En un mundo donde la tecnología avanza a pasos agigantados, la ciberseguridad se ha convertido en un pilar fundamental para la protección de datos y la integridad de las empresas. En esta publicación, exploraremos la evolución de la ciberseguridad en el ámbito empresarial, basándonos en la ponencia de Oscar Lugo, un experto con más de dos décadas de experiencia en la industria de TI, durante una de las Charlas MAU en la Escuela de Negocios de Millennia Atlantic University.
La Evolución de la Ciberseguridad en el Mundo Empresarial: Una Perspectiva Integral
El Origen y la Evolución de la Ciberseguridad
Los Primeros Pasos
La historia de la ciberseguridad comienza en 1971 con el surgimiento del primer virus, un programa capaz de replicarse sin interacción del usuario. Esta fue la primera señal de que era posible ejecutar código de manera remota en otros sistemas. En 1983, el término “virus informático” se acuñó, marcando el inicio de una era donde la seguridad informática se convertiría en una preocupación creciente.
El Auge de los Virus y los Ataques Cibernéticos
En 1988, el mundo conoció el primer gusano, el Morris Worm, un programa compuesto de varias partes que se ensamblaban para ejecutar un código dañino. Este evento fue seguido por una serie de virus notorios como Melissa en 1999 y el destructivo ILOVEYOU en 2003, afectando a millones de usuarios a nivel mundial.
La Era de la Ingeniería Social
Kevin Mitnick, el primer hacker famoso en los Estados Unidos, demostró que la ingeniería social es una herramienta poderosa en manos de los hackers. Su habilidad para extraer información sin necesidad de una computadora marcó un hito en la historia de la ciberseguridad.
La Ciberseguridad en el Mundo Empresarial
El Impacto Financiero de los Ataques Cibernéticos
Los ataques cibernéticos no solo representan una amenaza para la seguridad de la información, sino también un enorme costo financiero para las empresas. Se estima que el cibercrimen costará 8 trillones de dólares en 2023, con un promedio de 4.35 millones de dólares por cada brecha de seguridad en grandes empresas.
Casos Emblemáticos
Target en 2013: Un ataque cibernético a través de un proveedor terciarizado llevó a una brecha masiva de datos, resultando en una demanda de más de 400 millones de dólares.
El Ataque al Pipeline en 2020-2021: Un ataque de ransomware que afectó el suministro de gasolina en Estados Unidos, demostrando la vulnerabilidad de infraestructuras críticas.
La Importancia de la Prevención y la Respuesta
Las empresas ahora deben diseñar sus infraestructuras de seguridad en capas, como una cebolla, integrando tecnologías avanzadas como los Next Generation Firewalls y equipos de respuesta a incidentes. La implementación de parches, actualizaciones y la adopción de prácticas como la autenticación multifactorial son esenciales para mitigar riesgos.
Tecnologías Emergentes y el Futuro de la Ciberseguridad
La Inteligencia Artificial y los Dispositivos IoT
La inteligencia artificial ha revolucionado la ciberseguridad, permitiendo un análisis masivo y rápido de datos para identificar amenazas. Por otro lado, los dispositivos IoT (Internet of Things) como Alexa o Ring, aunque útiles, representan un nuevo desafío en seguridad, requiriendo redes separadas para minimizar riesgos.
Regulaciones y Estándares
La implementación de regulaciones como HIPAA y la norma ISO 27001, junto con estándares de protección de datos, son fundamentales para garantizar la seguridad y la responsabilidad empresarial.
La Importancia de la Conciencia y la Preparación
El futuro de la ciberseguridad empresarial se centra en la implementación intensiva de la inteligencia artificial y el mantenimiento de normas y procedimientos estrictos. Sin embargo, el elemento más crucial sigue siendo el factor humano: la conciencia y preparación de los profesionales de ciberseguridad. Como señala Oscar Lugo, “los administradores flojos pagan caro”. La meticulosidad y sistematización en la aplicación de parches y actualizaciones son vitales para prevenir ataques y proteger los activos más valiosos de una empresa: sus datos.
