Jorge Rojas Z., Gerente de Servicios Gestionados de Seguridad de NovaRed.
Robo de secretos industriales para venderlos a la competencia o para pedir un rescate por la información, robo de datos sensibles que permitan realizar fraudes financieros o robo masivo de información de personas para venderlos a terceros como base de datos, son algunos de los clásicos beneficios que persiguen los temidos hackers.
La fuga de información es una realidad que afecta tanto a empresas como a usuarios finales y aunque el fin último y la proporción de los daños pueden variar, la constante es que las víctimas siempre resultan afectadas y vulneradas en su privacidad. Los registros muestran que a nivel mundial en los últimos años la fuga de datos ha ido en constante aumento, en 2013 se registró un alza del 62% respecto al año anterior y en 2014 un 70% respecto al mismo periodo. Lo que va del 2015 demuestra que esta problemática continúa en expansión poniendo en peligro tanto a corporaciones como a personas.
Según datos proporcionados por el Identity Theft Resource Center (organismo fundado en USA que ofrece asistencia a víctimas y educación a consumidores por temas relacionados a ciberseguridad) en Latinoamérica la cantidad de registros de filtración de datos de los últimos dos años es casi igual al 90% de la cantidad de habitantes de la región, lo cual sería como si se hubiera filtrado información sensible de 9 de cada 10 habitantes.
La falta de procedimientos de seguridad para resguardar los activos TI de las empresas, ha incrementado notoriamente la pérdida de datos, lo cual no sólo daña a la empresa financieramente, sino que también en reputación. El 70% de los organismos afectados, corresponde a empresas que ofrecen servicios On-Line en Internet, de la industria financiera, de salud, Gobiernos y retail, mientras que el 30% restante se divide entre empresas de transporte, energía, educación, telecomunicaciones y otras. El último caso emblemático, es el ataque al sitio web de la empresa Ashley Madison ocurrido en julio pasado, donde hackers lograron robar información personal de 37 millones de usuarios, incluyendo datos financieros.
Según Jorge Rojas Z., Gerente de Servicios Gestionados de Seguridad de la empresa NovaRed, “los principales riesgos externos que impulsan la pérdida de datos desde una organización son los renombrados malware, los ataques vía e-mail y el phishing. Todos ellos tienen como blanco extraer información crítica y sensible para la empresa, ya sea financiera, estratégica, confidencial, entre otras, lo que puede desembocar en incalculables pérdidas de ingresos, grave daño a la reputación de la compañía y gran deterioro a la confianza de los clientes”. En el caso de Ashley Madison, los clientes afectados interpusieron una demanda colectiva que exige una indemnización de cerca de 570 millones de dólares por la divulgación de sus datos privados.
Pero tal como las empresas pueden resultar gravemente afectadas frente a fugas de información, los usuarios finales corren mismo riesgo. Fraudes financieros tras el robo de datos bancarios o de tarjetas de crédito; suplantación de identidad; solicitud de rescate por información robada, son solo algunos de los peligros a los que se exponen las personas naturales. “Como usuario final de cualquier sistema (sitios bancarios, casillas de correo electrónicos, etc.) debemos tomar conciencia de qué tipo de información nos solicitan las empresas y saber para qué fin va a ser utilizada. El objetivo es que proporcionemos la información estrictamente necesaria y suficiente para el servicio que buscamos y no más que eso”, señala el experto de NovaRed. Esto dado a que mientras más información entregamos a un tercero en Internet, existe mayor probabilidad de que dicha información se propague sin control. Tal como expuso en un reportaje el diario estadounidense The New York Times “si eres usuario de sitios web y servicios como Adobe, Twitter, Snapchat, Ebay o si vives en Norteamérica y has usado tarjetas de crédito o débito en comercios como Target, HomeDepot, entre otros, entonces tu información personal ha sido expuesta en varias oportunidades”.
El problema es que en Chile las leyes no son muy efectivas si se trata de proteger la información de los usuarios, ya que en general la ley está enfocada a que las empresas informen el uso que darán a la información previa autorización del usuario. Sin embargo, es común que esta sea una cláusula de los servicios que contratamos por lo que es prácticamente imposible para una persona cambiarlo si no está de acuerdo en el uso que darán a sus datos. Por ejemplo, aplicaciones tan masivas como Tinder o WhatsApp, señalan en sus condiciones de servicio que no garantizan la seguridad de los datos entregados y que el usuario debe asumir el riesgo de una posible filtración. “En algunos estados de USA, cuando una empresa sufre fuga de información es obligatorio revelar al mercado y a los usuarios vulnerados qué información fue robada. En cambio, en nuestro país la ley no obliga a las empresas a hacer pública las fugas de información por lo que estas quedan libres de determinar si dan a conocer el caso o si informan a los usuarios afectados”, explica Jorge Rojas Z.
En el caso de las empresas, para minimizar los riesgos de pérdidas de información, NovaRed sugiere en primer lugar tomar conciencia de que la información que almacenamos es vulnerable y que se deben tomar acciones preventivas para protegerla. Luego, necesariamente se debe clasificar la información determinando si ésta es relevante o no (por ejemplo, clasificarla en categorías como pública, restringida y/o confidencial). Finalmente, se debe hacer uso de herramientas tecnológicas que protejan la información y eviten brechas de seguridad. “En Chile, generalmente el sector de la banca, retail y el Gobierno se rige por los parámetros internacionales por lo que hay al menos un responsable encargado de la seguridad TI dentro de estas organizaciones, no así en otros sectores como minería o industria de servicios, donde aún falta por crecer y dar foco a la seguridad informática”, comenta el especialista.
En cuanto a los usuarios finales el mejor control es entregar la información estrictamente necesaria en Internet. Cuidar de sus datos más críticos como contraseñas bancarias, números de tarjetas de crédito, etc., proteger los dispositivos móviles (ya sean smartphones, notebooks, tablets, etc.) con antivirus y actualizarlos periódicamente. En general desconfiar y estar siempre alertas, y ante la más mínima sospecha reaccionar de inmediato.
