•   Estados Unidos  |
  •  |
  •  |
  • The Economist

El tiempo promedio entre que un atacante viola una red y que su dueño se dé cuenta de la intrusión es de 205 días. Como la mayoría de las estadísticas ofrecidas por la industria de la seguridad cibernética, como el supuesto costo mundial de 575,000 millones de dólares por 90 millones de ataques cibernéticos, es poco más que una estimación aproximada.

No hay duda, sin embargo, de que los criminales y bromistas están prosperando en el ataque a computadoras y redes, que las compañías están pasando apuros para hacerles frente y que las empresas que ofrecen respuestas están cobrando altos honorarios.

Las penalizaciones por equivocarse con la seguridad cibernética son altas. Nortel, un gigante de las telecomunicaciones canadiense, fue a la quiebra en parte porque los hackers robaron mucha de su propiedad intelectual. Target, un minorista estadounidense, perdió los detalles de tarjetas de crédito de 40 millones de clientes, algunos de los cuales están demandándole. Su precio accionario se desplomó y su director ejecutivo renunció. Talktalk, una de las más grandes compañías de telefonía e internet en Gran Bretaña, está zozobrando después de un ataque en octubre que filtró información de sus clientes; la cual al parecer había sido almacenada sin encriptación, en una computadora accesible a través de un sitio web público.

Auge

Poco sorprendentemente, entonces, la industria de la seguridad cibernética está en auge. Un reporte del Bank of America Merrill Lynch estima que el mercado es de 75,000 millones de dólares al año ahora y será de 170,000 millones de dólares para 2020.

No solo la demanda está aumentando, sino también las barreras para entrar son bajas. Cualquiera capaz de farfullar un poco de jerga computacional puede establecer un negocio, aunque ayuda si se puede decir que se tienen antecedentes en un servicio de espionaje o en las fuerzas militares. A diferencia, digamos, de las empresas basadas en la ingeniería o la ciencia, no hay calificaciones estándar, ni asociaciones comerciales establecidas.

La variedad de productos es desconcertantemente amplia. Entre las que se ofrecen está “inteligencia de amenazas” --descubrir quién está planeando atacar a su compañía y por qué-- y “protección del punto final”, asegurarse de que nada esté acechando en sus computadoras o dispositivos móviles. Además, están la “prueba de penetración”, que es hackear sus propios sistemas para revelar debilidades de seguridad, y la “garantía de identidad”, para asegurarse de que solo las personas correctas entren en su red, por no mencionar la “respuesta a incidentes”, que trata con las consecuencias de los ataques y la “detección de anomalías”, lo cual significa detectar vandalismo buscando movimientos de datos peculiares.

Opciones

La calidad varía enormemente. Los peores productos podrían parecer que funcionan a la perfección, pero no hacer nada contra las amenazas reales. El software antivirus, por ejemplo, puede hacer un trabajo espléndido contra el antiguo software malevolente, pero fracasar en la detección de nuevas versiones, especialmente porque quienes inventan el malware lo sintonizan para que evada las defensas existentes. Habitualmente defienden contra solo un tipo de ataque. Otros productos hacen tan buen trabajo en detectar posibles fechorías que crean una plétora de falsas alarmas. Mantenerse actualizado es difícil, porque los malhechores que detectan debilidades rápidamente venden o comparten su conocimiento.

A los proveedores más sospechosos les ayuda el hecho de que los clientes, especialmente a nivel amplio, regularmente están mal informados sobre lo que están comprando. Comprender cómo trabajan los atacantes y lo que pretenden es difícil. Pocos ejecutivos superiores tienen suficientes antecedentes técnicos para comprender la encriptación o el diseño de red. Compartir datos sobre los ataques ayudaría a los compradores corporativos a estar más informados, pero conlleva sus propios riesgos: se podría violar la privacidad de los clientes al hacerlo y publicitar un ataque destaca lo que podría parecer incompetencia. Nuevas leyes pendientes de aprobación en Estados Unidos y la Unión Europea deberían dar algo de una muy necesaria claridad sobre qué revelación se requiere cuando suceden los ataques cibernéticos.

Líos

Todo tipo de compañías ofrecen servicios de seguridad cibernética, desde pequeñas empresas especialistas hasta gigantescas compañías de armas como BAE Systems, a la cual contrató Talktalk para solucionar sus líos. Las compañías más grandes están encontrando difícil conservar a su personal. Como en las industrias de relaciones públicas y de inteligencia corporativa, si uno sabe su negocio, puede ganar más dinero estableciéndose por su cuenta. Los capitalistas aventureros no están invirtiendo dinero en la industria tan pródigamente como lo hacían hace un año, pero la rápida tasa de crecimiento significa que recaudar capital sigue siendo fácil. Las grandes compañías siguen siendo capaces de hacer valer sus marcas --a nadie se le despide por contratar a IBM-- pero los mamíferos están derrotando a los dinosaurios.

Las soluciones puramente técnicas también están pasando de moda. Incluso la mejor tecnología no funciona si los humanos que la operan son descuidados o están mal capacitados. Los atacantes a menudo usan una combinación de hackeo de computadoras e “ingeniería social” --de hecho, trucos de confianza-- para obtener acceso a sus blancos. La gente que complacientemente da clic en los enlaces o abre archivos adjuntos en correos electrónicos falsos es la mayor debilidad de seguridad. Incluso la puerta más fuerte es insegura si quienes están adentro la abren a todos los que llegan.

Incluso los mejores productos de seguridad cibernética ofrecen poca protección contra empleados que sean sobornados o intimidados para que ayuden a los atacantes, o que alberguen rencor contra sus jefes. Erradicar a esas personas requiere un enfoque más como el del mundo del espionaje. Capacitar a personal leal para que sea sensato, mientras se evita enfurecerlo con reglas restrictivas o paralizarlo por temor, es difícil. Naturalmente, hay firmas consultoras emergentes que están dispuestas a ofrecer este tipo de servicio.

Atacantes con nuevas oportunidades

La seguridad empeorará antes de mejorar. El “internet de las cosas”, conectar todo tipo de aparatos electrodomésticos a la web, ofrece nuevas oportunidades a los atacantes.

Muchas compañías no tienen una comprensión adecuada de la amenaza que enfrentan. Eventualmente, se volverán más selectivas y ahorrativas. Por ahora, sin embargo, las compañías de seguridad cibernética de todo tipo pueden darse un festín con el infortunio.

  • 170 mil millones de dólares generará la seguridad cibernética para el año 2020.
Últimos Comentarios
blog comments powered by Disqus