CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

La ciberseguridad llegó a la mente de todos en 2017. ¿Y ahora qué?

Las charlas sobre 'hackeos' y ciberfraudes ya no se limitan a los entusiastas de los 'gadgets'. La seguridad tecnológica ya es una preocupación de todos.

Aaron Robinson/CNET

La primera semana del ciclo Octubre de Concientización sobre Seguridad Cibernética en Estados Unidos comenzó con un gran estruendo.

Lamentablemente, no fue porque la campaña tuvo mucho éxito al despertar conciencia sobre las amenazas digitales. Apenas habían transcurrido tres días del mes, y el ex presidente ejecutivo de Equifax, Rick Smith, presentó su declaración ante el Congreso de la Unión sobre cómo la compañía de información crediticia perdió información sensible sobre 145.5 millones de estadounidenses y, al mismo tiempo, Yahoo confirmó que el infame hackeo de su sitio Web en realidad comprometió 3,000 millones de cuentas, no 1,000 millones, como lo habían anunciado anteriormente.

Expertos como Michael Kaiser y Phil Reitinger han dedicado sus carreras a prevenir al mundo sobre las amenazas en línea de la mala seguridad. La Alianza Nacional de Seguridad Cibernética, donde Kaiser se desempeña como Director Ejecutivo, ayudó a crear la campaña de concienciación en 2004, pero nada ha sido más efectivo que los hackeos de 2017, para hacer de la seguridad una palabra común en todos los hogares.

Después de haber sido ignorada durante años, la seguridad cibernética se ha abierto camino en la conversación nacional gracias a los ataques más significativos que se han registrado y que han afectaron las finanzas personales, los dispositivos domésticos de estadounidenses y hasta la escena política. Los investigadores vieron las señales en la pared desde hace varios años, pero han tenido que enfrentar serias dificultades para lograr que la sociedad escuche sus advertencias.

"Era mi responsabilidad crear conciencia sobre el riesgo de no preocuparse por la ciberseguridad", dijo Reitinger, Presidente Ejecutivo de Global Cyber Alliance y ex Director de Ciberseguridad del Departamento de Seguridad Nacional. "Lamentablemente, he fracasado consistentemente en los últimos 20 años, al igual que todos los demás en la industria".

Hablar de seguridad puede ser complicado, y las conversaciones suelen ser reactivas más que proactivas. Es posible que hayas escuchado sobre el problema Apache Struts, solo después de que Equifax no pudo actualizar un parche de seguridad, o sobre el explosivo problema EternalBlue, solo después de que el ataque WannaCry secuestró a más de 200,000 computadoras en todo el mundo.

Incluso hoy, para algunos, esos nombres pueden dejarlos rascándose la cabeza.

Este es un problema que también nos afecta en otras áreas: regularmente escuchamos sobre incendios forestales, pero no hablamos mucho sobre la prevención de incendios. Y, wow, vaya que vivimos grandes infiernos de seguridad en 2017. Al menos una vez al mes aparecieron revelaciones sobre un gran hackeo, violación o falla de seguridad. 

Por esta tendencia de incidencias crecientes, los expertos en seguridad viven un raro momento en el que hay una gran conciencia. Así es como llegamos a este punto.

En la puerta de tu casa

Los fraudes y el robo de datos masivos no son noticia nueva. En años pasados han afectado a empresas como Target, Whole Foods y varias cadenas hoteleras. Sin embargo, ninguno ha tenido el efecto de la vulneración de datos de Equifax.

La compañía de información crediticia recolecta números de Seguro Social, historiales crediticios, direcciones, nombres y fechas de nacimiento de millones de estadounidenses como parte de su negocio. Sin embargo, el pasado mes de septiembre, la firma reconoció que un ataque había expuesto los datos de 145.5 millones de personas.

Al menos en los hackeos de Target y Whole Foods, las víctimas podían ir a la tienda y cancelar la tarjeta de crédito que habían utilizado. Con Equifax, la historia es muy diferente.