Este artículo es solo un resumen de la rica y detallada ponencia de Oscar Lugo. La ciberseguridad es un campo en constante evolución, y mantenerse informado y preparado es esencial para cualquier empresa en el mundo digital de hoy.
Transcripción
“Bueno, bienvenidos. Quería darles las gracias a Millennia Atlantic University por la oportunidad y la presentación. Se trata acerca de la ciberseguridad en la empresa, es decir, cómo asegurar tus datos. ¿Qué es lo más importante? Tus datos, que son sensibles dependiendo de la naturaleza del negocio. Entonces, la ciberseguridad nos habla un poco de cómo esta tecnología se ha convertido en una parte esencial de nuestras vidas, porque todos vivimos con seguridad.
Ahora, cada vez que vas al banco y haces una transacción, el banco te pide, por favor, que des tus huellas, que envíes un texto con un número que te acaban de mandar. Parte de lo que vamos a ver es que la ciberseguridad, si está bien implementada, tiene que ver no solo con los hackers, los nerds como yo que hacemos todo el desastre con los firewalls y todo lo demás, sino también con educar al usuario final, porque el usuario final, sin saberlo, tiene mucho poder en sus manos.
Porque una clave de usuario final que se pierda o que se exponga, o que pueda ser hackeada, es por donde empiezan los problemas. Se estima que el cibercrimen costará 8 trillones de dólares en 2023. Eso es más o menos lo que se estima que los actores maliciosos podrán capitalizar solo en 2020. Tres en cibercrimen, 4.35 millones de dólares es lo que le cuesta a una gran empresa un ‘breach’.
Es decir, cuando son atacados y vulnerados, eso no significa que gasten 4 millones en equipos y en profesionales, sino que más o menos es el costo total de lo que implica perder negocio u operaciones, el pago de personal, todo ese tipo de cosas, en promedio. Estamos hablando de empresas de más de 10,000 usuarios.
Por ahí es 4.35 millones y 277 días hábiles. Esto es más o menos un año y medio. Es lo que tarda en contener ese ataque al 100% y se estima que 33 millones de registros van a ser robados este año. El año pasado fueron 27 millones. Se estima que este año serán 33 billones, o 33 mil millones de registros, para que las empresas puedan contrarrestar esto.
Lo primero que empezaron a hacer fue implementar Siri Security Insurance, es decir, una póliza de seguro contra estos ataques y episodios. Pero, ¿qué pasa? Se volvieron tan comunes que las compañías de seguros empezaron a exigir a las empresas que hicieran ciertas cosas para, bueno, no terminar pagando 8 trillones de dólares al año. En 1971, surge el primer virus. ¿Cierto?
Este virus fue un programa que, en aquel momento de forma rudimentaria, pudo multiplicarse sin interacción del usuario. Eso fue el primer virus y la primera vez que se dieron cuenta de la posibilidad de ejecutar código de manera remota en otros sistemas. En 1983, se dan cuenta de que hay mucha gente jugando con eso, es decir, se está expandiendo como un virus.
Entonces, acuñan el término ‘virus informático’. En 1988, descubren el primer gusano, el Morris Worm. Un gusano es un programa compuesto de varias partes, que se ensamblan para ejecutar un código y realizar una acción, en este caso, una acción dañina porque trata de vulnerar el sistema.
Lo innovador de esto fue que los módulos o el código estaban descentralizados. Entonces, la primera vez que se dan cuenta de que pueden centralizar ataques desde varios sitios, es en los principios de los 90. Ahí es donde empiezan todos esos virus que descargaban películas, fotos, canciones, etc., y de repente, al abrirlos, aparecía un montón de pop-ups y la computadora se bloqueaba. ¿Qué pasa entonces?
