Gobiernos y empresas, también jaqueados por la suba de la inseguridad informática

En el primer post de este informe, vimos cómo el usuario común es atacado por los ciberdelincuentes, ahora utilizando los celulares y tablets. Pero hay otros blancos, como los gobiernos y las empresas –en especial, los bancos–, que pierden sumas millonarias a manos del terrorismo digital internacional.

“Según LACNIC, los bancos de Latinoamérica perdieron US$ 93.000 millones en 2011 por el crimen cibernético. Además, el FBI registró pérdidas superiores a 460 millones de dólares el año pasado“. Estas son cifras inferiores a la realidad ya que muchas veces las víctimas no denuncian el fraude”, aporta Dmitry Bestuzhev, Director del Equipo de Análisis e Investigación de Kaspersky Lab en América Latina.

Los daños que sufren las organizaciones no sólo económicos, sino también información, propiedad intelectual y daño a la imagen, según destaca Hernán Roth, Gerente de Ingeniería para OLAM de Symantec. El especialista cita el Informe sobre Amenazas a la Seguridad, donde participaron empresas sudamericanas de entre 5 y 5.000 empleados, que concluyó en que “el costo promedio anual a nivel empresarial de los incidentes de seguridad relacionados con la movilidad es de 139.000 dólares“.

De acuerdo con Roth, los principales daños derivados de la pérdida de datos supusieron fue la pérdida de clientes, en el 55 por ciento de los casos; seguida de daño a la reputación y a la marca (50 por ciento), disminución de ingresos (40 por ciento) y multas (31 por ciento).

Las firmas del sector tecnológico pueden parecer menos permeables a los ataques, pero no por ello dejan de ser atacadas. “Un ejemplo de esto último fue el ataque a DigiNotar, donde se robaron más de 500 certificados y su reputación se vio afectada llevando a la compañía a la quiebra“, relata  Fernando Catoira, Analista de seguridad de ESET Latinoamérica.

Un párrafo aparte merecen los ataques a entes gubernamentales, pues el secreto de estado obliga a no reportar estos casos y no hay tantas cifras al respecto. Pero en Latinoamérica también están aumentando estos casos. “Un ejemplo reciente es ACAD/Medre, un código malicioso que estaba destinado a robar planos de proyectos industriales de usuarios del Perú”, recuerda Fernando Catoira, Analista de Seguridad de ESET Latinoamérica.

Este malware irrumpió más fuertemente en Perú que en otros países, cuando por lo general las incidencias de estos ataques se distribuyen de manera relativamente similar entre varios países.  Catoira agrega que ACAD/Medre “se trató claramente de un ataque dirigido con la finalidad de robar información industrial”.

Según la encuesta Movilidad 2012 de Symantec, el 67 por ciento de las empresas se preocupan por ataques de malware que se extienden desde los dispositivos móviles a las redes internas. Además de la seguridad, el auge de los equipos móviles también aparece como preocupante. Ahora bien, ¿qué pueden hacer al respecto?

Para Catoria, la clave es “que se tengan en cuenta los tres pilares fundamentales de la seguridad de la información: tecnología, gestión y educación” y agrega que deben tener más cuidado con la gestión de datos, pues “el nivel de información que manipulan tiene un mayor grado de criticidad que los datos que puede manipular un usuario”.

Por su parte, Roth agrega que “todos los empleados deberían estar obligados a proteger con contraseñas sus dispositivos móviles y deben ser capacitados para cambiarlas con frecuencia“.  El analista de Symantec también hace foco en las amenazas móviles, recomendando que se desplieguen aplicaciones y actualizaciones tendientes a evitar vulnerabilidades y que permitan borrar datos o bloquear equipos a distancia.

Para Bestuzhev, además, hace falta presencia del estado. “Deben elaborar códigos penales modernos y funcionales que permitan luchar eficazmente contra el crimen cibernético. Esto supone no solamente tener un marco legal, sino preparar a sus propios oficiales para tener el nivel científico necesario para investigar el crimen y luego penalizarlo de a cuerdo a la ley“, se explaya el experto de Kaspersky.

Roth también remarca el papel del Estado. “Los gobiernos deben continuar dedicando recursos para establecer programas gubernamentales para infraestructura crítica“, recomienda el ejecutivo. Además, pide que  el Estado exija a los proveedores de infraestructura crítica y a las empresas que la información se almacene, en copias de seguridad, organizada y priorizada, y que cuenten con los procesos apropiados sobre identidad y control de acceso.