanto de los usuarios de redes sociales como de clientes de una empresa es almacenada en ficheros de datos, los cuales deben disponer de los adecuados sistemas de seguridad para protegerlos de ataques cibernéticos realizados por los denominados “crackers”. Es decir, el avance tecnológico de alguna u otra manera es relativo al desarrollo de la cibercriminalidad.
Desde el punto de vista comercial, la actividad empresarial y la competitividad se pueden ver afectadas debido a las mencionadas variables. Actualmente, el tráfico de información es de índices incalculables a nivel de personas naturales y de empresas, quienes utilizan canales de comunicación como correos electrónicos, redes sociales, aplicaciones, blogs, entre otros, para ofertar o vender bienes o servicios; o bien, por razones familiares, laborales, sociales, etcétera. Esto crea ventanas o canales de comunicación con empresas o personas naturales que, en muchos casos, pueden ser aprovechados por los cibercriminales.
Igualmente, el tema de la ciberseguridad está relacionado con la Ingeniería Social. Esta puede ser conceptualizada como la obtención de información personal ajena a través de métodos que inducen al titular de dicha información o a quien la maneja, a otorgarla a la persona (ingeniero social) que la solicita, desconociendo que, por tal razón, se realizarán actos ilícitos en perjuicio del titular. Es una forma de engaño o estafa cuyo fin es lesionar el patrimonio u honor de las personas. Se relaciona con el tema debido a que, desde un punto de vista teleológico, la obtención de los datos personales es el objetivo prístino del ingeniero social y, en el caso de las empresas comerciales, esos datos se almacenan en los mencionados ficheros que, por la seguridad de los clientes y de la reputación de la organización, deben ostentar sistemas de seguridad adecuados y probados. Verbigacia: el phishing y el spear phishing se basan en tácticas de ingeniería social, porque en ellos converge un conjunto de acciones que buscan identificar las debilidades o vulnerabilidades que el titular de los datos personales tiene en el manejo de su información personal, para luego usurpar su identidad y, por ende, afectar su patrimonio. Podemos caracterizar estas debilidades como vulnerabilidades que existen tanto en los sistemas informáticos como en el manejo de la información.
Los ejemplos mencionados pueden representar, para cualquier organización, un evento disruptivo que afecte la “Continuidad del Negocio” y, en consecuencia, ocasione serios problemas a la compañía, sobre todo, en su reputación. Todo por no poseer los sistemas de seguridad informáticos requeridos o un adecuado Plan de Continuidad de Negocio o de Gestión de Riesgos de Seguridad de la Información, como el estándar ISO 27001. Verbigracia: para proteger nuestra empresa del riesgo de fuga de la información, se pueden establecer ciertas salvaguardas como el cifrado de datos, políticas de confidencialidad contractual con los colaboradores de la empresa, prohibiciones de uso de USB, entre otros. Asimismo, en el caso de amenazas relacionadas con ataques informáticos, se pueden instalar los adecuados antimalware y antivirus en los servidores y en cada equipo, además de actualizarlos con cierta periodicidad, capacitaciones al personal, entre otras acciones.
Supongamos que una empresa es víctima de ataque mediante Ransomware, y por ello debe pagar una cantidad de bitcoins al o a los crackers que secuestraron la información, la cual es un activo crítico de la empresa. En este ejemplo, amén del pago en criptomonedas, tenemos una situación que causó o puede causar una interrupción en el servicio que la compañía brinda. La empresa, a priori, debió plantearse dicha situación o incidente mediante un debido Plan de Continuidad de Negocio y/o de Gestión de Riesgos de Seguridad de la Información para establecer los mecanismos o salvaguardas que redujesen el impacto que dicho incidente pudiese causar, y que ayudasen a reanudar las operaciones en el tiempo mínimo aceptable, para luego seguir operando con normalidad a pesar del incidente. Para ello, también se tuvo que plantear el RTO o Recovery Time Objective (Tiempo de Recuperación Objetivo), mediante el cual se determina el tiempo en que la organización puede recuperarse luego de un incidente, el cual puede variar dependiendo del tipo de empresa.
Según el sitio web de la empresa que brinda servicios de seguridad informática llamada Kaspersky Lab, se determinó que en el año 2015 los focos (víctimas) de los denominados crackers o delincuentes informáticos, también conocidos como Black Hat Hackers o Hackers de Sombrero Negro, fueron grandes empresas corporativas dentro las cuales hay bancos, fondos de inversión, empresas farmacéuticas, etcétera. La misma empresa explicó en su sitio web: “El futuro ciberpanorama para los negocios incluye un nuevo vector de ataque: la infraestructura, ya que casi la totalidad de los datos valiosos de una organización se almacena en los servidores de los centros de datos (…)”.
En temas de Continuidad de Negocio, el control y análisis de los riesgos es toral. Es por ello que primeramente debemos conocer los activos críticos de la organización, es decir, aquellos que son vitales para el funcionamiento de la empresa, sin los cuales no podría seguir operando y donde el riesgo debe ser siempre tomado en cuenta; e.g. Los bancos no pueden darse el lujo de interrumpir su sistema informático, porque registran y procesan básicamente todas sus transacciones bancarias a través del mismo. Ante una amenaza que pueda causar la interrupción del sistema por un ataque informático, este deberá tener los cortafuegos, antivirus, antimalware, sistemas de seguridad, entre otros, adecuados y actualizados como salvaguardas ante el eventual ataque informático.
Otros actos que involucran técnicas de ingeniería social son el vishing, que según el sitio web Mailfence.com, consiste en estafas realizadas por medio de teléfonos; y el pretexting, que según el sitio web RedSeguridad, tiene cierta conexidad con el vishing porque consiste en “(…) realizar una labor de recopilación de información suficiente antes de llamar al servicio de atención al cliente correspondiente (nombre y apellidos, domicilio, DNI, número de teléfono, etc.) para obtener aquellos datos personales que hagan creer al teleoperador que está hablando con el titular del servicio en cuestión. De ese modo, aprovechándose de la falta de concienciación y de los fallos en los procesos de seguridad en los trámites telefónicos, conseguirán aquello que están buscando”.
En este contexto, surge la puesta en marcha del estándar propio de los Sistemas de Seguridad de la Información antes mencionado, que es la ISO 27001, la cual según el sitio web advisera.com es “una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. (…). Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001”.
Por ello, la ISO 27001, así como la norma ISO 22301, sin perjuicio de la ISO 31000, son básicas para la Gestión de Riesgos y la Continuidad de Negocio porque evalúan los problemas o incidentes potenciales que podrían afectar los sistemas de seguridad de la información dentro de la empresa, y garantizan que la empresa, a pesar del incidente, pueda seguir funcionando en un tiempo de recuperación objetivo. Por ello, en organizaciones como los bancos, empresas financieras, empresas del sector salud y organismos públicos o privados en general, son necesarios, básicos y fundamentales los planes de Continuidad de Negocio, de Control de Riesgos y de Protección de Sistemas de Seguridad de la Información.
Autor: Leónidas Salvador Tapia Sánchez. Docente del Máster en Seguridad de la Información y Continuidad de Negocio (Ciberseguridad) de EADIC.