Ciber-seguridad y la importancia de educar ahora.
Por
Carolina Adaros Boye | 2018-07-30 | 05:56
<p>El jueves 26 de Julio desperté con la noticia de la filtración de datos de varias tarjetas de créditos en Chile. Justo estaba en una conferencia en Portugal donde hice una presentación acerca de cómo acciones descuidadas de distintos actores facilitan el éxito de ciertos tipos de ciber-ataque. Respecto a este tipo de problemas se habla mucho de la necesidad de introducir medidas orientadas a modificar el comportamiento humano. Una de las claves para ello es la educación lo cual debe ser promovido a nivel país. La falta de ella se ve clara cuando algún evento relacionado con ciber-seguridad llega a las noticias y aparecen una variedad de interpretaciones erróneas de la situación. En lo general, veo que suelen suceder tres cosas. Primero, es que se empiezan a difundir mensajes que solo contribuyen a desinformar y crear confusión, incluyendo cosas definitivamente falsas. Lo segundo es que empieza el deporte de cacería de culpables dejando a segundo plano el establecer soluciones. Claramente en hechos de esta gravedad es importante establecer responsabilidades, pero las prioridades deben ser en primer lugar enfrentar la contingencia y luego trabajar en aplicar medidas para evitar (o hacer más difícil) que algo así vuelva a ocurrir. La tercera cosa es que se simplifica el problema. Muchas veces nos quedamos con el encabezado de una noticia y hacemos supuestos sobre lo que realmente pasa en vez de intentar comprender mejor un tema.</p><p>Hoy en día la tecnología acompaña todos los ámbitos del quehacer humano y esto ira en aumento trayendo múltiples posibilidades de mejora a nuestra calidad de vida. Pero también muchos problemas, los cuales recién se están empezando a visualizar y a discutir pero que en el fondo constituyen una caja de Pandora. Solo sabemos que están ocurriendo grandes cambios y más rápido que nunca y que es necesario que vayan acompañados de una evolución en la manera de pensar y actuar de las personas. Una de las muchas realidades que hay que asimilar hoy en día es que los crímenes cibernéticos llegaron para quedarse. Con esto último no quiero decir que estamos desamparadamente a merced de los “hackers”. Por el contrario, hay muchas cosas que podemos y debemos hacer para prevenir y defendernos de ataques. </p><p>Por supuesto que como clientes hay que exigir a bancos y empresas garantías de que tienen políticas y planes de seguridad adecuados para prevenir ataques. Pero lo cierto es que hay que saber que en muchos casos los ataques sucederán de todas formas por lo tanto también es importante que tengan medidas de respuesta, contingencia y recuperación si algo pasa. Para explicarlo de mejor manera, la tecnología facilita (y muchas veces <a href="https://www.theatlantic.com/technology/archive/2011/03/technology-is-not-the-answer/73065/">amplifica</a>) características propias del desenvolvimiento humano. Y el crimen es una de ellas. Por lo tanto así como nos cuidamos de que nuestra integridad física y propiedad no sean vulneradas en “el mundo real” tomando medidas como cerrar la puerta de la casa con llave, lo mismo debemos hacer cuando utilizamos internet. Por ejemplo, cuidando nuestras contraseñas y claves tan bien como cuidaríamos la llave de nuestra casa. También es importante conocer nuestros derechos como consumidores cuando utilizamos un servicio o producto que podría ser vulnerado. Incluso si no hay datos financieros o confidenciales de por medio. Pero ojo, si bien quienes nos proveen esos productos y servicios son los mayores responsables en que estos sean seguros, también como usuario tenemos un mínimo de responsabilidades. </p><p>La ciber-seguridad es una disciplina relativamente nueva por lo tanto hoy en día hay una falta de profesionales en el área a nivel mundial. Somos muchos quienes nos estamos formando en esto. Sin embargo, la contienda es desigual. Esto porque la tecnología se hace parte cada día más de todas las actividades en que nos desempeñamos y esto no está siendo acompañado de educar a la sociedad en usarla de manera segura. Las empresas y gobiernos también han tenido dificultades en adaptarse, lo cual ha creado espacio para que los atacantes aprovechen un sin número de vulnerabilidades que pueden ser técnicas, pero que también a veces son humanas. Y la mayoría de las veces, un conjunto de ambas. Lo cierto, es que si no nos preparamos todos, personas, gobiernos y empresas, para la sociedad tecnológica en que vivimos la situación va a empeorar. </p><p>Para tener una licencia de conducir hay que tener nociones básicas de cómo funciona un vehículo a motor, así como de las reglas del tránsito. Se espera que todos los conductores sepan cosas mínimas para su propia seguridad y la del resto. Para ocupar servicios por internet no se requiere saber casi nada de seguridad. Tampoco para tener una tarjeta de crédito, o para conectar dispositivos inteligentes en nuestras casas. Pero todos deberíamos tener al menos un mínimo de conocimiento sobre cómo funcionan las cosas que utilizamos con el fin precisamente de evitar riesgos. Por ejemplo, en el caso de los números de tarjeta de crédito filtrados. Supongo que al menos los que realizan compras por internet están conscientes que para realizar compras internacionales por internet, la mayoría de las veces solo les van a exigir el número de tarjeta y el código de verificación (los 3 dígitos en la parte de atrás). Pero esto debiera