Son virus. Esos macro polimorfismos, porque se llaman virus de macro, son los que ejecutan, por ejemplo, pequeñas rutinas como los macros de Excel, pero lo hacen en el sistema operativo Windows, en el DOS. Y lo polimorfo son virus que se camuflan, cambiando los últimos o primeros bits de cada uno de esos programas, como ocurrió en 1999 y 2000.
Este virus, Melissa, es un virus que, por lo tanto, menciono aquí porque fue el primer virus de distribución masiva. En la pantalla de la computadora aparecía como una muñequita, y cuando la activabas, la computadora se ‘moría’. Fue el primero en hacer eso. Y en 2003 llega el que destruyó a todo el mundo, el famoso virus ILOVEYOU. Te llegaba un correo con el asunto ‘ILOVEYOU’ y, al ejecutar el programa adjunto, adiós.
Ese virus afectó a más de 40 millones de personas a nivel mundial. Kevin Mitnick fue el primer hacker famoso en los Estados Unidos, y demostró que para extraer información de un sistema informático remoto, no necesitas una computadora. Veamos lo que hizo Kevin Mitnick. Todos aquí nos acordamos, bueno, Maxi, quizás tú no, pero el celular era el Motorola.
Él hizo clic en ‘start’ y se robó los planos de ese teléfono. Lo que hizo fue buscar en la basura del edificio de Motorola, se robó una guía telefónica y, sentado en su casa, llamó al jefe de Andy. Resulta que cuando llamó, le atendió una empleada temporal, y ella terminó subiéndole los planos.
Ella, desde su computadora en Motorola, subió los planos a un servidor FTP de forma anónima y se robó los planos. Claro, después la NSA lo capturó y lo encarceló por 15 años, pero demostró que realizó el robo más grande de ese momento sin tocar una sola tecla.
Por eso, la ingeniería social es la herramienta más poderosa que tienen los hackers. Pasamos del virus ILOVEYOU al 2007, a los primeros ataques de ransomware. Ahora vamos a los más nuevos, que son un poco más complejos. El Conficker fue el primero en usar esa modalidad de ataque, donde encriptaba tus archivos y, al despertar, te encontrabas con un candado en ellos. ¿Qué pasó aquí?
Era un ransomware muy rudimentario. Cuando lograron romper la clave, se acabó el Conficker, porque todo el mundo podía desencriptar sus archivos y eliminar el virus. Otro importante fue Stuxnet, un gusano que infectó una planta nuclear en Estados Unidos.
Ello era un programa de automatización industrial que se convirtió en un virus, poniendo en peligro varios reactores nucleares alrededor del mundo. Bueno, el otro caso que les estaba mencionando es el de 2013, el primer PPP, que involucra a Target. En este caso, Target tenía un proveedor terciarizado, la empresa Terra F, que les hacía servicio a los aires acondicionados y tenía Avast antivirus free. Target les mandaba las órdenes de servicio y, con estas, códigos para ingresar a la red de Target para que pudieran hacer los informes del servicio si se conectaban con la red de Turquía.
¿Qué pasa? Los hackers hackearon a Z F, se introdujeron ahí y, a través de esa conexión remota, ingresaron en Target. Ok, entonces se quedaron tranquilos en Target, aprendiendo, observando cómo hacía negocio Target, cuál era su infraestructura. Y un día lograron acceder a una de las claves de uno de los administradores de red de Target, porque el tipo tenía más de 160 días sin cambiar su clave.
Entonces empezaron a hacerle boot fuerza. La clave Bradford significa fuerza bruta, donde empiezan con un ataque. Imagínense un archivo gigante con un montón de posibilidades calculadas por una computadora y empiezan a probar una y otra vez, hasta que la clave cede. Y con esa clave de administrador empezaron a atacar sistemáticamente todos los servidores donde Target almacenaba los datos de tarjetas de crédito.
