Este crimen informático llamado ‘jackware’ figura como tendencia entre las amenazas para el 2017.
10 veces más valiosa resulta la información de salud, comparada con la financiera, porque de ella depende a veces la vida.
Imagínese que usted es el administrador de un hotel altamente tecnificado donde las cerraduras de las habitaciones se pueden controlar de manera remota utilizando una conexión por internet.
Hasta ahí todo suena bien, pero qué tal si alguien le hackea su sistema, cierra todas las puertas de los cuartos donde reposan sus huéspedes y lo llama pidiéndole una suma de dinero con la amenaza de que si no deja a todo mundo enclaustrado.
Si decide no obedecer, por lo menos le hará pasar un dolor de cabeza y es posible que le haga perder varios clientes antes de que logre resolver el problema.
¿O qué tal si esto pasa con el sistema de semaforización de una ciudad? el resultado probablemente sea un colapso monumental del tráfico y muchos accidentes.
Las escenas que parecen sacadas de una película de ficción tienen que ver con las predicciones en cuanto a los riesgos de la seguridad informática para un futuro inmediato que durante el mes de mayo –como lo hace cada año– presentará Eset, una firma internacional especializada.
Maximilano Cantis, gerente de Eset Latinoamérica, indica que el secuestro de la información o ransomware fue uno de los problemas a los que más les temían los profesionales de la informática incluso desde la década del 90, que se masificó todavía más desde el año 2012 y se agudizó en el 2016. Pero ahora, lo que se empieza a ver desde los laboratorios de la compañía que tratan de adelantarse para generar las contras a las amenazas informáticas es que tomará fuerza el jackware o secuestro de los dispositivos.
Stephen Cobb, Senior Security Researcher de Eset, explica que “el jackware es el software malicioso que intenta tomar el control de un dispositivo, cuyo objetivo principal no es el procesamiento de datos ni la comunicación digital”.
Cantis apunta que, de hecho, se sabe que algunas de las empresas que han estado experimentando con autos que se mueven de manera autónoma (sin conductor) han sufrido “agujeros” en los sistemas de seguridad y de esta manea terceros controlaron su aire acondicionado. ¿Qué tal si hacen lo mismo, por ejemplo con el encendido o ¡con los frenos! y solo desbloquean el uso con el pago de rescate?
“Lo que deja este caso y otros más es que lo que van a empezar a buscar muy posiblemente los atacantes es el control del dispositivo, en vez del control de la información. En vez de bloquearte el acceso a datos, no te dejan usar el objeto”, vaticina Cantis.
Cobb relata un caso real acontecido en el edificio de un pueblo de Finlandia, donde controlaron la calefacción de un edificio que estaba conectada a un sistema online, y todo en pleno invierno.
“Si bien no hay indicios de pedidos de rescate, no requiere mucha imaginación saber que ese será el siguiente paso. ¿Quieres que el sistema de calefacción vuelva a funcionar? ¡Entonces paga!”.
Cantis anota que los desarrolladores de tecnología se han centrado en agregarles un plus a lo que producen, pero no se han preocupado lo suficiente por la seguridad del sistema y es grande la posibilidad potencial de que alguien secuestre la utilización de los aparatos.
Ya los usuarios empiezan a encender las alarmas. La encuesta titulada ‘Nuestras vidas digitales cada vez más conectadas’, realizada el año pasado por Eset en Estados Unidos muestra que el 40% de los adultos de este país desconfían de que los dispositivos asociados al internet de las cosas (IoT) sean seguros y estuvieran protegidos. Pero el dato que debe preocupar a los fabricantes es que más de la mitad de la gente dijo que ha dejado de comprar un dispositivo de este tipo porque le preocupa la privacidad y seguridad.
Otra tendencia señala que los ataques tenderán a concentrarse en segmentos de mayor valor, como el de la salud, donde los aparatos cada vez son más dependientes de actualizaciones a través de la web.
“Imagínate si en algún momento se trata de un marcapasos o una bomba de insulina conectados a internet, y si un atacante pudiera tener acceso a este mecanismo”, señala Cantis.
Según él, hay estudios que dicen que la información médica vale 10 veces más que la de una tarjeta de crédito, porque con esta los hackers pueden generar mayores ingresos que teniendo el número del plástico bancario.
¿Pero cómo se puede detener esta forma de ‘piratería’ digital?
En el estudio de tendencias 2017 ‘La seguridad como rehén’, que será dado a conocer por Eset, Cobb subraya que para esto hay que reforzar la seguridad en las plataformas.
En el caso de los vehículos, dice que esto sugiere un aumento considerable de los costos, ya que hay que habría que implementar por ejemplo barreras de aire y tener una redundancia considerable.
Un campo de acción adicional, más retador aún, tiene que ver con la creación de medidas y políticas eficaces contra los delitos cibernéticos.
La buena noticia, según Cobb, es que varias agencias gubernamentales están trabajando intensamente para que el internet de las cosas sea más seguro.
LAS OTRAS AMENAZAS QUE SIGUEN VIGENTES
Eset les preguntó a 4.000 profesionales de la informática y responsables de estas áreas en las empresas y el 32% dijo que les sigue preocupando el secuestro de la información (ransomware).
En Colombia, el 27% afirmó que le quita el sueño el fishing, una modalidad en la que, por ejemplo, les hacen creer a los usuarios que este les está pidiendo completar o actualizar su información y se las roban para luego usarla de manera maliciosa o hurtarles su dinero, bien sea el propio o de una empresa.
Estudios citados por Eset indican que el 12,6% de los casos de fishing en América Latina durante el 2016 ocurrieron en Colombia. A Ecuador le fue peor, con un 20,9%, en México sucedieron el 16,1% y en Argentina el 15,9%.
“Lo que hay que hacer ahí es educar al usuario para que no acceda a su banco a través de un link, sino directamente por el browser, que es mucho más seguro”, sugiere el gerente de Eset Latinoamérica, Maximilano Cantis.
Pero además, del total de encuestados en el país, más del 46% respondió que sufrió un incidente de malware (programa o código informático malicioso para dañar su sistema o causar un mal funcionamiento). También impactaron mucho el robo de información y la “explotación de vulnerabilidades”, es decir el aprovechamiento de debilidades en áreas especialmente críticas para la operación de la empresa. Por ejemplo, en un banco esta será su home banking a través del cual sus usuarios hacen las transacciones virtuales.
En este caso, Cantis aconseja la aplicación de sistemas que ya existen y que permiten determinar cuáles son los agujeros críticos que se deben cubrir urgentemente en cada situación específica.
Claro que toda acción en este sentido parte de determinar primero cuáles son las áreas críticas que hacen parte del core de la compañía.
Sobre la ‘contra’ para el secuestro de la información, el gerente regional de Eset anota que el primer paso es definir y clasificar la información sensible, el segundo es entender dónde están estos datos y quién tiene acceso a ellos, y lo tercero, hacer cifrado de datos y backup.
El informe sobre riesgos que será presentado hace hincapié en la necesidad de educar al usuario final de la tecnología, porque es a través del envío de correos electrónicos, del mal uso de USB, de links en las redes sociales o incluso de mensajerías como la de WhatsApp que se propagan las amenazas.
“La filosofía (del atacante) es: ‘Para qué voy a cavar un hueco con el fin de entrar a la casa si toco la puerta y me abren; basta engañarlos con algo y les robo igual’”, afirma Cantis.
Lo grave para nuestro contexto es que, también según estudios, en América Latina solo el 35% de las empresas realiza actividades periódicas de concientización entre sus empleados acerca de la necesidad de prevenir riesgos, y según apunta, Colombia no se escapa de esa realidad.