Tres Mitos sobre la Ciberseguridad

Hoy en día, es crucial proteger nuestra información digital (desde bases de datos de clientes hasta listas de contactos personales y fotografías de seres queridos). Resguardar nuestros números de identificación, mantener facturas lejos del alcance de defraudadores digitales y asegurarnos de que la comunicación con proveedores, colegas y familiares sea segura y no manipulada por cibercriminales, son aspectos fundamentales que debemos proteger a través de buenas prácticas de ciberseguridad. Estas prácticas pueden ser implementadas por cualquier usuario de Internet para reducir la posibilidad de ser víctima de un delito informático.

Desde microempresas hasta grandes instituciones públicas, militares y agencias de investigación, todos implementan mecanismos de ciberseguridad. Términos como contraseñas seguras, sistemas actualizados con parches de seguridad y antivirus forman parte de lo que consideramos los tres grandes mitos de la ciberseguridad.

Las formas de intrusiones informáticas maliciosas incluyen ataques de hombre en el medio (MITM), escuchas paralelas y hasta clonación o suplantación de identidad, las cuales se materializan a través de la interceptación de nuestras comunicaciones, monitoreo de tráfico en red y otras prácticas que facilitan la suplantación de nuestra identidad en Internet (Kwan et al., 2008).

Por lo tanto, el primer mensaje de esta lectura es que las prácticas cibercriminales no se contrarrestan únicamente con una contraseña segura, necesitamos medidas adicionales. Los cibercriminales pueden interceptar nuestras sesiones de trabajo y apoderarse de nuestras credenciales, aprovechando la información que «escuchan» clandestinamente en prácticas como el Sniffing (olfateo de datos) (Toro-Álvarez, 2023). En la lógica de una conexión a Internet lo primero que viaja en la red son los identificadores de la transmisión y nuestras credenciales de acceso.

Muchas veces esa información ha sido almacenada por los exploradores y se envía a través de Internet en un mismo paquete como una llave armada lista para abrir el acceso a los servicios requeridos, lo cual resulta práctico a la hora de no tener que digitar nuestro password permanentemente, sin embargo, debido al almacenamiento de esta información pregrabada los delincuentes informáticos no requiere tratar de adivinar nuestra larga y compleja contraseña (en el caso que esas sean las características de nuestras credenciales), sino que solo enfocan esfuerzos en interceptar esa “llave”, que ya lleva la autorización de ingreso a una sesión en el banco y aprovechar ese autenticación mientras está activa.

Del mismo modo, no necesitan nuestras contraseñas para suplantar nuestra identidad; la información que publicamos en redes sociales puede ser suficiente. Por ejemplo, al publicar sobre vacaciones o agendas familiares, inadvertidamente informamos a los ladrones de casas cuándo estará desocupada nuestra vivienda y a qué hora regresaremos para que sean considerados y evitemos encontrarlos incómodamente con las manos en la masa sobre nuestras pertenencias.

El segundo mito para abordar tiene que ver con la premisa de actualizar nuestros sistemas de manera permanente y con ello proveernos de una sensación de protección en el ciberespacio. De hecho, en un reciente estudio realizado por el Centro para la Investigación del Cibercrimen y la Ciberseguridad de Boston University (2023) se encontró que esta recomendación es la más común entre grandes expertos, entre científicos dedicados a asegurar sistemas informáticos y entre medios de comunicación especializados en ciberseguridad.

Es importante recordar que la Internet, como la gran red de redes, fue creada para compartir información, para interactuar de manera abierta, de manera insegura frente a la cantidad de “adversarios digitales” que existen hoy en día. Por lo tanto, la naturaleza de cada sistema que se conecta a la Internet hereda esa vulnerabilidad con un factor adicional de riesgo al que podemos denominar la multi-direccionalidad de los ciberataques.

Los grupos cibercriminales no solo utilizan un punto de llegada a nuestra infraestructura y un punto de salida, ni se motivan solo por la ganancia económica, no sólo tienen acceso a un software malicioso o a un vector de ataque; por el contrario, las intrusiones informáticas y en general las acciones delincuenciales en línea tienen diferentes rutas, diferentes formas de hacerse con nuestros activos digitales o incluso de ingresar a una parte de nuestra infraestructura, alojarse allí y utilizar herramientas licitas de los mismos sistemas para perpetrar su accionar ilegal.

El caso particular del ciberataque a la cadena de hoteles Marriot a finales del año 2018 es una muestra de ello. Por más de tres años (desde el 2014) los datos y conexiones que se realizaron en las salas de juntas de estos hoteles alrededor del planeta fueron escuchados, almacenados y aprovechados por delincuentes digitales (BBC New, 2018; Requena, 2018; Daasel, n.d.).

Con este caso y muchos más que ocuparían una larga lista, podemos evidenciar la múltiple motivación de los cibercriminales la cual no nos asegura que una intrusión termina tan pronto como ocurre una brecha de ciberseguridad, por el contrario, si no es la motivación cibercriminal una extorsión inmediata o una ganancia económica directa, otros intereses políticos, corporativos, venganza, ego o desviación pueden hacer de un ciberataque una combinación de diferentes técnicas e intereses. Aquí es posible encontrar el uso de software malicioso con diferentes funcionalidades y hasta el trabajo en “equipo” de diferentes grupos de criminales, incluso atacando a una misma víctima o frente a múltiples usuarios y empresas en Internet.

