En la sociedad actual, la tecnología está inmersa
en todos los ámbitos de nuestra vida, en el entorno personal y profesional,
además los adelantos en la tecnología hacen que esta herramienta sea más útil
pero aumenta los riesgos asociados con su uso.
Actualmente existen muchas herramientas y técnicas
a la disposición de las personas que quieren proteger los sistemas y la
información de los usuarios, pero estas mismas herramientas también pueden ser
utilizadas para vulnerar dicha información y las instalaciones e
infraestructura de empresas y gobiernos, es por ello que se debe informar y
concienciar a las personas para que apliquen las medidas de prevención que
eviten ser víctimas de delitos informáticos a través de las redes.
Amenazas informáticas
Un delito informático es todo aquel acto ilícito
que busque aprovecharse o apoderarse de los recursos o la información
almacenada en algún medio digital sin el consentimiento o conocimiento de los
dueños legítimos, que use como herramienta para este fin un computador.
Los fraudes y engaños que se presentan actualmente
como delitos informáticos tienen las mismas características y objetivos que han
tenido a lo largo de la historia de la humanidad, solo que se hace uso de las
herramientas tecnológicas actuales para lograrlo, estos buscan apoderarse de
dinero, información o la identidad del afectado para el beneficio ilegal de
terceros en perjuicio o no del afectado.
Los ciberdelincuentes se aprovechan de la falta de
conocimiento del uso adecuado de la tecnología por parte de los usuarios y de
la falta de consenso en la legislación a nivel internacional para el combate de
los delitos informáticos, ya que estos no tienen fronteras.
Las amenazas más frecuentes en las redes internas y
externas de las organizaciones que tienen que ver con las operaciones normales
de los empleados se pueden encontrar en la siguiente lista
Phishing
Uno de los delitos cibernéticos más comunes,
simples, de bajo costo y fáciles de implementar es el envío de correo
electrónico con archivos adjuntos maliciosos o con enlaces a direcciones web
maliciosas, además a través de este engaño se solicitan datos críticos a los
usuarios que pueden ser usados para el perjuicio de los dueños de dichos datos
Robo de información critica de la organización
Generalmente los datos críticos de la organización están
almacenados en archivos de hojas de cálculo o archivos de procesadores de texto
que pueden ser accedidos de manera ilícita por terceros no autorizados para
esta acción y pueden usar esta información en perjuicio de la empresa.
Ingeniería social
A través de esta modalidad se pretende engañar a
las personas que usan la tecnología, a través del uso de enlaces maliciosos,
correos electrónicos falsos que exigen datos personales confidenciales para ser
usados en beneficio de los agresores, esta información puede ser usada para
atacar otras dependencias de la organización y aumentar el alcance del ataque.
Se debe tener cuidado con las campañas de enlaces
maliciosos a través de mensajes de texto y Whatsapp, los cuales son propicios también
para este tipo de engaños.
Malware
Estos son todos los programas usados para
apoderarse de la información de los usuarios incautos, en esta categoría entran
los gusanos, troyanos, keylogers, captura remota de video, secuestro de cámaras
web, backdoors y un largo etcétera de software diseñado con el propósito de
robar información a los usuarios. En esta categoría también entran los
programas de secuestro ransomware, los cuales encriptan el contenido de los
discos de los equipos y exige un rescate para entregar la clave de
desencriptacion.
Tecnología móvil
En la actualidad con la disposición de dispositivos
móviles como teléfonos inteligentes y tabletas, se presenta el riesgo de utilizar
estos elementos fuera de la empresa sin la prevención de la aplicación de
medidas de seguridad, para luego realizar su uso dentro de las instalaciones de
la organización, esta acción puede representar un riesgo grave a la seguridad
de la infraestructura ya que fuera de la empresa estos dispositivos pueden ser
objeto de malware o software espía que perjudique o permita filtrar información
importante para la organización o la persona que utiliza los mencionados
dispositivos móviles. Se debe informar y concienciar al usuario de este tipo de
dispositivos de los riesgos inherentes a su uso indiscriminado sin las medidas
de seguridad correspondientes.
Adicionalmente a los riesgos anteriormente
mencionados, también se pueden considerar aquellos que tienen que ver con el
uso de dispositivos de acceso a Internet sin pasar por la infraestructura de
seguridad que se implementa en la empresa, tales como los planes de datos de
los teléfonos inteligentes o las tabletas, el uso de dispositivos de acceso a
Internet, los cuales representan una puerta trasera a la seguridad implementada
y pueden permitir la perpetración de algún tipo de acceso no autorizado y el
robo o modificación de información importante para la empresa o las personas
que laboran en ella.
