El proceso de aprendizaje del ser humano se basa, en esencia, de aprender de los errores. Errores que son usualmente dolorosos. La tecnología no escapa de esta realidad, y en particular los ataques a sistemas informáticos, tan viejos como la necesidad del ser humano de descifrar el funcionamiento de estos equipos.
Hoy en día vivimos una pugna entre los promotores de la tecnología (gobierno, sistema educativo, sector privado) y los atacantes de sistemas informáticos. Los primeros quieren masificar el uso de la tecnología con objetivos sociales como la democratización del acceso a la información o la mejora de los servicios al ciudadano. Los otros buscan capitalizar de este crecimiento con fines criminales.
Sí, criminales. Nada de «cybercrimen» — es una amenaza real. Está aquí, está ahora. Prácticamente la totalidad de los ataques informáticos tienen un objetivo criminal, usualmente obtener beneficios financieros de forma ilegal a costa de terceros, en este caso, los usuarios. Atrás quedaron los estereotipos a los que estamos condicionados, como el rebelde idealista o el joven ávido de conocimientos en el garaje de su casa atacando a los sistemas del Gobierno por simple realización personal *.
¿Sabía usted, por ejemplo, que en Rumanía existe un pueblo, a 3 horas de la capital, cuya economía y sociedad se sustentan, básicamente, de delitos informáticos?
El sector privado, en primera instancia, y cada vez con mayor impulso el sector público y la Academia se han interesado por este fenómeno. Por ejemplo, en Ecuador no escapa a la realidad social que la Asociación de Bancos Privados está realizando una campaña acelerada para concientizar a sus clientes con respecto a la seguridad de la información, con motivo de recientes disposiciones judiciales que establecen, incluso, la obligación de reembolsar algunos de los fondos robados por terceros.
Al mismo tiempo, en Ecuador surgen iniciativas desde la Fiscalía General de la República, la Universidad Técnica Particular de Loja, empresas como Microsoft, Kaspersky o Inforc e inclusive comunidades de usuarios organizados en redes sociales como Twitter que ya están sumando esfuerzos en esta pugna.
Y es que, como en cualquier otra actividad criminal, los «buenos» y los «malos» están constantemente luchando por «llegar primero», es decir, conseguir las debilidades en sistemas, procesos o personas que permitan maximizar el retorno en la inversión y justificar el riesgo que estos criminales están tomando. Términos que pueden sonar muy avanzados para un criminal de poca monta, pero que están 100% al día entre los grupos organizados que operan en América Latina, Europa del Este y muchas otras regiones.
Además de una serie de medidas tecnológicas básicas que los usuarios deberían estar tomando hoy en día (ver los recursos al final del post) y que están relacionadas con la seguridad en sus navegadores Web, cortafuegos, antimalware, actualizaciones de seguridad, control de la privacidad y otras buenas prácticas, es importante entender la dimensión no tecnológica del problema.
Al igual que con el crimen común, existen factores de riesgo. Autores citan, por ejemplo, que las personas que viven en barrios marginados por el narcotráfico están en mayor riesgo de criminalidad. De igual forma, en Internet, hay usuarios más expuestos que otros. Y es importante entender que, dentro de la visión de «optimizar» el crimen, un blanco menos riesgoso y más accesible significa más dólares en menos tiempo.
Y esto aplica tanto para los crímenes que se llevan a cabo sin violencia física, como el phishing o la suplantación de identidad, como los que pueden tener consecuencias muy graves, aunque se hagan por Internet, como un secuestro express o una extorsión.
Recientemente, Microsoft presentó una infografía basada en datos de comScore donde se muestra como América Latina coquetea con América del Norte en el primer lugar de penetración de redes sociales, con un 97.5% (imagen de arriba, dar click para ampliar).
Y es que el uso irresponsable de la tecnología, puede tener consecuencias imprevisibles, pero catastróficas, desde una perspectiva de seguridad informática. Ya está trillado el ejemplo del usuario que, sin percatarse, está transmitiendo a las redes sociales su llegada y salida de, por ejemplo, instituciones financieras, o su rutina diaria, que lo exponen a amenazas más reales y más serias que un simple robo No se necesita ni siquiera participar de estas redes, haga la prueba con Twitter o con Google.
Y hay más factores que influencian a estas redes criminales, por ejemplo, qué tan popular es una tecnología (participación de mercado) pues una tecnología más popular o que está de moda representa un mayor retorno de inversión para el atacante. Los usuarios de Apple o Android podrán certificarlo: tan pronto como sus plataformas se hicieron lo suficientemente dominantes, explotaron las vulnerabilidades y ataques para ellas.
¿Qué hacer? Recursos para aprovechar ahora
Cuando introduces el elemento crimen en la discusión, muchas personas reaccionan negativamente. Ellos piensan que si tener un smartphone caro es ponerse en riesgo en la vida real, entonces en Internet ciertas actividades los pondrán en riesgo, como por ejemplo las compras en Internet.
Ecuador y la región Andina están pasando por un proceso de aprendizaje en el que debemos reconocer los errores, aunque dolorosos, y corregirlos. Son situaciones por las que ya han pasado (y superado, con distintos niveles de efectividad) países de la región como Argentina, Brasil, México o Venezuela, y que persisten en el Mundo entero.
Y mi respuesta es: sí, existen las amenazas y los riesgos. Pero no ganamos cuando los evadimos, sino cuando estamos conscientes de ellos y los superamos. Así que si usted, lector, puede aprovechar estos recursos para disciplinarse en seguridad de la información y mejorar su día a día con la tecnología, participar en redes sociales, hacer compras por Internet o acceder a la información que necesita, entonces usted habrá ganado.
Si usa Windows, hay una guía sencilla que publicó el Banco Bolivariano, quien también la distribuyó en CD a varios de sus clientes. Para usuarios de Windows y Mac, la NSA publicó una cartilla en inglés. En el caso de usuarios de Linux, a pesar de que no existe mucho contenido, una buena guía en castellano está disponible en sitio de CICA y debería consultar con los desarrolladores de su distribución para una guía en profundidad, como la de Fedora. Finalmente, encontrará consejos generales en un video explicativo en castellano del CSIRT de Banelco.
* Nota: con esto no quiero minimizar la existencia de otros motivos para ataques informáticos, como por ejemplo las «cyberguerras», el espionaje industrial y otros ataques corporativos, e incluso algunos tipos de protestas sociales como los protagonizados recientemente por los grupos locales autodenominados bajo el nombre Anonymous
Imagen superior: Herald Sun.
2 comentarios
Para profundizar…
http://www.darkreading.com/advanced-threats/167901091/security/vulnerabilities/229500807/cybercriminals-target-online-banking-culture-in-latin-america.html
http://www.virusbtn.com/conference/vb2011/abstracts/Assolini.xml
😀 y asi fue como Instagram se uso para secuestrar gente xD, BTW siempre dejo un breach abierto de ves en cuando :3 es divertido jugar un rato a que intenten suplantar tu identidad y despues hacer una caceria.