saberlo cualquiera que tenga una tarjeta de crédito, aunque no la use para comprar en internet. Porque si otra persona obtiene estos números si podría usarla. Alguien que sabe esto, sabe que cambiar el pin no es suficiente y que cambiar la clave de internet de la cuenta del banco no tiene nada que ver para lo que respecta el caso del robo de números de tarjeta de crédito. Esto puede parecer obvio para muchos, pero lo cierto es que ha habido mucha desinformación y supe por ahí de gente corriendo a cambiar sus claves a los cajeros, lo cual podría darles una falsa sensación de que lo que hicieron es suficiente. </p><p>Tanto en seguridad como en cualquier ámbito, si nos educamos más podremos distinguir mejor que información y consejos son los que nos sirven y de donde tienen que venir y cuando debemos desconfiar o averiguar más. Ejemplos de consejos que han circulado que si son útiles en este caso es verificar regularmente nuestros estados de cuentas, e informar a nuestro banco en caso de cualquier cargo que no corresponda a una actividad nuestra. O de plano, dar de baja las tarjetas de crédito y sacar nuevas. También dar de baja a tarjetas que no ocupemos y limitar nuestro cupo son otras precauciones que se pueden tomar. Otras precauciones de índole más general son conectarse a internet desde wifi públicas y si por algún motivo deben hacerlo, en ningún caso iniciar sesión de alguna cuenta mientras la están usando. Si ya lo han hecho, lo mejor es cambiar las claves lo antes posible. </p><p>Los bancos mandan frecuentemente indicaciones sobre no hacer caso nunca a correos que indiquen acceder a la página del banco a través de un link. Esta forma de ataque se llama “phishing” y consiste en enviar correos falsos a las personas para que ellas mismas revelen información a los atacantes, por ejemplo, induciéndolos a hacer click en links que llevan a sitios falsos o que descargan códigos maliciosos (malware) en sus equipos. Otro tipo de correos de esta índole que circulan son citaciones falsas supuestamente de la PDI, premios en concursos en los que nunca participaste, herencias, o falsos secuestros a seres queridos en los que dan información acerca de nombres, lugares y actividades frecuentes de ellos para hacerlo parecer real. ¿De dónde sacan esta información? A veces, nosotros mismos se las damos, por ejemplo, a través de publicaciones en redes sociales. Ahí de nuevo el tema de la educación respecto uso de la tecnología y seguridad.</p><p>Por último, una cosa que la mayoría de los profesionales de áreas tecnológicas tenemos claro: no existen soluciones mágicas para los problemas. Cuando buscas una solución para un problema que es tuyo y esperas no tener que involucrarte, ni entender, ni hacer nada, probablemente la solución no sea buena. Tampoco existen expertos que sepan de todo. Decir “experto en informática” es como decir “experto en medicina”, no existe. Mientras más aumenta la complejidad y diversidad de los sistemas más especialidades aparecen. Sin embargo, aún hay empresas que pretenden seguir cargando la responsabilidad de la seguridad al área de soporte informático, que incluso a veces es una sola persona. Lo cierto, es que si no invierten en capacitación del personal que tienen y en contratar conocimiento más especializado ahora, a la larga les puede salir mucho más caro. Esto porque se dice que existen dos tipos de empresa: las que ya han sido víctimas de un ciber-ataque y las que lo serán. De ahí la invitación a los que no lo han hecho a cambiarse el switch y preocuparse de la seguridad. </p><p>Por último, todas las herramientas tecnológicas funcionan en base a procesos donde también hay involucradas personas. Por lo tanto, cualquier mejora o solución tiene que involucrar estos tres aspectos: persona, procesos y tecnología. Hace poco un ministro de cierto país hablaba de “comprar un aparato”, para defenderse del ciber-ataques, <a href="https://twitter.com/CarolinaAnAdBo/status/1021749084242300929">ante el estupor de varios que leímos las declaraciones sin saber por dónde empezar a explicar todo lo que estaba mal en lo que dijo</a>. Si alguien tiene dudas después de leer esto, les aseguro que no, no hay dizque “aparatos”, ni software, ni súper héroes, ni balas de plata que nos van a salvar de nada. Tenemos que ser nosotros mismos. Para ello los gobiernos de los países deben educar y también educarse. Necesitamos legisladores que sepan adecuar nuestras leyes a la realidad actual, tanto para exigir a empresas que cumplan con estándares de seguridad como para aplicar penas a quienes realicen una acción maliciosa o la faciliten. Esto debe estar acompañado con formar abogados y jueces que sepan aplicar estas leyes, experticia policial y forense para las investigaciones y acuerdos internacionales dado a que el ciber-crimen no tiene fronteras y muchos ataques se realizan desde el extranjero. También necesitamos prensa y medios de comunicación que en vez de perseguir vender la noticia con un titular sensacionalista, provean información útil y certera. </p><p>Una buena noticia es que <a href="http://lanacion.cl/2018/07/29/gobierno-enviara-al-congreso-tres-proyectos-de-ley-en-materia-de-ciberseguridad/">el 29 de Julio se anunciaron el envío en Chile de varios proyectos de ley en materia de ciber-seguridad</a>. Independiente de que esto es solo un paso y queda mucho por avanzar, lo positivo es al fin poner el tema como prioridad en la agenda legislativa. ¡Hay que estar atentos a ver qué pasa con eso!</p>