¿Por qué el usuario es el eslabón más débil de las empresas en su seguridad? ¿Cuáles son las principales vulnerabilidades de las compañías? ¿Qué es lo más innovador para la protección de datos? ¿Cómo asegurar a las organizaciones de tantas amenazas?
En 2020, a diferencia de años anteriores, se incrementaron sustancialmente los correos SPAM en modo “phishing”, tras que empresas de todo el país se volcaran a la modalidad del teletrabajo. Las amenazas cibernéticas van dirigidas al eslabón más débil: el usuario. Mediante mails que simulan ser corporativos, se intenta “pescar” información de las personas, ya sea número de tarjeta de crédito, cuentas bancarias, entre otros.
“Hoy los atacantes no intentan romper la solución perimetral vulnerando los firewalls y dispositivos de seguridad. Ha llegado un punto donde casi todos los vendors presentan soluciones muy buenas, muy difíciles de vulnerar. Se da en Fortinet, que es la que se comercializa más en Arnaldo Castro., pero también en otros firewalls y soluciones. Los niveles de encriptación, de seguridad, de cerramiento de puertos y demás es tal, que los hacen muy difícil de atacar. Entonces, como no pueden romper esa barrera, intentan de otra forma: que el usuario haga algo indebido”, explica Alejandro López, Product Manager Networking & Security, de Arnaldo Castro.
Es así que las amenazas van dirigidas predominantemente hacia el usuario. En ese sentido los correos fraudulentos se han incrementado, así como también los ataques mediante REC (ejecución de código remoto). Es muy común recibir un documento adjunto el cual al abrirlo permite al hacker tomar control del equipo.
Asimismo, el teletrabajo, el auge del e-commerce, las tiendas online, aumentaron las vulnerabilidades de las instituciones, pero no por las plataformas utilizadas sino por la emergencia sanitaria y la rapidez para adaptarse a la misma.
“Muchas empresas rápidamente hicieron públicos sus accesos olvidándose de la seguridad; esto deja expuesto muchos servicios críticos y esenciales”, agrega el experto de Arnaldo Castro, quien responde además a las principales interrogantes sobre seguridad en tiempos en que la tecnología es la principal aliada de las compañías.
-¿Cuáles deben ser los recaudos prioritarios que debe tomar una empresa?
-En primer lugar, asegurar que todos los empleados puedan conectarse de forma remota y segura. Luego asegurar el entorno de conexión con doble autenticación, certificados, entre otros recursos, y redundancias -acceso a internet redundantes, clusters-. Asimismo, es fundamental para las empresas proteger correctamente los servicios expuestos a internet -usar WAF para servicios web, controlar los puertos públicos, entre otras herramientas-.
Si se utilizaba una forma de trabajar en la empresa, que luego se hizo pública para que los funcionarios trabajen desde su casa, hay que protegerse de manera diferente.
-¿Y cómo deben protegerse los usuarios de redes sociales e internet?
–Como principal consejo: no usar cuentas corporativas para crear cuentas en redes sociales. Así como también hacer buen uso de contraseñas seguras. El caso del plan Ceibal y lo que ocurrió es un ejemplo perfecto de cómo los servicios corporativos no son vulnerados y sin embargo por falta de precaución de los usuarios se generaron incidentes. Se empezaron a tomar las cuentas de muchos profesores y las usaban para subir contenido pornográfico o enviar correos fraudulentos. El Plan Ceibal no fue hackeado; los usuarios no tomaron las precauciones necesarias.
-¿Ahí se observa una vez más la importancia de la contraseña?
-Sí. Las últimas tendencias hablan de poner frases en lugar de lo que estamos acostumbrados de palabras con mayúscula, minúscula, caracteres especiales, lo cual ya es seguro. Se señala que una frase larga lo hace aún más complejo. “Hoy me vine a Paysandú por el día” puede ser más difícil de descifrar que Ale19325*.
-¿Escuchó algún caso en Uruguay, este año, que le llamara la atención por lo sofisticado de la amenaza?
-Sí, una empresa muy grande en el país fue vulnerada desde el extranjero. Se accedió a su enorme base de datos y se instaló un “back door”, es decir un acceso remoto que se saltea toda la seguridad. Cuando uno llega a esa situación, que le instalan un “back door”, es muy difícil rastrearlo. Entonces, salió a la luz que datos confidenciales de terceros podrían estar comprometidos. Es muy reciente, fueron supuestamente extorsionados para no revelar la información pero aparentemente se solucionó.
Muchas organizaciones no invierten en seguridad porque se tiene el mito que eso le sucede a las grandes empresas internacionales, y no a las uruguayas. Se minimiza este problema. Pero si no se cubre esa área tan importante se puede poner en riesgo la continuidad del negocio».
-¿Considera que el robo de datos de las organizaciones hoy es un problema en el país?
–Sí, es un problema y sobre todo con el uso de los datos en la nube. Antes uno trabajaba en la oficina, y toda documentación sensible quedaba ahí. Y si quería llevárselo, tenía que utilizar un pendrive, lo que hacía todo más complejo. Pero hoy, cualquier malintencionado se lo copia en la nube que utilice y accede desde cualquier lugar.
-.¿Y cómo se protege una empresa de esa situación?
-Hay distintas soluciones para evitar este problema: un “feature” conocido como DLP (“data leak protection”). Se trata de técnicas o mecanismos de protección de fuga de datos que mediante el tráfico que se da en los firewalls de las empresas previene que determinados archivos o documentos salgan de las organizaciones. Por ejemplo, yo no quiero que se retire ningún documento que tenga la palabra “cotización”. Si alguien intenta subir a la nube un archivo con esa palabra en su contenido, estos mecanismos no lo permiten. Hay empresas que manejan información mega confidencial. Entonces, solicitan “features” que permiten instalarse a muy alto nivel, que impide que se suba a la nube cualquier archivo.doc. Se puede detallar a todo nivel cómo se maneja la información.
-¿Qué es lo más demandado en seguridad en lo que va del año?
-Lo que más se trabajó fue todo lo relacionado a seguridad de archivos, con propuestas de “sandboxing”. Un “Sandbox” es un mecanismo de seguridad que se realiza en un entorno aislado, ejecuta archivos sin peligro de comprometer el sistema operativo. En lugar de seguir el método tradicional de los antivirus basados en firmas de malwares conocidos, éste asegura la protección del sistema contra ataques desconocidos, “Malware Día Cero”, o mutaciones que los antivirus todavía no reconocen, que pueden llegar a través del correo electrónico o intentando descargar archivos de una web. El “Sandbox” simula que el usuario hace doble click. Si el comportamiento del archivo no es el tradicional -porque por ejemplo está intentando acceder al registro de Windows, o descargando otros archivos, etc.- lo bloquea. Cada vez se trabaja más en esos sistemas así como en equipos SIEM que, básicamente, controlan en forma perimetral toda la red, permitiendo analizar cualquier comportamiento anómalo de los servidores y tráfico en la red. Las empresas están intentando ir a estos tipos de controles más automatizados.