Toda esa información la hackearon y le dijeron a Target: “Tenemos todo esto, ¿qué vamos a hacer?”. Entonces, Target, como suele pasar, se quedó callado, no le dijo nada a nadie y contrató a otra empresa de seguridad informática diciendo: “Mira, tenemos este problema, ¿qué podemos hacer?”. La empresa les dijo: “Ah, tranquilo, no pasa nada, compra Symantec. Con eso destruyes todo”. Y en efecto, Norton eliminó un poco del código malicioso que habían puesto en los servidores y los tipos dijeron: “Ya está listo”. Pero uno de los analistas dijo: “Mira, yo no creo que esté listo. Voy a dejar un informe sobre lo que creo que se debe hacer más adelante”. La gente de la empresa le dijo: “Este tipo está agotado, vete, dame mi plata, por favor”.
No pasó nada, se fueron a dormir tranquilos. Y a los ocho meses, publicaron en uno de los foros más de 300,000 registros de tarjetas de crédito y nombres de usuarios de Target. ¿En qué resultó todo eso? Recuerdan los 8 trillones de dólares. Bueno, resultó en que una señora en Estados Unidos dijo: “Bueno, pero si yo le estoy confiando a esta gente mi información veraz y me clonaron mi tarjeta de crédito y me sacaron dinero y el banco me lo devolvió, no me interesa, yo te voy a demandar a ti porque tú no cumpliste”. Y esa pequeña demanda se convirtió en una demanda que Target resolvió después en un acuerdo extrajudicial.
Nunca se supo cuánto fue, pero era una demanda de más de 400 millones de dólares. ¿Recuerdan? En 2020-2021 tuvimos el ataque más reciente, el del Pipeline, que nos dejó sin gasolina por un tiempo y nos afectó incluso aquí en Florida. Eso fue un ataque de software donde secuestraron los servidores y pidieron un rescate, pero los afectados dijeron que no pagarían, que no negocian con terroristas. Al final, tuvieron que pagar de todas formas.
Este ataque, al igual que los de Microsoft Exchange y SolarWinds, fue muy serio. Microsoft se dio cuenta a los seis meses. Y cuando se dieron cuenta, pensaron que era un ataque seguro, algo imprevisto para ellos. Pero no era así. El atacante, el APT, les dijo: ‘No, hace seis meses que te hackeamos y esto es todo lo que hemos hecho’. Eso afectó a más del 90% de los servidores que tuve la oportunidad de auxiliar; todos fueron comprometidos por ese ataque. Y otro importante, que además mantuvieron en secreto mucho más tiempo, fue el de SolarWinds.
SolarWinds es una suite de aplicaciones que se encarga del monitoreo completo de toda la red de aplicaciones para Windows, una aplicación que usa el gobierno de Estados Unidos y el Ministerio de Defensa. Hackear una sola cuenta significó hackear más del 95% de las grandes empresas en Estados Unidos que utilizaban esa aplicación.
¿Saben qué hace una empresa ahora para mitigar todas estas amenazas? Bueno, tienes que diseñar tu infraestructura de seguridad como si fuera una cebolla, en capas. Los fabricantes empiezan a crear aplicaciones, firewalls integrados, capaces de tener reglas de acceso y detección de amenazas.
Entonces eso es lo que se llama Next Generation Firewall. Así es como las tecnologías empiezan a evolucionar. Otra cosa importante es la aparición de equipos de respuesta a incidentes dentro de las empresas, equipos independientes encargados de gestionar incidentes, como por ejemplo, la falta de aplicación de parches.
¿Dónde están tus procesos y procedimientos para tratar todas estas cosas? Empiezan a surgir todas estas cuestiones que sé que hasta el día de hoy nos odian y nos detestan, pero tienes que cambiar tu clave cada 45 días. No puede ser la misma que la última vez. Y eso tiene una razón de ser.
No es que seamos enfermos y nos guste, eso tiene que ver con la ingeniería social. Sí, porque cuando quieren hacer un target a una persona específica, empiezan a investigarla para eso. Por eso es que empiezan las tecnologías como la autenticación de dos factores y la autenticación multifactorial LMF. Cuando te vas a meter en tu clave, por lo menos yo personalmente, cualquier cosa que tenga clave y tenga MF, yo la tengo configurada. Entonces, si pierdo el autenticador, no puedo ni leer mi correo.
