Pasar al contenido principal

¿Qué hacer antes, durante y después de un ataque informático?

Enviado por Infolaft el

Artículo por: Infolaft

Desafortunadamente la Internet y los equipos informáticos se han convertido en un mecanismo y escenario para la comisión de delitos que van desde la ciberextorsión hasta el fraude electrónico, incluso la Fiscalía General de la Nación ya investiga la participación de bandas criminales en estos ilícitos. Saber qué hacer ante un evento de estas características puede hacer la diferencia entre un simple susto y la pérdida del dinero y la tranquilidad. Completo informe. Durante el pasado mes de diciembre de 2014 varios medios de comunicación en Colombia reseñaron un gran operativo de la Dijín que permitió desmantelar una banda de piratas informáticos que pretendía realizar un multimillonario fraude informático en contra de Bancolombia, el cual, de haberse concretado, habría representado una pérdida aproximada de $160 000 millones de pesos. Lea también: SAGRILAFT, sistema para prevenir lavado de activos en empresas El coronel Fredy Bautista, jefe del Centro Cibernético Policial (CCP), sostiene que gracias a los controles internos la entidad bancaria fue la primera en percatarse de anomalías en el comportamiento de varios de sus clientes, los cuales comenzaron a realizar millonarias compras de artículos de lujo a pesar de no tener un amplio historial de transacciones. ‘‘Ellos [Bancolombia] entraron a revisar, miraron el origen del dinero y detectaron que ese dinero venía de procesos inadecuados’’. La investigación policial logró determinar que los presuntos ciberdelincuentes lograron extraer virtualmente cerca de $7000 millones de pesos y los dispersaron a más de 300 cuentas de clientes del mismo banco, muchos de los cuales se habrían prestado intencionalmente para cometer el ilícito. Este caso de fraude, al que el coronel Bautista califica como el más grande que se ha intentado hacer en Colombia, generó la captura de los presuntos cabecillas y de varias personas que ya tenían antecedentes por prestarse para transferir dinero. En síntesis, lo que salvó a Bancolombia fue contar con un adecuado sistema antifraude que hace monitoreo del uso de productos bancarios por parte de sus clientes y el cual lanzó alertas en el momento justo. Sin embargo, la creciente cantidad de reportes de prensa que dan cuenta de ciberdelitos que afectan el patrimonio económico evidencia que todavía existe mucho desconocimiento en las empresas y en la mayor parte de la sociedad.

Extranjeros en Colombia

No obstante la dimensión del caso Bancolombia, lo que más llamó la atención del CCP fue que el presunto líder de la red era el ciudadano español Raúl de Jesús Pulido de Dios. Según el coronel Fredy Bautista, ‘‘el caso de este señor español demuestra la presencia, de acuerdo con lo manifestado por él, de ciudadanos de otras nacionalidades como venezolanos, mexicanos y dominicanos que se encuentran en nuestro país inmersos en actividades ilícitas’’. Durante la entrevista con el coronel Fredy Bautista. Foto infolaft La preocupación es tal que el CCP lleva bastante adelantada una investigación contra dos ciudadanos rusos que han participado en varios casos, entre los que se encuentran ataques contra los sistemas informáticos de empresas privadas e incluso de alcaldías de pequeños municipios que han permitido extraer dinero de cuentas públicas. Se espera que en los próximos meses se den a conocer los resultados de esta investigación.

¿Ciberbandas criminales?