"No tuvieron otra opción más que aceptar que habían robado su información personal y que estaban monetizándola", dijo la Senadora Catherine Cortez Masto, una demócrata del estado de Nevada, durante una audiencia que se llevó a cabo el pasado 8 de noviembre sobre Equifax y Yahoo. "Se quedan atrapados por el resto de sus vidas lidiando con los resultados de una violación".

Con la mayoría de los ataques cibernéticos, la atención desaparece en la medida que las noticias avanzan y llegan nuevas. Pero las víctimas de Equifax lidiarán con los daños durante mucho tiempo. Los datos expuestos tienen mucho más potencial de daño que las contraseñas y números de tarjetas de crédito robados.

Ataque masivo

El Kaiser de la Alianza Nacional de Seguridad Cibernética ha estado advirtiendo sobre el ransomware desde 1989. Pero no fue hasta este año que el malware rompió dramáticamente en la escena pública y la gente comenzó a escuchar.

El ataque de WannaCry se propagó utilizando una herramienta robada de la NSA, saltando de computadora en computadora a través de hospitales, universidades, compañías telefónicas, aeropuertos y otros lugares. En un solo día, el malware se encontró en computadoras de 150 países, particularmente en versiones obsoletas de Windows. Fue un ejemplo particularmente desagradable del ransomware, que es un software malicioso que bloquea los dispositivos hasta que las víctimas pagan por liberar la información.

"Es un número masivo muy extenso para un período de tiempo muy corto. Sólo ese tipo de eventos despierta la consciencia de las personas hasta el hecho de que podrían ser víctimas", dijo Kaiser.

La escala de los ataques llamó la atención del público. Yahoo le dio al público 3,000 millones de razones para preocuparse por la seguridad. El problema de Equifax afectó a casi la mitad de la población de Estados Unidos.

"Nunca habíamos visto un impacto en los consumidores tan grande como el de este año", dijo Tyler Shields, Vicepresidente de Estrategia de la compañía de seguridad Signal Science. "Prácticamente todo el mundo se vio afectado. Eso es lo que llevó la seguridad al léxico convencional".

¿Y, ahora que?

Los defensores de la seguridad finalmente parecen tener la atención del público, y la esperanza es que las personas, incluidos los legisladores, tomen más en serio sus consejos.

En el último año, el Congreso de la Unión celebró audiencias sobre fraudes muy importantes, propusieron leyes para ayudar a reforzar la seguridad deficiente para el Internet de las Cosas, e investigó la piratería informática extranjera relacionada con las elecciones presidenciales de 2016. Es un buen comienzo, pero los investigadores de seguridad esperan que la nueva conciencia no sea solo una fase.

"Tenemos la atención [del público], y ahora realmente tenemos que salir y ayudarlos a reforzar las reglas", dice Kevin Haley, Director de Seguridad en Symantec. "Va a ser necesario que personas como nosotros proporcionemos soluciones sencillas. No vamos a convertir a cada persona en un experto en seguridad".

La industria de la seguridad tiene una oportunidad, pero no puede arrastrar los pies. Shields señaló que cada violación tiene un "período de deterioro de la conciencia", lo que significa que, finalmente, la gente se olvidará de ello. Aún así, dijo, "la conciencia que surge de estos fraudes, si lo hacemos bien, es muy valiosa".

Hacer las cosas bien significa explicar los conceptos de seguridad de una manera que sean fácil de entender ––y conseguir que las personas realmente adopten prácticas seguras. Solo tenemos que recordar, Equifax era completamente consciente de sus debilidades de seguridad, pero no los solucionó. Ese es el reto. Para lograrlo se tiene que trabajar a través de la legislación, pero eso sería exigible sólo con el apoyo de las organizaciones.

El cambio no ocurrirá de una sola vez en 2018, o incluso en los próximos cinco años, dice Reitinger. El experto piensa que las cosas empeorarán durante el próximo año, pero que eventualmente, para la próxima década, la vida debería ser mejor. "La situación ha empeorado y el nivel de conciencia claramente se ha elevado", dijo. "Pero todavía no está en donde debe estar".