Por Pablo G. Fudim (CPA; CIA;
CRMA QAS)*
Mientras
estamos trabajando en nuestras oficinas, y durante un respiro en nuestro
trabajo cotidiano, de repente mirando nuestro Ordenador, Smartphone/ Tablet o
IPad/ IPod nos aparece un mensaje de actualización, un pedido de algún software
de vinculación (Google +, Picassa, Hotmail; iTunes, Msn, etc), y como está de
moda tener lo último sin meditarlo damos el ok. Aparecen varias pantallas - entre
600 y 10.000 caracteres - en las cuales tenemos kilométricos contratos con
cláusulas de indemnidad, que al final solicitan “aceptar / rechazar”. Cansados
de esperar, sin meditar las potenciales consecuencias y con sumo fastidio,
damos el “OK, ACEPTAR”.
¿Qué
ocurre entonces? Nuestros datos (edad, sexo, email, usuario de redes sociales,
número telefónico, sistema con el cual opera) migran a miles de kilómetros,
convirtiéndonos en un objeto pasible de ser identificado y, a partir de nuestro
comportamiento (utilización de nuestro Smartphone, historial de navegación,
etc.), dejamos el cyber-anomimato para ser un objetivo de ventas de miles de
compañías.
Reconocemos
hoy día que las empresas necesitan saber más de sus clientes, por ello la
captura del metadato y la proliferación de nuevos análisis por intermedio de la
big data son moda, lo que implica vulnerar permanentemente nuestra intimidad
virtual. Estas prácticas cotidianas implican no sólo riesgos para nosotros, usuarios
de sistemas informáticos, sino también para la totalidad de las compañías que
confluyen en el éter del ciberespacio y sus diversos ecosistemas.
Para
poder comprender mejor esta problemática, repasemos cuatro casos de actualidad,
el Caso Cabarnak, el Celebrity Gate de Apple, el ciberataque a Home Depot y los
manifestantes de Hong Kong y el troyano “Xsser m Rat”.
En el
caso Cabarnak http://www.cnet.com/es/noticias/la-banda-carbanak-esta-detras-del-robo-digital-mas-grande-en-la-historia/
unos hackers, para infiltrarse en la intranet de unos Bancos, usaron correos
electrónicos con phishing, atrayendo a los usuarios para abrirlos e infectar
los ordenadores con malware. Después, instalaban una puerta trasera en el
ordenador de la víctima basada en el código malicioso Carberp que, a su vez,
dio nombre a la campaña, Carbanak. Tras hacerse con el control de la máquina
comprometida, los cibercriminales la utilizaron como punto de acceso; sondearon
la intranet del banco e infectaron otros ordenadores para averiguar cuál de
ellos podría ser utilizado para acceder a los sistemas financieros críticos.
Por intermedio de estos esquemas defraudatorios obtuvieron entre U$S 300
millones y mil millones de dólares.
En el
celebrity gate de Apple (http://www.elpais.com.uy/vida-actual/se-filtro-video-jennifer-lawrence.html)
se capturó la información disponible en el Icloud de los millones de usuarios,
y parte de esa información, preferentemente selfies de atletas y modelos,
fueron vendidas a diferentes medios del mundo. Cuando el usuario tomó nota del
problema, una vez que aparecieron la fotos, el daño estaba hecho y su reparación,
imposible, puesto que para ello firmamos los acuerdos de servicio que sólo
protegen a las compañías (y no a los usuarios). Luego del hecho, ¿qué ocurre? Simplemente
se procesa una actualización del sistema IOs 7 a 8.0.0 /1 y luego a 2. Cerramos
una puerta que fue abierta, pero desconocemos cuántas otras se encuentran en
idénticas condiciones.
En el
ciberataque a Home Depot realizado en el invierno del 2013 (http://dinero.univision.com/economia-y-negocios/noticias-economicas/article/2014-09-18/the-home-depot-estima-que-el-ciberataque-que-sufrio-afecto-a-56-millones-de-tarjetas)
fueron robados datos de 56 millones de tarjetas, lo que produjo un daño de
alrededor de U$S 400 millones de dólares de diversa índole.
Por último,
las protestas en Hong Kong y sus manifestantes hackeados (http://elcomercio.pe/mundo/asia/hackers-chinos-atacan-manifestantes-hong-kong-noticia-1760836
), que impidió al resto de la población ver online las imágenes de las
protestas realizadas.
Para
resumir, la única defensa que poseemos ante estas problemáticas es la educación
de cómo funcionan nuestros sistemas operativos y el ecosistema que los rodea, y
la conciencia de que nuestros datos son valiosos y debemos preservarlos.
En el
intercambio de información sensible entre organizaciones o personas con
entidades gubernamentales o corporativas, los ciberdelincuentes focalizan en
las deficiencias de los sistemas de defensa informática, si los tuvieran, los
primeros eslabones de la cadena, que carecen de defensas ante ataques de este
tipo y logran vulnerar la información en tránsito para luego utilizarla en
beneficio propio.
En la
actualidad la seguridad informática es un tema primordial que debería ser
considerado tanto por las organizaciones como por las personas. “Tomar
conciencia de que todos pueden convertirse en blanco de hackers permite prever
los resguardos necesarios para evitar ser las próximas víctimas.
Como
moraleja, nuestra imprudencia nos puede llegar a costar muy caro en tiempos de
la tecnología de la información. Primero debemos pensar y luego actuar. El
prevenir estas cuestiones e informarse permanentemente nos ayudará a
mantenernos sanos y alertas ante cualquier amenaza.
(*) El autor es Contador Público (UBA) posee una Maestría en
Inteligencia y Estrategia (Universidad Nacional de la Plata-Escuela Nacional de
Inteligencia), es CIA - Certified Internal Auditor (Instituto de Auditores
Internos; IIA); CRMA - Certified Risk Manager Assesment (Instituto de Auditores Internos;
IIA) es QAR Quality Assurance Reviewer (Instituto de Auditores Internos; IIA) y
tiene un Postgrado en Reglas Internacionales contra la Corrupción (Universidad
Católica Argentina). Es auditor/ asesor de COPE BENEFICIOS MOVILES www.copebeneficios.com ; es Chief Technical Officer de Santa Fe Associates
International y como Consultor Independiente es contratado por varios proyectos
de fortalecimiento institucional en Latino América, financiados por USAID; BID
y BM. ExGerente de Auditoría Interna
IBGSA., Ex Gerente Senior de IFPC-IGI, Ex Consultor Senior de KPMG entre otros,
lleva más de 25 años en la Actividad de Auditoría Interna, Evaluación de
Controles y Riesgos. Su email es pfudim@consejo.org.ar
¿Te han gustado la información? ¡Compártela con otro auditor interno!
No hay comentarios:
Publicar un comentario