El futuro cercano de la Ciberseguridad no es lo que solía ser

El viejo truco de recurrir al temor, la incertidumbre y la duda, para vender soluciones de Ciberseguridad, criticado por algunos, avalado por otros, se manifiesta una vez más en los pronósticos para este año 2016 que recién comienza; sobre todo en los pronósticos publicados por distintos fabricantes de soluciones de Ciberseguridad y por algunas firmas consultoras internacionales.

La siguiente frase que hizo eco hace algunos años, declarada por WEF (Foro Económico Mundial) en el año 2012: “las consideraciones de los expertos son mezcladas. Las investigaciones sobre ciberamenazas contra gobiernos y sector privado han sido ampliamente financiadas por aquellos que están en el negocio de ventas de soluciones de seguridad- un sesgo potencial que causa escepticismo”, la recuerdo una vez más, cuando observo las tendencias y escenarios caóticos que podrían ser causados por ciberataques en el año 2016.

“Las consideraciones de los expertos son mezcladas. Las investigaciones sobre ciberamenazas contra gobiernos y sector privado han sido ampliamente financiadas por aquellos que están en el negocio de ventas de soluciones de seguridad- un sesgo potencial que causa escepticismo”

Sin embargo, los que estamos trabajando en esta disciplina de la Ciberseguridad, tenemos evidencia empírica que los incidentes materializados con alto impacto en activos de información son reales, y Colombia como economía en desarrollo también vive este flagelo. Luego el escepticismo ante posibles ciberataques se desvanece cada vez más. Cuando uno se entera que gobiernos se hackean entre sí para robar secretos, demostrando la efectividad en estas campañas de ciberespionaje, queda el sin sabor que los gobiernos no son capaces de defenderse a ellos mismos en el ciberespacio (debilidades de ciberdefensa), por lo tanto a los ciudadanos e instituciones menos aún.

Los cisnes negros de la ciberseguridad

La firma Bloomberg publicó su lista de cisnes negros para el 2016, así como la firma Saxo Bank. Eventos caóticos de poca probabilidad (¡aparantemente!), pero aun así plausibles y de alto impacto. Una de las razones para anunciar estos cisnes negros es causar un debate y comentarios estimulantes en distintos sectores, para inspirar e inquietar a los que están en zonas de confort de Ciberseguridad, para generar discusión y pensamiento disruptivo; en otras palabras, que nuestros ejecutivos y directores de seguridad reconsideren temas como: No somos Estados Unidos, ni China, ni Rusia, ni Israel, por lo tanto no somos objetivo de campañas de ciberespionaje ó ataques avanzados; no somos muy visibles en Internet, nunca hemos sido comprometidos (¡o no que sepamos!), la probabilidad de que ciberataques sucedan es tan baja, que aceptaremos nuestros riesgos; somos una organización pequeña comparada con esas multinacionales sujetas a ataques, tenemos seguros (pero olvidan que no son ciberseguros contra fugas de información causadas por ciberataques), las soluciones de ciberseguridad son muy costosas, entre otras.

Estos cisnes negros publicados por Saxo Bank y Bloomberg, que definen una serie de eventos de alto impacto, surgen de consultas a economistas, inversionistas, estrategas políticos, consultores de seguridad, diplomáticos, intelectuales prospectivistas; llegando al punto de “Piensa mal y acertarás”.   Ejemplos de estos eventos para 2016 son entre otros: Trump gana la presidencia en EEUU, Inglaterra se retira de la Unión Europea, las compañías Unicornio (altamente sobrevaloradas: léase Snapchat, Airbnb, Uber, Slack, etc.) colapsan, generando un nuevo pinchazo a una burbuja, como la del año 2000 (¿recuerdan la burbuja de las .com?).

En cuanto a ciberataques, se plantean los siguientes eventos: adversarios informáticos infligen caos en los sistemas financieros de Wall Street y Londres. Adicionalmente el exceso de confianza de los mercados de valores en los Robo-Advisors (tecnología muy usada en Wall Street, inteligencia artificial para diseñar estrategias de inversión, transacciones y monitoreo de activos, donde la cabida del experto humano es mínima o nula) se debilita por nuevos ataques y fraudes informáticos a estos algoritmos. Grupos extremistas en alianza con criminales informáticos de Europa del este lanzan ciberataques a plataformas de comercio e intercambio electrónico de valor.

Pronósticos de amenazas para 2016

A propósito de pronósticos (forecasting), sean oscuros o positivos, para intentar determinar lo que pasará en el futuro, también podría aplicarse a nuestras redes y sistemas; ¿cuáles serán las amenazas emergentes y futuras de nuestras entidades?, ¿bajo qué adversarios estaremos en el radar?, ¿cuándo probablemente estaremos bajo ataque avanzado, o seremos sujetos a alguna campaña de ciberespionaje?. En cualquier caso, no podemos descartar el Nowcasting: ¿qué está pasando hoy en mi red, en mis activos?, en otras palabras el monitoreo continuo de la seguridad. Si ya estoy infiltrado o comprometido, ¿dónde está dicha infiltración?.