Pero no solo la participación de expertos informáticos extranjeros en ciberdelitos cometidos en Colombia preocupa a las autoridades: también hay inquietud respecto al uso que las agrupaciones criminales nacionales están haciendo de las nuevas tecnologías. El vicefiscal general Jorge Perdomo sostiene que ‘‘las organizaciones criminales que conocemos, como por ejemplo los ‘Urabeños’ o la ‘Oficina de Envigado’ se están desplazando de las ciudades, de los montes, a la sociedad digital para apoyar y fortalecer sus actividades criminales como la extorsión, la obtención de información, el ingreso abusivo en bases de datos, la comunicación con otras organizaciones criminales trasnacionales, entre otras’’. Específicamente los ciberdelincuentes, según sostiene el coronel Fredy Bautista, estarían contratando organizaciones criminales reconocidas para que se encarguen de hacer los cobros producto de la ciberextorsión. ‘‘Hay un outsourcing criminal que desde el punto de vista informático y desde el punto de vista armado nos preocupa mucho, porque cuando ya el fraude deja de ser un delito de ‘cuello blanco’ y comienza a involucrar otros actores armados más complejos las redes suelen ser de mayor peligrosidad y las investigaciones pasan de la complejidad tecnológica a otro tipo de complejidades propias de grupos armados’’. Respecto a la dificultad que conllevan este tipo de investigaciones, el vicefiscal Perdomo considera que en Colombia ‘‘(…) tenemos unos rezagos importantes, o por lo menos la Fiscalía debe avanzar mucho más en esta posibilidad, y yo creo que esto se debe, entre otras cosas, a que nos hemos dedicado durante los últimos 50 años a perseguir delitos derivados del crimen, derivados del conflicto armado: las masacres, los secuestros, las tomas guerrilleras; ese ha sido el trabajo de la Fiscalía en los últimos 50 años y yo sí creo que nosotros debemos hacer un esfuerzo para seguir avanzando en la lucha contra esas formas modernas de criminalidad’’. Otras investigaciones realizadas por el Centro Cibernético Policial dan cuenta de que las organizaciones criminales, si bien no estarían participando directamente en los ciberdelitos, sí estarían financiando y proveyendo la logística para que personas subcontratadas los cometan. ‘‘El cibercrimen pasa a ser una modalidad muy rentable para los delincuentes porque saben que no se están exponiendo mucho físicamente, que no va a haber la peligrosidad de asaltar una entidad bancaria y enfrentarse con la policía o que no corren los riesgos propios del traslado de grandes cargamentos de drogas o armas, sino que pueden tranzar a través de Internet’’, señala Bautista. Centro Cibernético Policial. Foto infolaft

La dimensión del problema

Un informe de la Fiscalía General de la Nación señala que en 2014 en Colombia se realizaron 851 investigaciones por casos en los que fueron utilizados medios informáticos para la comisión de diferentes delitos. (Ver tabla).

Concepto del delito

Número de investigaciones

Violación a la protección de la información y los datos

159

Punibles contra la administración pública

124

Afectaciones a la libertad individual

101

Contra el patrimonio económico

80

Contra la seguridad pública

73

Contra el orden económico y social

70

Otros

244

Los 244 catalogados como otros en la tabla anterior casos se dieron por afectaciones a la libertad, integridad y formación sexual, contra los derechos de autor y la fe pública, entre otros. Para hacer frente a esta realidad la Fiscalía General de la Nación, según sostiene el vicefiscal Perdomo, realizó el año anterior una radiografía nacional de la cibercriminalidad que permitió identificar que las tres modalidades que tienen mayor impacto social, político y económico son el hurto por medios informáticos, el acceso abusivo a sistemas informáticos (que permite la interceptación ilícita de comunicaciones) y la difamación en la red.

