A raíz de la pandemia del Covid-19, durante 2020 aumentó considerablemente el trabajo a distancia y el uso de canales online, lo que a su vez amplificó el nivel de riesgo de exposición de las personas y de las organizaciones frente a posibles vulneraciones digitales.
“Los principales ataques que vimos el año pasado y que seguirán afectando tanto a personas como organizaciones son los relacionados al phishing, ransomware, amenazas persistentes avanzadas (APT: Advanced Persistent Threat) y denegación de servicios”, detalla Ricardo Seguel, profesor de la Facultad de Ingeniería y Ciencias (FIC) UAI. El académico explica que este tipo de ataques llevan a una variedad de ciberdelitos como robo de identidad y de datos personales, dinero, propiedad intelectual, robo y exposición de información legal, fraude y extorsión de organizaciones criminales.
Es por eso que hoy más que nunca es necesaria la protección frente a estas ciberagresiones. En esa línea, Ricardo Seguel agrega que son fundamentales la educación y la sensibilización de las personas sobre el uso responsable de los dispositivos móviles, sus datos personales y la información de sus organizaciones.
Ricardo Seguel es el Director del Magíster en Ciberseguridad UAI.
“Para proteger la privacidad, integridad y disponibilidad de los datos de las personas, las organizaciones deben contar con controles de protección y detección para prevenir el acceso no autorizado. Para esto requieren reforzar los protocolos de quién, qué, cómo, dónde y cuándo se accede a una fuente de datos; establecer esquemas de autenticación y encriptación robustas; contar con procedimientos actualizados que deben ser seguidos por los colaboradores; implementar controles digitales y físicos de acceso a la infraestructura tecnológica y a las fuentes de datos; fortalecer los programas de educación, atracción de talento y sensibilización de los colaboradores; y disponer de monitoreo de actividad para evitar la fuga de información desde el interior de las empresa e instituciones públicas”, indica Seguel.
Es un desafío de gran escala. Y las organizaciones ya no solo deben preocuparse de los ataques externos, sino también del “enemigo interno” que, por error, omisión o intención, abre una brecha de seguridad que los atacantes aprovechan sin tener que hackear ninguna vulnerabilidad para ganar acceso. Por el contrario, se benefician de un acceso válido para robar información. “Por esta razón, es crucial que las empresas e instituciones públicas implementen los controles de contratación de colaboradores y proveedores, junto con los controles mencionados”, señala el académico, quien también es Director del Magíster en Ciberseguridad UAI.
¿En qué consisten los ataques?
Ricardo Seguel explica los distintos tipos de ataques que existen y a los que se debe poner atención durante 2021. Uno es el phishing, dirigido directamente a engañar a una persona por medio de un mensaje con una oferta o una noticia falsa (fake news) para que clickee un enlace que lo lleva a un sitio web -u otro lugar montado por el atacante-, quien se hace pasar por una organización u otra persona. “La víctima podría descargar contenido o software malicioso (malware) en su dispositivo móvil o computador sin darse cuenta, e incluso le podrían incitar a enviar datos personales, claves y números de tarjetas de crédito a la supuesta organización o persona”, explica. El profesor agrega que el phishing por lo general es utilizado como primer paso dentro de un esquema de vulneración más complejo.
Por otra parte, el ransomware consiste en un software malicioso (malware) que se descarga en un dispositivo móvil o computador, que al ejecutarse salta los controles del antivirus y firewall local, explotando una vulnerabilidad del sistema operativo, bloqueando el dispositivo y tomándolo como rehén para que la víctima pague un rescate en criptomonedas al atacante y este no sea trazado. “El ransomware podría robar toda la información de la víctima enviándola al sitio del atacante, por lo que el rescate muchas veces no es solo para liberar el dispositivo rehén, sino que también para que el atacante no divulgue o venda la información robada. Obviamente nada asegura que un ciberdelincuente cumpla su palabra”.
Otro tipo de ciberfraude es la “amenaza persistente avanzada” (APT: Advanced Persistent Threat), malware que se descarga y pasa desapercibido, comenzando a buscar acceso a la red de la víctima para diseminarse en la de la casa o empresa. “Este malware puede estar semanas o meses sin ser detectado, infectando los dispositivos de la red para robar información. Incluso, puede descargar ransomware a los dispositivos de las víctimas para tomar rehén la infraestructura completa de una organización”, advierte Seguel.
La denegación de servicios es un ataque que pretende dejar fuera de línea la infraestructura crítica de una empresa o institución pública, como un e-commerce, una planta de energía, un aeropuerto, entre otros. “Este ataque puede ser ejecutado desde el interior con un APT o desde el exterior con la toma de rehén de dispositivos de otras empresas, o un mix”, dice el profesor. Dado el aumento de los aparatos IoT (Internet of Things) y su baja protección, el académico agrega que se han vuelto el “blanco perfecto” para tomarlos bajo control y lanzar un ataque distribuido de denegación de servicios, como el ocurrido a Wikipedia en septiembre de 2019.