Mayo 12 de 2017
El
viernes 12 de mayo de 2017 quedará registrado en los blogs, Wikipedia y
cualquier elemento que permita registrar información; en especial, en las
trazas de auditoría de muchas empresas del soberbio ataque, sin precedentes,
causado por un código malicioso, que, por su característica de ataque y
efecto, es catalogado como: "ransomware". El ataque, entre sin entrar
en detalles, fue en "casi" 100 países y más de 45.000 empresas.
Este,
ya muy popular ataque, excesivamente rentable para quienes lo diseñan y
usan, puede hacer vivir a cualquier ser humano computista, la peor de sus
pesadillas, en virtud que, de ser víctima de un ransonware, recibirá un
mensaje que no podrá acceder a sus valiosos datos a menos que realice un pago
como costo de rescate por su valiosa información, y, de no recibir este pago,
los datos serán destruidos en un plazo, que los ciberdelicuentes hayan
definido. Es importante aclarar que el pago del rescate se hace en
criptomonedas, a través de billeteras electrónicas, donde la traza de este tipo
de pagos y registros, en la actualidad se lleva a cabo con el más alto nivel de
confidencialidad, es decir, entre dos personas. De allí la alta efectividad e
incentivo que produce que este delito, sea el que mayor evolución haya tenido
en los últimos años. Explicar más de esto es aburrido.
Razón para escribir esta entrada en el blog
Luego
de más de un año sin escribir nada, realmente pienso que no vale la pena
escribir y escribir, a menos que sirva para algo. Sin embargo, en este momento
me motiva dejar registro en este blog que lo que pasó en este ciberataque,
ha sido advertido desde los años en que yo me inicie en en el mundo de la
seguridad de la información. Eso fue en 1994. Recuerdo bien que ese momento,
porqué lo que yo vendía no eran "test de penetración" o
"ataques" para determinar que tan bien se encontraba la seguridad de
la red. Eso lo hacia otro consultor de excelentísimo nivel, con gran
experiencia que trajo desde otra prestigiosa empresa, que proveía herramientas
de clase mundial para hacer ese trabajo. Mi tarea, nada fácil, era visitar
compañías, la mayoría instituciones financieras, para promover lo importante
que era sensibilizar a las personas en la seguridad
de la información. El objetivo era desarrollar programas de
sensibilización para que la gente tuviese mayor conciencia y
menor propensión a caer en trampas cibernéticas, entiéndase en ese momento
de los "virus" y de la ingeniería social. Es obvio que hace 23 años
vender lo que pretendía vender era sumamente difícil. Recuerdo que nunca
pude vender un taller en forma única, más si, vendí varios "risk
assessment" y en ellos se incorporaba la parte
de sensibilización. Adicionalmente yo no daba los talleres
de sensibilización, no tenía la imagen de "duro" para mostrarles
en la cara a aquellos incrédulos, que podían vivir el apocalipsis
cibernético. Eso lo hacía otro consultor que traíamos del exterior,
con cara de haber vivido todas las guerras. Por supuesto no
hablaba español.
La P%$* Cultura
Han
pasado un par de décadas desde que me prometí no abandonar esta profesión.
Creo en ella. No todas las personas que me conocen en el ámbito profesional
saben que he estado en este mundo desde entonces. Me relacionan más con riesgo
operacional y riesgo tecnológico. La razón sigue siendo la misma. Nunca nos hemos
caracterizado por ofrecer soluciones de seguridad en hardware o software.
Siempre hemos querido movernos en el mundo de la sensibilización de la
seguridad de la información, en la estrategia y los planes. El
motivo fundamental a no cambiar fue demostrado ayer. Cuando se
está leyendo en detalle las noticias del evento del 12 de mayo y se
identifica que los miles de millones de dólares que se han gastado en
protección de los activos de información se vino abajo simplemente porque
un anexo de un correo electrónico, que contenía el código malicioso, fue
activado por un "clic" de un usuario de cualquiera de esas, más de
45.000 empresas, produjo el mayor ciberataque jamás ocurrido en
la historia del blah, blah, blah, solo se le puede venir a la mente a
uno este pensamiento: la p%$* cultura.