Encriptación de información: usos buenos y malos

El ransomware o secuestro de información a través de encriptación de datos es una modalidad que se está masificando en Internet. En la mayoría de casos funciona de la siguiente manera: al administrador de una plataforma le llega un correo electrónico que suplanta la identidad del gerente y en algunos casos dicho correo pide difundir o revisar supuestos nuevos instructivos de seguridad de la información o instructivos contables. Cuando el usuario hace clic en un enlace se empieza a descargar un archivo que al ser abierto aparentemente no ejecuta nada; sin embargo, sí está ejecutando una rutina alterna que encripta los datos de unas carpetas específicas de su computador. Una vez se realiza la encriptación se abre una ventana que le dice al usuario que toda su información está en riesgo y que tiene un tiempo máximo para pagar por la recuperación de sus datos, tras lo cual se activa un conteo regresivo de algunas horas. Si el usuario no realiza el pago, por lo general en monedas virtuales, su información se pierde de forma definitiva. Según pudo establecer infolaft hay dos clases de ransomware: uno corriente que ya pudo ser desbloqueado por las autoridades y otro conocido como CTB locker, el cual cifra el computador en un nivel de encriptación muy fuerte y para el que todavía no existen soluciones comerciales que permitan desencriptar la información y restablecerla a su estado natural. Entre enero y febrero de 2015 se han reportado 47 casos cuyas víctimas en su mayoría han sido empresas, entre las cuales se destacan algunas plantas de producción y de manufactura ubicadas en Medellín, Antioquia. No obstante, en dos de los casos las afectadas han sido computadoras de entidades públicas. Los reportes suministrados por las mismas víctimas señalan que el monto que solicitan los ciberdelincuentes por desencriptar la información promedia los U$10 000 dólares. Si bien las primeras pesquisas no evidencian que los ataques sean dirigidos, esta es una posibilidad que las autoridades todavía no descartan. En varios de los casos los ciberdelincuentes han enviado ataques masivos y desafortunadamente todavía son muchas las entidades que caen, quizá debido a la dificultad de verificar si el correo electrónico en efecto proviene del gerente o directivo. No obstante, la encriptación de datos no siempre es perjudicial. Irónicamente, este tratamiento de información es uno de los mecanismos predilectos de Jorge Silva Luján, presidente de Microsoft Colombia, para proteger su información y la de su compañía. El alto directivo cuenta en su teléfono celular con herramientas que le permiten destruir remotamente toda la información en caso de que el aparato sea robado o se extravíe; además, en sus computadores y tabletas tiene instalada una llave lógica, que en realidad es una larga clave, sin la cual nadie puede acceder a los datos. Jorge Silva Luján. Foto infolaft Silva destaca que ‘‘en Microsoft la información de todos los computadores y tabletas está permanentemente encriptada. Si me robaran mi tableta no pasaría nada, primero porque remotamente la puedo formatear y segundo, porque sin esa llave no pueden acceder a ninguna cosa porque todo está encriptado. La encriptación es importante tanto desde el punto de vista de la información que se está recibiendo en los dispositivos, como en las comunicaciones y en los protocolos de transmisión’’. Y es precisamente la carencia de protocolos de transmisión la que en muchas ocasiones pone en riesgo la información que se envía a través de la red. Por ello no es recomendable que las personas envíen información corporativa o personal importante a través de páginas web no reconocidas que transfieren grandes volúmenes de datos, ya que las políticas de algunas de ellas les permiten quedarse con la información de los usuarios.

¿Qué se puede hacer para prevenir el ciberdelito?

No hay que confiarse

Juan Alcázar es el director de Infraestructura de la Cámara Colombiana de la Informática y Telecomunicaciones (Ccit), el gremio que en el país agrupa a las empresas más grandes de la industria tecnológica, y afirma que ‘‘basados en los reportes del equipo de respuesta a incidentes informáticos de la Ccit y en conjunto con el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (Colcert) se registra un gran grupo de suplantaciones en las entidades bancarias, además de los intentos a las entidades gubernamentales, en especial las de seguridad y administrativas’’. El experto considera que ‘‘no debemos pensar que no nos van a atacar, sino que debemos pensar que hay una realidad que puede ser determinante en la operación de una persona o empresa, pues justo allí es donde está el mayor riesgo’’. Igual concepto tiene Daniel Brody, directivo de la firma Easy Solutions, quien señala que ‘‘la filosofía es asumir que se está bajo ataque constante y en caso de que se trate de una institución grande esto casi siempre será cierto’’. Daniel Brody. Foto infolaft

¿Cómo protegerse de un ataque informático?