Siguiendo un poco más, hablemos de la regulación y estándares que les estaba contando, que el gobierno de los Estados Unidos tiene hoy en día para que las empresas tengan un poco de responsabilidad en esto. Acuérdense que quien hace las reglas, hace la trampa, pero por lo menos hay algo. La primera que se hizo fue la HIPAA, que es la ley de responsabilidad y seguro de salud. Es una ley donde todos los que vivimos aquí sabemos que todos tus datos médicos son clasificados y que si cualquier doctor, médico o institución médica hace posible que tus datos sean comercializados al público, son libres. Por eso está el RGPD (Reglamento General de Protección de Datos), que es como la ley paraguas. ¿Dónde está todo eso? ¿Cómo se llaman todas esas regulaciones de datos y responsabilidad? Y la norma ISO 27001, que regula cómo debes empezar a proteger los datos.
Un poco de las tecnologías emergentes que tenemos son la autenticación, la seguridad en la nube y lo más importante de esto son dos cosas: una, la inteligencia artificial y cómo está tomando control de la ciberseguridad. Y lo otro son los dispositivos IoT (Internet of Things), como tu nevera, el Ring, Alexa, etc. La inteligencia artificial ha revolucionado la ciberseguridad porque nosotros somos humanos y las computadoras son máquinas. Ellas piensan más rápido. Imagínense, entonces, Internet guarda más información. La aplicación de inteligencia artificial nos ha permitido analizar todo eso de manera masiva y pueden darte un reporte y decirte: ‘Esto está mal, esto está raro. Busca aquí. ¿Qué está pasando con esto? Te falta aquí’. Entonces es como si tuvieras un ejército de gente en una sola cajita con Internet.
Es muy importante que lo sepan aquí todos ustedes. Esto se aplica tanto para una casa como para una empresa de 300 mil millones de personas. Por favor, tengan los dispositivos IoT en una red aparte de su red normal. O sea, creen una red aparte para Alexa, para el televisor, para todas esas cosas, otra red wifi y otra donde yo voy al banco, donde hablo con mi gente y todas las cosas, porque es una medida rudimentaria pero necesaria para separar esos dos tráficos. La cosa de los IoT es que son dispositivos propietarios sobre los cuales tú tienes cero control. Tú no tienes idea si Alexa te está chupando todo el tráfico y mandando eso a quién sabe dónde.
Bueno, esta es la conclusión. Ya más o menos lo vimos, pero aquí hay uno muy importante que les quería hablar, que es el caso de Cambridge Analytica. Sí, que fue en las elecciones. Ahí vemos que no hay un valor pagado por tu información. Ellos no pagaron por esa información de Facebook, pero fue igualmente un ataque cibernético porque la gente de Cambridge Analytica, a través de Facebook, obtuvo la información de todos los usuarios de Estados Unidos y fueron capaces de influir en las votaciones a favor de uno de los dos partidos políticos.
¿Cuál es el futuro de la ciberseguridad en la empresa? Bueno, yo creo que el futuro va a ser la implementación muy intensiva de la inteligencia artificial y siempre seguir con el tema de las normas, los procedimientos, la documentación, la remediación para cambiar la clave. Todo eso siempre va a seguir. Para concluir, lo más importante es usar su sentido común. Búsquense, por favor, un buen profesional de ciberseguridad, porque es muy importante. Los administradores flojos pagan caro. Lo más importante es que tengas una persona meticulosa, sistemática, que aplique los parches, las actualizaciones, esté al tanto de todo, porque los fabricantes gastan mucho dinero y tiempo sacando actualizaciones y versiones nuevas justamente para mitigar todo esto que está pasando. Lamentablemente, la gente que es hackeada y sufre todo ese pocotón de cosas es porque tenía tecnología vieja y descuidada.”