Ing. Luis Leopoldo Aguirre
Especialista en Soluciones de Seguridad
Software Group – Security Systems
IBM de México y Centroamérica
leopoldoaguirre@mx.ibm.com

En tiempos recientes, las brechas o incidentes de seguridad de la información, propiciados por grupos como Anonymous o LulzSec, por mencionar a los más conocidos, a diversas empresas y/o diferentes organismos gubernamentales ha cambiado la connotación de las consecuencias de este tipo de ataques para las organizaciones

En el pasado, el término hacker se asociaba a una persona con conocimientos profundos sobre tecnología (sistemas de computadoras, bases de datos, telecomunicaciones y lenguajes de programación, principalmente), y propósitos educativos o de investigación, lo cual le confería una figura casi mística, más que de una amenaza real para una empresa, aunada a la adopción inicial de la tecnología como un habilitador de los procesos en las organizaciones.
Sin embargo, ante la evolución de la tecnología y la facilidad de obtener herramientas y programas para generar ataques a la infraestructura de las empresas, este término se ha asociado a otro tipo de actividades ilegales como espionaje industrial, piratería o grupos enarbolados en una causa social o política que generan ataques a diversas organizaciones, con motivadores que van desde el reconocimiento en el medio hasta beneficios económicos.
Los incidentes de seguridad de la información, están ocurriendo en una escala generalizada, por lo que la problemática de los ataques no es exclusiva de grandes corporaciones o un tipo de sector económico en particular, como lo muestra el siguiente gráfico tomado del reporte anual (IBM X-Force 2011. Trend and Risk Report) del IBM X-Force.

Ejemplo de incidentes de seguridad por tipo de ataque

La gráfica anterior permite corroborar tres aspectos fundamentales:

• El año 2011 fue considerado por el X-Force, como el año de las brechas de seguridad de la información, pues en ese año se hizo público la mayoría de incidentes de seguridad relevantes para los afectados.
• Los sectores atacados (sector financiero y sector público/gobierno), no son los que sufrieron las mayores brechas de seguridad, por el monto de su impacto financiero en 2011.
• Las debilidades o deficiencias en la tecnología aprovechadas por los atacantes, habían sido reportadas al menos con dos años de anticipación por la industria de seguridad informática.

Estas tendencias han obligado a que las empresas analicen las actividades de los atacantes, desde una perspectiva de los motivadores y tipo de información que los hackers buscan como recompensa, para considerarse susceptibles a este tipo de ataques.
Los impactos por una brecha de seguridad propiciada por ataque de hackers están lejos de limitarse a un contexto tecnológico; por el contrario, los resultados no deseados alcanzan matices organizacionales de forma inmediata o en el mediano y largo plazo, en áreas como:

• Ingreso perdido o retrasado. Las empresas pueden dejar de ejecutar líneas de negocio por afectación de los servicios informáticos que las soportan, y no pueden vender o comercializar sus productos o servicios de manera normal.
• Impacto legal o fiscal. Las empresas podrían enfrentar implicaciones legales o multas por afectación de terceros, tales como socios de negocio, o clientes o proveedores, ante el incumplimiento de contratos o daño de la información en la relación comercial.
• Impacto en la operación. La ejecución normal de los procesos de la organización, soportados por los recursos tecnológicos afectados por la brecha de seguridad, implican gastos no planeados y la no disponibilidad de productos y servicios.
• Impacto en la imagen. La consecuencia más evidente para una empresa es sobre su imagen, ante su entorno de negocio, que puede percibirla como poco confiable para preservar la información de las relaciones comerciales.

Cada una de las categorías de impacto anteriores se ve afectada en mayor o menor medida, de acuerdo con el sector económico en el que se encuentre la organización; sin embargo, todas contribuyen a un impacto generalizado, por lo que su análisis no debe limitarse a las áreas responsables de la operación de la tecnología o seguridad de la información.
Es importante reconocer que la difusión de las actividades de los hackers y los resultados conocidos de las brechas de seguridad de la información, ha formado una conciencia creciente de las empresas sobre la facilidad de ser atacadas y las consecuencias de estos sucesos en las diferentes categorías de impacto asociadas.
El cambio en el paradigma se percibe como una búsqueda detallada y gradual de nuevas soluciones de seguridad de la información que complementen los esfuerzos iniciales de aseguramiento de la infraestructura, con esquemas de control integrales, en diferentes capas de recursos tecnológicos, enfocados en la protección de la información con base en los análisis de riesgos y el valor de la misma para la empresa.
A pesar de esto, en las empresas donde no se ha enfrentado algún tipo de ataque o brecha de seguridad en un contexto de múltiples amenazas y facilidad de explotación de debilidades, persiste una falsa percepción respecto a un nivel adecuado de seguridad de la información.
La gran lección en esta vorágine de incidentes de seguridad, amenazas y hackers, la encontramos en que cada una de las empresas asuma la seguridad de la información como un proceso dinámico que debe ser abordado con una visión corporativa, que requiere mayores recursos económicos, técnicos y humanos mejor aplicados, para atender un nuevo contexto de negocios dependiente, en alto grado, de la infraestructura tecnológica, pues el nivel de seguridad actual no garantiza que se contengan futuros ataques, como lo cita Grady Summers, Vicepresidente de Customer Success, Mandiant:
“En casi una década de responder y atender ataques a diferentes objetivos, una situación es constante: los atacantes cambiarán sus tácticas tanto como sea necesario para comprometer a sus víctimas.”