De acuerdo con el teniente Juan Carlos Herrera, jefe del CAI Virtual de la Policía Nacional, ‘‘la experiencia nos ha dicho que en la mayoría de las ocasiones las empresas se dan cuenta [de los ataques informáticos] por los efectos. Muchas veces cuando los afectados no encuentran la información contactan al administrador de la base de datos o del sistema informático y por esa vía se pueden dar cuenta de que pueden haber sido víctimas de un ataque’’. Para protegerse y evitar caer en las redes de la ciberdelincuencia, Juan Alcázar recomienda identificar cuáles son las infraestructuras críticas, la información sensible y las vulnerabilidades, por ejemplo de una empresa, y con base en eso tomar las medidas adecuadas, ya que ‘‘un mal diagnóstico de las herramientas de prevención puede dejar más expuesta a la empresa por exceso o por defecto’’. En materia de prevención del ciberdelito quizá la única verdad revelada sea que es esencial la navegación responsable por parte de las personas encargadas de administrar las páginas web y de los usuarios corrientes. Ricardo Arbeláez, principal asesor de seguridad de Microsoft para América Latina, asegura que ‘‘así como hay sitios inseguros en una ciudad, hay sitios inseguros en la red. Usted sabe que no puede llevar joyas cuando va por la Avenida Caracas, pero quizá sí las pueda llevar cuando está en la 93. Lo mismo debe aplicarse a la red. La recomendación es que en lo posible no se visiten sitios inseguros como los de contenido para adultos o aquellos en donde se dan pautas de hackeo’’. Otra de las recomendaciones para las empresas en general es hacer permanente monitoreo a su marca en la Internet para identificar perfiles falsos en redes sociales que imiten su nombre e imagen, sitios web con direcciones similares a las suyas y copia de los elementos de sus páginas web. Mientras que las entidades que cuenten con portales transaccionales deben tomar como señales de alerta los inicios de sesión de sus clientes desde lugares extraños o que no puedan ser autenticados y cambios en la información personal de los usuarios antes de transferir grandes sumas de dinero. Jorge Silva Luján, presidente de Microsoft Colombia, destaca la importancia de comprar software legal y de tener activadas las actualizaciones automáticas. ‘‘Cuando Microsoft (…) detecta una amenaza y la tiene identificada lo primero que hace es actualizar todos sus sistemas en el mundo para proteger a nuestros usuarios de esa amenaza. Si la persona tiene software legal y no tiene las actualizaciones automáticas no va a tener ese beneficio y va a estar amenazado’’. Silva asegura que otras buenas medidas de protección son activar un buen muro cortafuegos (también conocido como firewall) y tener una política de seguridad que aclare qué facultades tiene cada uno de los usuarios. ‘‘La política define qué usuarios pueden hacer qué cosas, qué usuarios pueden instalar qué cosas, qué usuarios pueden ver qué cosas. Esa combinación de políticas y de medidas tecnológicas hace que la protección sea muchísimo mayor’’. El presidente de Microsoft también asegura que es ideal que las compañías usen la tecnología bitlock que viene con los sistemas operativos de los equipos y se puede implementar de forma segura y sin necesidad de comprar algo nuevo. ‘‘Si una persona tiene Windows en su PC y tiene Windows Server en su red puede implementar bitlock sin ningún problema. El software ya lo trae y lo que usted tiene que hacer es usarlo como política de seguridad en su compañía’’. Para hacer la instalación es necesario activar en la configuración de seguridad de los equipos la política de seguridad bitlock y automáticamente el usuario tendrá que poner una extensa clave, luego de eso no hay forma de que nadie acceda si no tiene la llave.

¿Qué hacer ante un ataque informático ya ejecutado?

