Hace unos años era impensable ver en un telediario o medio de comunicación una noticia sobre virus, mailware, hacking o escándalos en materia de ciberseguridad, pero con el tiempo hemos pasado de ver alguno cada año a que ésto sea una dinámica que ya no sorprende a nadie.
Campañas electorales discutibles, webs gubernamentales vulneradas, malware tirando redes a nivel mundial, bases de datos de usuarios y clientes publicadas en el lado oscuro de la red,... Ya no sorprende a nadie, pero son pocos los que realmente se preguntan ¿Y esto a mí que me importa?
Quiero abrir una línea de posts donde poder hacer entender a unos y recordar a otros por qué la ciberseguridad es importante, por qué los gobiernos han de tenerla en más consideración y por qué nos queda un largo camino hasta que podamos sentirnos confortables; y es que mucha de la culpa de esos ataques es por la no sensibilización de estas entidades (y sus empleados) en materia de seguridad.
El impacto de un ciberataque se puede diferenciar en dos grupos:
- Técnicos: Las consecuencias o finalidad del ataque sufrido recae sobre los sistemas en los que la entidad sustenta su información o servicios.
- Negocio: Las consecuencias del ataque sufrido hacen daño a la entidad a nivel monetario.
Revisemos dichos impactos con mayor grado de detalle, voy a poner ejemplos que pueden ser exagerados pero es una forma de poder hacerlos entender.
Técnicos
Confidencialidad: Imaginemos una empresa de salud, en sus sistemas alojan toda la información referente a sus revisiones médicas, pruebas, medicamentos recetados... En definitiva, todos los datos referentes a la salud de sus pacientes. Ahora imagine que esa empresa sufre un ataque y todos esos datos le son sustraídos, si la empresa no ha realizado correctamente sus deberes, sus datos médicos pronto estarán en manos no deseadas pudiendo tener consecuencias directa sobre usted tan absurdas como ver anuncios cuando navega de venta de fármacos por vías no legales, como que le empiezan a llegar ofertas de la competencia a su buzón, o incluso se ha dado caso de ofrecimientos de donantes por vías no legales. Su información ya no es solo suya, ya no es usted dueño de su historial clínico y terceros se están enriqueciendo de vender esos datos. https://www.welivesecurity.com/la-es/2015/03/02/robo-de-registros-datos-salud-informacion-medica/
Integridad: Imaginemos que usted tiene un crédito asociado de 50.000 euros en concepto de su vivienda, su banco sufre un ataque que hace que sus datos sufran daños como puede ser que desaparezcan algunos datos y ya no le llegue la nómina de este mes, porque se perdió, o que su hipoteca de repente figure como una deuda de 150.00 euros, porque las bases de datos fueron dañadas. O puede que alguien con ganas de mejorar su sueldo incremente el valor del mismo adulterando esas transferencias. La integridad de los datos con los que trabaja con empresas necesitan estar siempre garantizada. http://www.eldiario.es/canariasahora/sociedad/funcionario-estafar-Ayuntamiento-Santa-Cruz_0_264924701.html
Disponibilidad: Un ejemplo que todos sufrimos cada año de falta de disponibilidad es durante la Nochevieja ¿quién no ha tratado de llamar o mandar un mensaje a sus parientes y se ha encontrado con las líneas caídas? Cuando vamos a sitios con una cantidad enorme de gente usando sus dispositivos móviles y no hay señal es un ejemplo de falta de disponibilidad. Póngase en el caso de que en ese momento suceda una emergencia y no pueda llamar a los servicios de socorro. http://www.20minutos.es/noticia/327766/0/llamar/telefono/nochevieja/
Responsabilidad: Nos han atacado, mi hipoteca ha sido manipulada, no pude llamar a la ambulancia cuando lo necesité y la semana pasada me llegó una oferta para comprar las pastillas contra el estrés que mi médico no me receta pero un amable ciudadano americano me las vende aun precio de oro ¿Y ahora qué? Ha puesto su denuncia pertinente o pedido explicaciones a su entidad, pero nadie será responsable del mismo porque los atacantes lo han realizado de modo que o han borrado sus pistas o no dejan pistas o la entidad no deja las suficientes tratándolas con el cuidado necesario. Te han causado muchas molestias y problemas pero nadie pagará por ello.
Negocio
Reputacional: La reputación es lo más importante de una entidad, la reputación va ligada con la confianza que tienen sus clientes sobre la misma, y es un daño más difícil de solucionar que el económico. Si su compañía de vuelo sufre un ataque y le deja a usted en un país que no había contratado ¿no se plantearía la próxima vez volar con otra compañía? Pongamos el caso de que alguien consigue hackear un avión durante el vuelo y moder modificar el comportamiento de un motor poniendo en peligro las vidas de todos los que están volando. ¿Se sentiría seguro volviendo a volar?
Económico: Este es el impacto más evidente, incluso los ejemplos que se ha visto en puntos anteriores se puede deducir que, indirectamente, tienen impacto económico sobre la entidad. Pero también hay casos en que lo que los atacantes buscan es el robo de dinero de forma directa. Los casos más sonados en los últimos tiempos de robo de dinero y que mayores cantidades han conseguido de forma impune (sin evidencias) se pueden ver en las criptomonedas como el Bitcoin. Por poner algún ejemplo más variado que los robos en entidades bancarias.
Incumplimiento normativo: Muchas veces estos ataques se producen porque no se cumplen correctamente las normativas sobre seguridad. Existen normativas legales como la LOPD (Ley Organica de Protección de Datos) o normativas bancarias como PCI (El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago ) las cuales ponen las bases que las entidades han que cumplir para el tratamiento de los datos e infraestructuras pero estos ataques dejan muchas veces en evidencias “las vergüenzas”, como se diría coloquialmente, y se puede ver que no se están cumpliendo. Tal vez un órgano que revisara con mayor solidez estas normativas podría ser interesante para el grueso de los usuarios. Como ejemplo el escándalo sufrido recientemente el gobierno y su aplicación que dejaba abierto a consulta de cualquier registrado en su plataforma el perfil de los usuarios y sus causas pasadas/pendientes.
No hay comentarios:
Publicar un comentario