The Economist: Trabajo para espías

Las técnicas de contrainteligencia pueden ayudar a las empresasa protegerse de los ataques cibernéticos.

Las empresas están contratando técnicos que ejecutan “pruebas de intrusión” para verificar cuán seguras son sus defensas.

Por: Redacción Gestion.pe

Hasta hace poco, la seguridad para la mayoría de negocios consistía en adquirir cerrojos, puertas y ventanas decentes, instalar cámaras de vigilancia y no olvidar papeles confidenciales en la fotocopiadora. Pero es más difícil defenderse contra los ataques a sus sistemas informáticos, ya sean de sus rivales, activistas políticos, criminales o gobiernos extranjeros —y las consecuencias pueden ser mucho peores—.

Una empresa puede sufrir un golpe devastador en su reputación, su propiedad intelectual, su capacidad para atender a sus clientes o sus cuentas bancarias. Puede que nunca sepa quién la atacó o por qué, o cuánta información fue robada, de modo que nunca estará segura si hizo lo suficiente para evitar futuras filtraciones.

La ciberseguridad es hoy un tema candente en los directorios. Antes del reciente ataque al sitio de citas para adúlteros Ashley Madison, el ejemplo más notorio era Sony Pictures Entertainment, en el que un torrente de embarazosos emails, información personal de los empleados y copias de filmes pendientes de estreno fue publicado en Internet por infiltrados anónimos.

Pero hay un flujo constante de casos menos prominentes en los que las empresas sufren serios daños. A inicios de agosto, el FBI descubrió hackers que ingresaban a las computadoras de tres firmas que distribuyen notas de prensa corporativas y que hicieron una fortuna vendiendo información sensible antes de que fuese publicada oficialmente.

En otro caso, el fabricante estadounidense de equipos de redes inalámbricas Ubiquiti Networks, admitió que le fueron sustraídos US$ 46.7 millones por piratas informáticos que falsificaron emails de un ejecutivo en los que instruían al departamento de finanzas a realizar depósitos en sus cuentas bancarias.

Muchas empresas están contratando técnicos que ejecutan “pruebas de intrusión” para verificar cuán seguras son sus defensas, tanto online como en el mundo real. Esto les puede ayudar a identificar debilidades inesperadas antes de que alguien con malas intenciones se aproveche de ellas. Claro que tan pronto como una filtración es reparada, los hackers comenzarán a buscar otra, de modo que es importante que los gerentes adopten algunos de los ardides del mundo del espionaje.

Es que los jefes del contraespionaje asumen que sus adversarios están constantemente buscando vulnerabilidades e intentando explotarlas. En lugar de identificar cada línea potencial de ataque, lo que hacen es minimizar el daño cuando alguien penetra sus sistemas y, de ser posible, virar la situación a su favor.

La primera lección de los espías es que a veces hay que sacrificar la conveniencia de tener todo fácilmente accesible en Internet. Las agencias de inteligencia no almacenan información clave en sus computadoras y nadie la guarda ni está al tanto de todo. Se requiere mucha reflexión para determinar quién necesita conocer qué, cómo fijar las reglas de intercambio de información y quién debe hacerlas respetar.

Con frecuencia, los ciberataques son facilitados por el descuido. Pero con los incentivos y penalidades correctos, se pueden adquirir buenos hábitos de seguridad computacional y dejar de lado los malos. Se tiene que comenzar desde arriba, razón por la cual los espías reniegan de que Hillary Clinton guardaba emails oficiales en una computadora privada cuando fue secretaria de Estado.

Otra lección es el uso del engaño. La mejor forma de descubrir un ataque es ofrecer un blanco tentador. Por ejemplo, un banco estadounidense colocó una serie de perfiles falsos de personal inexistente en su red interna, incluyendo direcciones de email. Cada vez que uno de esos alias recibía un pedido de transferencia de dinero, los vigilantes informáticos sabían que el remitente era un hacker.

Si se descubre al atacante y lo que busca, existen algunas opciones de acción. Se puede llamar a la policía, pues penetrar las redes es un crimen en la mayoría de países, aunque no en todos. También se puede recolectar más información sobre el hacker, construyendo un perfil de sus intenciones y capacidades. Por ejemplo, si intenta robar prototipos de productos, habrá que asegurarse de que obtenga documentos ficticios que le despisten.

En el 2012, espías en Georgia colocaron un archivo llamado “Acuerdo con la OTAN” en una red que sabían que había sido penetrada por un hacker ruso. El documento era obviamente falso y también contenía un virus que permitió a los georgianos espiar al hacker, aunque esta estratagema podría ser demasiado para la mayoría de empresas.

Los gerentes también podrían practicar un poco de la paranoia constructiva que los espías adoptan. Por ejemplo, usar laptops desechables en los viajes de negocios que no contengan información sensible y asumir que habrá intentos de introducirles spyware. Los espías saben que las vidas privadas son una vulnerabilidad que debe explotarse: se conocen casos en los que criminales hurtan los smartphones del cónyuge o hijos del jefe de una empresa familiar para buscar detalles de cuentas bancarias u otra información aprovechable.

Y un mensaje inesperado de un amigo o un socio de negocios siempre debe ser tratado con sospecha: puede ser un email falso de alguien que ha revisado la cuenta de LinkedIn o Twitter de su víctima. No hay que ser un paranoico para manejar un negocio en la era del cibercrimen, pero es útil serlo.

Traducido para Gestión por Antonio Yonz Martínez
© The Economist Newspaper Ltd,
London, 2015