Falta de seguridad de TI: galería de horrores

Descarga el PDF

Falta de seguridad de TI: galería de horrores

A finales de agosto del año pasado, la cadena internacional de helados y restaurantes de comida rápida Dairy Queen fue víctima de un fallo de seguridad de TI, que terminó con el robo de datos de miles de tarjetas de crédito y débito. Las pérdidas hasta ahora no se han terminado de contabilizar, y el prestigio de esta empresa se derrumba poco a poco.

Esta historia se suma a la de muchas empresas como Sony, Home Depot e incluso Liverpool en México, cuyo hackeo le costó más de 100 millones de pesos a la minorista —un monto utilizado en resarcir daños a clientes y en pagar multas a la autoridad por falta de seguridad de TI. Esto pone en evidencia el hecho de que a muchas firmas la ciberdelincuencia no les resulta interesante, hasta que es demasiado tarde.

Si se toma en cuenta que, según el Informe Anual de Seguridad de Cisco 2016, actualmente se realizan 16 mil millones de solicitudes web y se envían más de 500 mil millones de correos electrónicos al día, no contar que programas de protección expone a una compañía a ser una cifra más de la delincuencia. Además, según este análisis, se bloquean más de 20 mil millones de ataques informáticos al día, lo que demuestra la necesidad de tener buena defensa.

FALTA DE SEGURIDAD DE TI: EL TAMAÑO DEL DESASTRE

A finales de 2013, uno de los hackeos más sonados de la historia afectó a la minorista Target en Estados Unidos. El caso: se robaron los datos de tarjetas de crédito de 40 millones de usuarios, luego de que su sistema fuera vulnerado a través de un USB con malware que fue instalado por un empleado sin saber que venía “contaminado”.

Por este error de seguridad por parte de la firma minorista, tendrá que pagar 67 millones de dólares a Visa para subsanar una demanda por parte de la compañía que presta su plataforma de transacciones financieras a escala mundial.

A pesar de toda la cobertura de noticias sobre el robo de datos a través de malware o phishing a empresas de todo tipo, hay violaciones a la seguridad de TI que no son tan sonadas, pero que están teniendo lugar en los sectores de infraestructura y de salud críticos para un Estado.

El 18 de agosto de 2015 se informó que la Autoridad Regulatoria Nuclear (ARN) de Argentina había sido víctima de hackers aprovechando una vulnerabilidad en su correo electrónico, y que un “gobierno extranjero” patrocinó el ataque con intereses sospechosos, pues se robaron algunos documentos importantes sobre cómo se trabaja al interior de esta dependencia, y se espera que los ataques aumenten.

Muchas de las brechas de infraestructura crítica no se reportan públicamente. Como resultado, hay poca presión para hacer frente a ello. A puerta cerrada, probablemente hay numerosas intrusiones dentro de los servidores de seguridad que se mantienen en secreto, aparentemente en interés de la seguridad nacional. Como resultado, las vulnerabilidades parecen persistir tras un muro de silencio.

Al igual que la infraestructura crítica, las brechas de seguridad que se producen en las universidades tienden a obtener muy poca cobertura. En el último año, las universidades de Maryland, Wisconsin y Iowa fueron víctimas de una violación a su seguridad. Los ciberdelincuentes robaron números de seguridad social y de tarjetas de crédito, así como documentos de propiedad intelectual producidos por los departamentos de investigación.

Las pérdidas son incontables, si es que investigaciones importante para estas universidades se venden en el mercado negro, o a empresas internacionales, como se ha documentado anteriormente.

Uno de los hackeos más importantes dados a conocer, y que demuestran que nadie está a salvo, fue el ocurrido en 2011 a la NASA. Según autoridades de esta agencia espacial estadunidense, hackers, supuestamente chinos, vulneraron la seguridad del Laboratorio de Propulsión, robando secretos e investigaciones en las que se trabajaba desde hace varios años.

La NASA es una de las agencias con mayores adelantos tecnológicos y presumía de contar con una “seguridad invulnerable” hasta ese momento, pero los delincuentes informáticos demostraron que no hay imposibles. Esta es la razón por la cual toda compañía, agencia, institución o universidad, debe contar con una buena plataforma de ciberseguridad, pues a veces el costo de no invertir puede ser mayor a gastar en un buen proveedor de servicios administrados en TI.