La levedad de las conciencias
Leer
los análisis de muchos artículos de la prensa en línea, refiriéndose al tema,
no provoca más que profunda preocupación de la cantidad de argumentos
sin base y sin razón, que escriben muchos "conocedores" del tema. A
priori se podría pensar que hasta se sienten culpables por formar parte de
los tantos miles de haber presionado ese clic para ver que venía en el
anexo de su correo. Pero no se debe ser rudo con ellos. Realmente hacen un
trabajo de sensibilización, aunque pudiese ser mejorado. De alguna manera
trasmiten al mundo el caso, de cómo ocurrió, tal vez en forma muy ligera qué lo
causó. Lo realmente dramático son los comentarios que le agregan algunos
suscriptores, en los foros y artículos de periódicos en línea. Esto lleva a
pensar que el Armagedón cibernético aún no se ha materializado. Por ejemplo,
muchos culpan a la mayor plataforma ofimática que es usada en el 98% de
todas las organizaciones en el mundo. Ciertamente, el código malicioso
saca provecho de dichas vulnerabilidades, pero de allí culpar la plataforma
provee señales altas de insensatez. Algunos otros mencionan prohibir legalmente
el uso de las criptomonedas. No sé cual es peor, esta o la anterior; y por
último, alguien se atreve a decir que hay que desconectarse. muy irónico
este, sobre todo que tiene cuenta en Facebook, Twitter y se evidencia
que opina a diario en dichos foros. Y así otros cientos de "expertos"
opinando acerca de qué hacer y qué no. Realmente lleva a concluir que han
pasado dos décadas en las que se ha vendido mucho hardware y software,
pero nada de cultura. No estamos siquiera en la línea base en lo que
a sensibilización se refiere, estamos por debajo. Para el ransomware no hay una
herramienta que funciones por si sola. Debe funcionar en tándem con
otras cosas, posiblemente con más herramientas. Diría un proveedor, no muy lejos de la realidad. Pero lo
cierto, es que el ingrediente más importante de todas estas soluciones es la
cultura. Puede que exista un triángulo virtuoso (deformando el
circulo) en el que la cultura, la criptografía y los respaldos de la
información puedan ser una posible solución combinada para la recuperación
del desastre, pero de nuevo, se requiere no ser tan ligero de conciencia en la
importancia que reviste el tema.
Para finalizar una breve anécdota
Hace unas cuantas semanas, me encontraba de viaje y me conseguí con un gran amigo que está cargo de una empresa que brinda outsourcing de servicios de seguridad (mssp); y me pregunta en cuanto le vendería un firewall de última generación (él sabe que no vendo eso). Le contesté que se lo vendería en 72.000US$. Reflexionó y me pregunta a continuación. En cuánto le vendería un programa de sensibilización a sus clientes y le contesté que se lo vendería en 72.000US$. Me contestó: ¿Qué?, ¿Porqué?, ¿No piensas que es mucho dinero? Mi argumento fue que el firewall sin duda lo protegería, pero más lo protegería un programa de entrenamiento ante eventos que le ayudarían a minimizar los impactos, mejorar la seguridad y estar prestos a una rápida recuperación. Eso no lo hace un firewall. Por supuesto no me compró nada, pero reconozco que tampoco he sido un buen vendedor.
Para finalizar una breve anécdota
Hace unas cuantas semanas, me encontraba de viaje y me conseguí con un gran amigo que está cargo de una empresa que brinda outsourcing de servicios de seguridad (mssp); y me pregunta en cuanto le vendería un firewall de última generación (él sabe que no vendo eso). Le contesté que se lo vendería en 72.000US$. Reflexionó y me pregunta a continuación. En cuánto le vendería un programa de sensibilización a sus clientes y le contesté que se lo vendería en 72.000US$. Me contestó: ¿Qué?, ¿Porqué?, ¿No piensas que es mucho dinero? Mi argumento fue que el firewall sin duda lo protegería, pero más lo protegería un programa de entrenamiento ante eventos que le ayudarían a minimizar los impactos, mejorar la seguridad y estar prestos a una rápida recuperación. Eso no lo hace un firewall. Por supuesto no me compró nada, pero reconozco que tampoco he sido un buen vendedor.