Amenazas físicas
Este tipo de amenazas son las que se consideran al
momento de presentarse una catástrofe, desastre natural o atentado contra las
instalaciones que pueda causar la pérdida parcial o total de la infraestructura
tecnológica de la organización. Entre estas amenazas podemos considerar
incendios, inundaciones, saqueos, robos de equipos informáticos y todo lo que
tenga que ver con la perdida de los equipos hardware de la organización.
Mitigación de riesgos y amenazas
Inicialmente se debe conceptualizar el riesgo como
el nivel de exposición que tiene un activo importante para la organización,
frente a las amenazas que se puedan presentar, las cuales pueden ser físicas o lógicas
y además pueden ser internas o externas a la organización.
Al momento de querer eliminar los riesgos del uso
de la tecnología en las organizaciones, debemos estar claros que estos riesgos
no se eliminan por completo, estas se reducen a niveles aceptables para el
funcionamiento de la organización mediante la aplicación de las medidas
necesarias y el establecimiento de políticas de seguridad que aseguren su
identificación, gestión y reducción.
El primer paso para la mitigación de las amenazas y
vulnerabilidades es conocerlas y afrontarlas de una manera adecuada, esto se
puede lograr a través de un inventario de activos, donde se enlisten todos los
dispositivos de almacenamiento, procesamiento y transmisión de la información
dentro de la organización para planificar la aplicación de medidas de resguardo
en dichos dispositivos.
La falta de aplicación de las medidas adecuadas
para evitar o mitigar las amenazas y vulnerabilidades puedan causar demandas
legales por daños causados a terceros por omisión, sin el conocimiento de la
organización.
Las medidas que tienden a mitigar los riesgos y
amenazas de las redes internas y externas de la organización son las
siguientes:
- Seleccionar
contraseñas seguras, preferiblemente deben estar compuestas por más de 8
caracteres, incluyendo números, letras minúsculas y mayúsculas y
caracteres especiales no alfanuméricos, que no contengan información
referente a fechas de nacimiento o nombres personales o de familiares o
mascotas, ni ninguna palabra que aparezca en el diccionario.
- Encriptar
los datos almacenados en los computadores de la empresa, los portátiles
asignados al personal que labora fuera de las instalaciones de la empresa
y los datos que sean transmitidos a través de la infraestructura de
comunicaciones de la organización.
- Configurar
los permisos a los usuarios con los mínimos privilegios que sean
necesarios.
- Detener
los servicios que no se usen.
- Usar
la cuenta de administrador de los dispositivos solo cuando sea
estrictamente necesario.
- Realizar
respaldo de los archivos importantes y de las bases de datos de la
organización para prevenir la perdida de información valiosa.
- Realizar
un registro donde se tenga un adecuado control de los cambios realizados
en la configuración de los dispositivos tecnológicos de la organización, para
tener un control del origen de los posibles problemas de seguridad informática
que se puedan presentar causados por los cambios realizados.
- Resguardar
y analizar los logs o registros de auditoría que se generan durante el
funcionamiento de los servicios instalados en los equipos, para detectar
posibles problemas que se puedan presentar y queden registrados a través
de este mecanismo.
- Mantener
actualizados los sistemas operativos usados dentro de la organización,
para eliminar las vulnerabilidades detectadas y corregidas en las
versiones anteriores.
- Evitar
las configuraciones por defecto de los dispositivos, ya que esta es
conocida a través de bases de datos de los fabricantes y puede ser
accedida por cualquier persona que disponga de esta información.
- Se
deben verificar las extensiones completas de los archivos recibidos, ya
que si se oculta la extensión de archivos conocidos en nuestro sistema
operativo, pueden ocultar scripts o ejecutables maliciosos que pueden
robar la información o instalar malware en el equipo.
- Evitar,
en la medida de lo posible el envío de información confidencial, bancaria
o personal, a través de computadoras de cibercafés, computadoras públicas
o enlaces a redes públicas abiertas, ya que esta información puede ser interceptada
por alguna persona que se pueda aprovechar de ella.
- Se
deben implementar planes de contingencia y de continuidad de negocio que
tomen en consideración la posible pérdida de toda o parte de la
infraestructura tecnológica de la organización, mediante la implementación
de medidas de seguridad lógica tales como respaldos de información en una ubicación
diferente a donde opera la empresa, resguardo de la infraestructura
mediante controles de acceso físicos (cercas, cerraduras, puertas con
acceso restringido, etc.), tener un registro detallado de las personas que
ingresan a los sitios con información sensible para la organización y
todas las medidas que en este sentido se consideren necesarias.
Tal como se menciono al inicio, los riesgos no se
pueden eliminar en su totalidad, pero si se pueden hacer esfuerzos que permitan
minimizarlos hasta niveles aceptables para la organización y garantizar que el
impacto que dichos riesgos ejerzan sobre las operaciones de la organización
puedan ser subsanados satisfactoriamente y se pueda volver a las operaciones
normales de la organización en un tiempo prudencialmente corto.
REFERENCIAS