Las múltiples fases o combinación de niveles de ciberataques les permiten a los intrusos digitales crear puertas traseras, configurar conexiones para descargar o instalar otras herramientas digitales de espionaje, robo de datos, o de aprovechamiento de los recursos de la máquina víctima para hacer procesamiento de criptomonedas, lo que conocemos como cripto minería.

También estas capacidades le permiten al adversario habilitar centros de comando y control donde el equipo infectado es utilizado como equipo “zombi” sin que su propietario se dé cuenta de su estado de contaminación y de esta manera ser unido arbitrariamente a un gran grupo de equipos que estando bajo el control del mismo grupo delincuencial pueden ser activados en cualquier momento para atacar a la infraestructura de una corporación en lo que se conoce como una Botnet y un ataque de denegación de servicio distribuido (DDoS) (Choi, 2015).

En conclusión, el segundo mito existe porque se desconoce que un ciberatacante puede utilizar las capacidades de nuestros sistemas para aprovecharlas de manera maliciosa, y esto incluye tomar control a través de las funcionalidades licitas que cada sistema cuenta, lo cual no puede ser contrarrestado con actualizaciones o “parcheos” de ciberseguridad dadas las acciones multifacéticas, multi dimensionales de los ciberataques, de los atacantes y sus armas digitales o de nuestra infraestructura.

Este paisaje polimórfico de la ciberseguridad, discutido en el reciente congreso internacional de tecnología y ciberseguridad (Urrea, 2023), nos lleva al tercer mito: creer que un antivirus nos protege completamente. Los sistemas antivirus son limitados y no detectan las amenazas más sofisticadas, como gusanos digitales capaces de ocultar su presencia en la infraestructura que están irrumpiendo.

El software malicioso ha evolucionado, permitiendo a los cibercriminales utilizar armas informáticas avanzadas las cuales aplican técnicas de mimetismo e hibernación que les permite pasar desapercibidos incluso en entornos de monitoreo y ciberseguridad avanzados (Choi & Toro-Álvarez, 2017). De esta manera, si pensamos que estamos protegidos al tener un antivirus actualizado, contar con una contraseña segura y disponer un sistema recién actualizado, estaremos alimentando un falso escenario de defensa cibernética y estaremos listos para que el año 2024 nos reciba con altas probabilidades de ser víctimas en línea.

Ante esta situación, el equipo de expertos en ciberseguridad de GEODESE recomienda cinco estrategias prácticas y accesibles para todos los usuarios de Internet, desde individuos hasta grandes corporaciones. Estas sugerencias incluyen

encriptar nuestros datos, realizar copias de seguridad periódicas, proteger con cifrado y almacenamiento seguro esos respaldos, ampliar el espectro de protección y monitoreo tecnológico e implementar auditorías de ciberseguridad. Aspectos que serán abordados ampliamente en nuestra próxima entrega.

Referencias Bibliográficas

BBC News. (2018). Marriott: un ataque informático deja expuestos los datos de 500 millones de clientes del grupo hotelero. BBC News Mundo.  https://www.bbc.com/mundo/noticias-46404767

Center for CIC. (2023). More common cyber-attacks and their countermeasures. Literatos. Boston, MA.

Choi, K. S. (2015). Cybercriminology and digital investigation. LFB Scholarly Publishing.

Choi, K. S., & Toro-Álvarez, M. M. (2017). Cibercriminología: Guía para la Investigación del Cibercrimen y Mejores Prácticas en Seguridad Digital. Fondo Editorial Universidad Antonio Nariño.

Daasel. (n.d.). La crisis de Marriott reafirma el problema de ciberseguridad de los hoteles. https://daasel.com/ciberataque-a-marriott-el-segundo-mas-grande-de-la-historia/

Kwan, L., Ray, P., & Stephens, G. (2008). Towards a methodology for profiling cyber criminals. In Proceedings of the 41st Annual Hawaii International Conference on System Sciences (HICSS 2008) (pp. 264-264). IEEE.

Requena, M. A. (2018). Ciberataque a Marriott expone datos de 500 millones de clientes. CNN. https://cnnespanol.cnn.com/video/ciberataque-hoteles-marriot-informacion-clientes-vo-panorama-mudial/

Shoemaker, D., & Kennedy, D. B. (2009). Criminal profiling and cyber-criminal investigations. In F. Schmalleger and M. Pittaro (Eds.), Crimes of the Internet (pp. 439-455). Upper Saddle River, NJ: Pearson Education, Inc.

Toro-Álvarez, M. M. (2023). 18. Hacking. Handbook on Crime and Technology. In Don Hummer & James Byrne (eds.) Handbook on Crime and Technology, pp. 334.

Urrea, A. (2023). Casi 47 mil colombianos cayeron en trampas de cibercriminales durante el 2023: ojo a estos consejos. Noticias Caracol.  https://noticias.caracoltv.com/colombia/casi-47-mil-colombianos-cayeron-en-trampas-de-cibercriminales-durante-el-2023-ojo-a-estos-consejos-rg10