¿Por qué la nueva ley de datos de comunicaciones podría abrir las compuertas de la extorsión online? Por (*) David Sancho

Por: David Sancho (*).-  responsable de investigación de seguridad en Trend Micro Iberia.- 


Si todavía no estais saturados por los avisos sobre las predicciones de seguridad para el año 2016, me gustaría compartir con vosotros algunas reflexiones sobre lo que los próximos 12 meses nos pueden deparar en esta materia. Pero voy advirtiendo: el futuro que describo, en gran parte, ya está sucediendo. Todo esto se ha puesto de manifiesto en la epidemia de ransomware que ha hecho que los criminales detrás de CryptoWall hayan amasado cientos de millones. Hasta cierto punto, también lo hemos visto en el destructivo ataque a Sony Pictures Entertainment de finales de 2014. Incluso en la tan comentada brecha de TalkTalk del mes pasado.


Hablamos de la extorsión online, que está a punto de convertirse en algo mucho peor en 2016



 Pescar a los peces grandes


¿Y por qué creemos que vamos a ver más y más hackers exigiendo dinero a las empresas para no publicar los datos robados de sus clientes? Al fin y al cabo, siempre es cierto que después de ser víctima de una brecha de seguridad importante, los costes de reparación de daños, multas y posibles daños legales y reputacionales han llegado a ser verdaderamente prohibitivos. También es cierto que los hackers son cada vez más inteligentes y las herramientas para poner en marcha este tipo de ataques están cada vez más extendidas en el mercado clandestino de la ciberdelincuencia. Pero más que eso, cada vez es menos interesante desde el punto de vista económico apuntar a víctimas individuales.

Extorsión online


Un usuario de Windows 10, por ejemplo, tiene que hacer clic en varias advertencias de seguridad antes de descargarse ransomware e infectarse. Incluso Windows 7 tiene ciertas salvaguardas incorporadas, así que cada vez menos usuarios llegan a infectarse. Luego, además hay que pensar en la variedad de sistemas operativos que existe. Si un atacante envía un ransomware, no importa lo cuidadosamente elaborado que esté, cada vez hay un mayor porcentaje de usuarios que no lo va a abrir en un PC con Windows – para el que el ransomware fue diseñado, sino en una tablet o un smartphone. En resumen, el mercado potencial de víctimas está disminuyendo.

 

Eso no quiere decir que el ransomware y otras extorsiones online no estén ocurriendo ya. Por supuesto que siguen existiendo. Pero la perspectiva de hackear una gran empresa y conseguir de un golpe miles o millones de datos de clientes parece mucho más atractiva. Y con casos más frecuentes del tipo TalkTalk en los titulares, cada vez más hackers se apuntan a este tipo de ataques. También habrá muchos que se hayan sentido inspirados y piensen que si hubieran sido ellos, lo habrían hecho mucho mejor.

Ley de Datos de Comunicaciones: peligro a la vista


Ya que estamos con el tema de la extorsión, han salido varios informes recientemente sugiriendo que el historial de navegación de los usuarios de Internet podría ser la próxima gran fuente de chantaje online para los hackers, a raíz del ataque a Ashley Madison. Descansen tranquilos, internautas: no es muy probable que un ciberdelincuente haga el esfuerzo de atacar a un solo individuo, averiguar su nombre y perfil personal y elaborar una estrategia de ataque personalizada. Pero sí existe un punto de peligro.

Si la propuesta de Ley de Datos de Comunicaciones, que ahora se encuentra en borrador, la denominada “Snooper’s Charter” se llega a aprobar, me temo lo peor. Esta ley obligaría a los proveedores de Internet del Reino Unido a retener el historial web de todos sus usuarios durante 12 meses. Estos almacenes de datos masivos podrían ser un blanco muy atractivo para los extorsionadores online. La secretaria del Interior de Reino Unido, Theresa May, ha afirmado que estos registros no incluirán las páginas individuales del sitio que un usuario visita, pero una dirección por sí sola podría ser suficiente para un chantajista. El gobierno debe asegurarse de que si se aprueba esta ley, se ordene que se impongan los más altos estándares de seguridad para la protección de los datos y se obligue a los ISP a seguirlos. Sin embargo, como vemos que ocurre con cada brecha de datos de clientes en organizaciones de renombre (¿alguien se acuerda de JPMorgan?), incluso aquellas empresas que se gastan millonadas en seguridad pueden ser hackeadas por un adversario con un mínimo de determinación.

Es casi seguro que alguien intentará hackear estos datos y, finalmente, lo conseguirá.

La puerta de entrada del DPO


Entonces, ¿qué pueden hacer estas empresas para minimizar el riesgo de una brecha de seguridad? Pues empezar por lo más básico, por supuesto. Aplicar políticas de doble factor de autenticación, reducir al mínimo el número de usuarios con privilegios y establecer una política de acceso de menos privilegios. También es necesario tener una buena visibilidad de lo que está pasando dentro de la red. Por ejemplo, si la red fue pirateada a través de una sencilla SQLi, TalkTalk debería haber sido capaz de detectar y bloquear el enorme número de registros de clientes fluyendo hacia una sola dirección IP. También es necesario que los sistemas estén parcheados y actualizados para reducir al mínimo las posibilidades de que cualquier agujero de software pueda ser explotado. Y recuerde realizar periódicamente un test de penetración de sistemas (PEN Test), es decir, pruebas ofensivas contra los mecanismos de defensa existentes en el entorno que se analiza, para garantizar que son tan seguros como deberían ser.

Pero quizás el paso más importante desde el punto de vista organizativo es nombrar a un responsable de la protección de datos (DPO, por sus siglas en inglés). Prevemos que para finales del año próximo menos del 50% de las organizaciones contará con una de estas figuras, a pesar de ser un requisito incluido en el próximo Reglamento General Europeo de Protección de Datos. A diferencia de un CISO, el DPO tiene un papel centrado específicamente en la protección de los recursos más importantes de la organización: sus datos. Y aún mejor, son independientes del departamento de TI y no pueden ser despedidos fácilmente por el CEO.

En resumen, ocupan un papel objetivo, equilibrado y crítico en la mejora de la seguridad de los datos dentro de una organización. Tan pronto las empresas se den cuenta de esto, más seguros estarán nuestros datos.

(*) David Sancho es  responsable de investigación de seguridad en Trend Micro Iberia.- 


Otras tribunas en “Condensador de fluzo”, un blog colectivo de EFEfuturo coordinado por Arturo Larena, director de EFEferde y EFEfuturo 


 

verde_gif_300x90

verde_gif_300x90 Máster de Periodismo de Agencia

BANNER_I-a-la-carta_cibertienda_300X250

BANNER_I-a-la-carta_cibertienda_300X250

DialogosComunicación_300x125_SmartCity

DialogosComunicación_300x125_SmartCityBlogs de ciencia y tecnología

Blogosfera de Ciencia y Tecnología

Información medioambiental
Map

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra política de cookies, pinche el enlace para mayor información.

Login

Registro | Contraseña perdida?