Es natural hacer pronósticos y prestarle atención a los pronósticos de los demás. Por lo tanto, sin ser estratega político o intelectual prospectivista, pero si consultor de seguridad, soy osado en presentar mis pronósticos para el año 2016, algunos buenos y otros no tanto:

  • Una vulnerabilidad crítica y de alto impacto será descubierta en software colombiano, usado por varias entidades del sector público.
  • Una fuga de información que supera el millón de registros se materializa y se conoce por la opinión pública.
  • Nuevo documento gubernamental colombiano de lineamientos de Ciberseguridad y Ciberdefensa será publicado, incluso podrían ser dos documentos: uno de Ciberseguridad y otro de Ciberdefensa.
  • Primeros criterios para determinar que países son más o menos seguros que Colombia serán anunciados por la Superintendencia de Industria y Comercio, por medio de la delegatura de protección de datos.
  • Algunas firmas españolas que ofrecen soluciones de ciberseguridad en Colombia, se retiran del mercado colombiano por sus ventas mínimas, pero llegan otras.
  • Ciberataques exitosos a sitios web de entidades como DIAN y Ministerio de Hacienda, como represalia a la nueva reforma tributaria.
  • Se emite borrador de ley para propender por la nacionalización de los datos colombianos, restringiendo así el uso de los servicios en la nube, o por lo menos en servicios de nube fuera del país.
  • Se impulsa un top de los controles de seguridad críticos que toda entidad colombiana debe tener, top impulsado por Icontec y Colciencias.
  • Un hacker (delincuente informático) colombiano aparece en los 10 más ciber buscados por el FBI.
  • Malware avanzado, hecho en Brasil, Panamá, Nicaragua y Venezuela se expande por Colombia.
  • Información sensible, privada y personal de algunos altos miembros del gobierno es divulgada al público por un grupo cibercriminal.
  • CSIRT sectoriales en Colombia se empiezan a diseñar y estructurar, por ejemplo sector energético, asegurador/financiero, telcos/ISPs.
  • Debido a la inflación y devaluación, se usan más bitcoins en Colombia.
  • Primeras soluciones de User Behavior Analyics se implementan en sector financiero y asegurador
  • Big Data se aplica para hacer security analytics y eventuales controles predictivos surgen en sector defensa y financiero.
  • En los reportes vanguardistas de APTs, se hace manifiesta una campaña de ciberataque, usando dominios .co, detectada y anunciada por una firma extranjera de ciberseguridad.
  • 2 fuertes ataques de Denegación de Servicio, afectan las comunicaciones móviles del país por más de 36 horas.

Hay casos reales, en los cuales organizaciones afirman lo siguiente: A mi organización ya la “hackearon”, ¿a la tuya no? “Estás out, fuera de onda”. Una afirmación destacada por la firma Ericsson en su Hot Consumer Trends 2016 report, dice que todo es hackeable, verdad absoluta y de la cual no dudo. Pero este estudio menciona que un 60% de los consumidores mantendrá su confianza en el ciberespacio y ésta no será afectada por los ciberataques dirigidos a smartphones y redes sociales, incluso los usarán de la misma manera, así hayan sido comprometidos; quizá por no comprender la dimensión del problema, o porque aún creen que no pueden controlar estos riesgos, y que hay que convivir con ellos, aceptarlos.

Ser “hackeado” trae aspectos positivos, por ejemplo, si los consumidores saben que una organización fue atacada y dicha organización gestionó adecuadamente el incidente y lo resolvió oportunamente, aumentará la confianza del consumidor. Un 21% de los consumidores señalan que si la organización manejó satisfactoriamente el incidente y resolvió el problema después de un hacking o malware, su confianza aumentará en dicha empresa. La organización se ha hecho más fuerte, sabe cómo manejar este tipo de crisis, genera lecciones, se robustecen, mientras que empresas que nunca han pasado por este escenario, se quedan en la zona de confort, la del nunca hemos tenido una brecha, la de ignorar los cisnes negros, la de ignorar los pronósticos.

Imagen destacada: @Perspecsys Photos distribuida con licencia Creative Commons BY-SA 2.0

5 comentarios a esta entrada.
  1. Saludos,

    Me gusto mucho el articulo. Me gustaria saber su opinion respecto a la calidad de la seguridad ofrecida por la empresas de telefonia movil a sus servicios y usuarios.. cual es la radiografia al respecto en colombia… En Seginfo 2015 Movistar presento una plataforma aboslutamente descrestante en temas de seguridad proactiva.. pero como se blindaria por ejemplo dicha empresa ante un ataque de DDOS proveniente de smartphones de otras compañias que aun estan en pañales en temas de seguridad?

  2. Pronto algo nuevo en seguridad bancaria: Primero evita el posible fraude y luego se sabrá desde donde proviene el intento de acceso posiblemente ilícito.
    Es algo simple y fácil. Usabilidad y autenticación fuerte

  3. Excelentes articulos
    Gracias me sirve mucho para temas de formación ya que estoy en el medio de las telecomunicaciones y la universidad
    Saludos

Déjanos un comentario

SUSCRÍBASE A NUESTRO NEWSLETTER