Check Point Software ha hecho balance del año 2011 señalando este año como el de la consolidación de los ciberataques “dirigidos”, que han causado enormes brechas de seguridad en organizaciones globales concretas, incluyendo grandes bancos multinacionales, empresas de seguridad e incluso complejos industriales y militares. Los expertos de Check Point consideran que esta nueva forma de cibercrimen, que se vale de las personas para acceder a la información sensible y comprometer la seguridad de las grandes organizaciones, se consolidará como el principal problema durante 2012, con la “ingeniería social” como herramienta.
“2011 ha sido un año importante para el cibercrimen”, explica Mario García, director general de Check Point Iberia, “con grandes incidentes de seguridad a nivel mundial que saltaron a las portadas de todos los diarios del mundo: RSA, la red Playstation Network de Sony, Bank of América, Citibank, Inteco en España…”.
El primer diagnóstico que se puede establecer de estas brechas de seguridad es que los ataques han sido cuidadosamente planeados, orquestados y ejecutados, en lo que los expertos califican como “amenazas avanzadas persistentes” (APT, por sus siglas en inglés), ingeniados contra grandes corporaciones que operan con grandes volúmenes de activos, información de clientes y datos confidenciales. Es lo que se podría llamar “ataques dirigidos”, un modo de cibercrimen que se ha consolidado en 2011, y que en 2012 será la norma, según Check Point.
“Es importante también el hecho de que los autores de estos ataques ya no son estudiantes con ganas de molestar”, afirma Mario García, “sino expertos altamente formados, que ejecutan los ataques con la precisión de una operación militar de asalto, y que pertenecen a organizaciones muy bien estructuradas, semejantes a células terroristas, con dinero, motivación y objetivos”.
Otra similitud entre todos estos ataques es que están basados en técnicas de ingeniería social. Los cibercriminales se dirigen a los empleados de la organización, a los que manipulan, “hackeando la mente humana” para colarse en sus sistemas.
En el caso de Epsilon, uno de los proveedores de email marketing más grandes del mundo, los hackers consiguieron que un empleado cayera en su trampa al abrir un email de phishing y pulsar en un enlace. Sólo con ello, obtuvieron acceso a las credenciales del empleado, y las explotaron para llegar hasta la base de datos corporativa.
De cara a 2012, los expertos de Check Point vaticinan que todo estará basado en la ingeniería social. “Actualmente, con una estrategia de seguridad adecuada, las empresas pueden resistir ante una amplia gama de amenazas”, asegura Mario García, “y por eso los hackers buscarán otras vías para causar brechas de seguridad en las organizaciones”. “El nuevo objetivo no serán las máquinas –señala– sino las personas”.
Según un reciente estudio de Check Point, la primera motivación de los ataques de ingeniería social es el lucro financiero (51%), seguido del acceso a la información (46%), la adquisición de ventaja competitiva (40%) y la venganza (14%). Este mismo estudio muestra que los costes para los negocios pueden oscilar entre los 25,000 y los 100.000 dólares por incidente de seguridad.
Redes sociales: la aparición de las socialbots
Una “socialbot” es un programa de software que controla una cuenta en una red social concreta y que adquiere capacidad para realizar actividades básicas, como enviar mensajes o solicitudes de amistad. “Su éxito reside en su capacidad de imitar al ser humano”, explica Mario García, “lo que le convierte en un tipo de malware único. Si el usuario acepta la solicitud de amistad de una socialbot, ésta podrá acceder a todo su círculo social y a sus datos personales, pudiendo utilizar esta información para cometer fraudes de identidad. “Durante el año 2012 veremos proliferar este tipo de malware, con las redes sociales como canal y, de nuevo, las personas como objetivo
La solución: una combinación de tecnología y concienciación
Para enfrentar este nuevo modo de cibercrimen, Check Point recomienda un enfoque global de la seguridad (lo que la compañía ha bautizado como “seguridad 3D”). “Para prevenir estos ataques de ingeniería social”, asegura Mario García, “será necesaria una combinación de tecnología y concienciación sobre la seguridad, a lo largo toda la organización”. La protección comienza con el desarrollo de una estrategia de seguridad lo largo de la red y en los puestos de trabajo, aplicando múltiples capas de protección, incluyendo firewalls avanzados, sistemas de prevención ante intrusiones (IPS); soluciones de prevención ante la pérdida o la filtración de datos (DLP) y seguridad para los puestos de trabajo y los dispositivos móviles, entre otros.
Tras cerrar esta “puerta principal” a potenciales ataques, las empresas deberán tratar de cerrar la “puerta de atrás”, que son los usuarios. “Los errores humanos son el único problema la tecnología por sí sola no puede arreglar”, concluye García. “Depende por entero de las organizaciones el hecho de concienciar, formar y educar a sus empleados en lo relativo a la seguridad”.