Debido a que existe una protección 100% efectiva en contra del ciberdelito, como no existe contra ningún otro ilícito, muchos expertos consideran que en lugar de construir una fortaleza que pueda agrietarse en cualquier momento es mejor aprender a responder lo más rápido posible ante cualquier tipo de ataque. Incluso, hay quienes señalan que solo porque una entidad se encuentre bajo ataque no quiere decir que los criminales ya hayan obtenido algún tipo de información que les pueda generar ganancias. Según Jorge Silva lo primero que se recomienda en esos casos es desconectar las áreas que están protegidas y que no se han infectado en la compañía, es decir, sacarlas de la red, ya que en la medida en que sigan conectadas la posibilidad de infectarse es mayor. Luego de eso se recomienda sacar de la red aquella información que sea más vulnerable y más apreciada por la compañía. ‘‘Hay que aislar el virus o la amenaza, hacer una cuarentena virtual en el sentido de que si un computador está contaminado no puede estar conectado a la red, lo debe sacar hasta que lo pueda limpiar y hacer eso con todas las áreas de la empresa’’, sugiere el directivo. Foto infolaft Después de que el virus está aislado, los expertos de tecnología deben utilizar el software de detección y de limpieza adecuado, y posteriormente restablecer toda la información con base en la política de back up de la compañía. Posteriormente, se puede contactar a las autoridades con el fin de adelantar una investigación forense para determinar si la amenaza tuvo un origen interno o externo y en caso de que sea interno saber quiénes estuvieron en ese equipo y qué instalaron. Por su parte, el coronel Bautista es enfático en decir que la preservación de la evidencia digital debe ser un elemento relevante dentro de los procedimientos de respuesta a un incidente cibernético. Contrario a lo que se pensaría, aquí la principal petición es no apagar ni formatear los equipos, ni tampoco borrar los correos electrónicos ni algún otro elemento vinculado con el malware, toda vez que esa es información valiosa para posteriores investigaciones.

¿Qué hacer después de un ataque?

Por lo general se recomienda cerrar la situación cuando el usuario que sufre los efectos del incidente informático deje de ser victimizado y cuando la solución utilizada haya surtido efecto. Sin embargo, de acuerdo con Daniel Brody, ‘‘la verdad es que usted nunca puede estar seguro de que un ataque haya finalizado, ya que en principio la esencia de estos es el trabajo furtivo: usted puede desactivar un sitio web de phishing, detectar malware o detectar transacciones sospechosas, pero en realidad es difícil determinar si esa es la extensión total del ataque’’. Un aspecto importante luego de un ataque es evaluar el impacto que este tuvo. Por ejemplo, establecer si se generará pérdida de los clientes que fueron víctima del ataque, demandas por no proveer transacciones y canales seguros, un mayor número de auditorías y multas por parte de los agencias reguladoras, menores ventas debido a que los potenciales clientes evitarán contratar con una organización catalogada como insegura, mayores gastos para mitigar futuros ataques y suministrar protección más fuerte a los clientes, y más inversión en relaciones públicas para recuperar la confianza.

Consejos básicos

Muchos expertos sostienen que si los usuarios no detectan primero sus vulnerabilidades, los delincuentes sí lo harán y de forma muy eficiente. Por esa razón infolaft considera importante compartir con sus lectores varias recomendaciones generales recogidas en la elaboración de este artículo que pueden ser útiles tanto en el ámbito personal como en el laboral para evitar ser objeto de ataques informáticos:
  • No usar el mismo usuario y la misma contraseña en todas las cuentas (Facebook, Twitter, correo electrónico, almacenes de cadena, etc.), ya que muchos portales sin controles rigurosos pueden manejar los datos en texto plano y cuando sean atacados toda la información queda a la vista. Por lo general cuando los piratas cibernéticos descubren la clave de un usuario la prueban para acceder a todas sus cuentas.
  • Tener un navegador seguro y tenerlo configurado de manera adecuada. Muchas personas quitan opciones de seguridad para que no salgan cuadros de diálogo haciendo preguntas o solicitando permisos y ese es un gran riesgo.
  • Desligar las funciones de soporte tecnológico y de auditoría en sistemas. Muchas empresas tienen en una misma área la responsabilidad de suministrar la plataforma y de evaluarla, lo cual genera un evidente conflicto de intereses.
  • No dejar en manos de otras personas las contraseñas. Muchos gerentes o directivos confían sus usuarios y claves a colaboradores que pueden no estar capacitados en seguridad informática. Se han visto casos de secretarias que configuran como contraseñas los cumpleaños de sus jefes o los nombres de sus familiares.
  • Suspender los usuarios y claves de los funcionarios que sean desvinculados, que obtengan un permiso especial o que entren en periodos de vacaciones. Ha habido casos de personas que intentan modificar bases de datos mientras no están en la empresa.

Recomendados

Lavado de activos: ¿cómo evitarlo en su empresa?

El lavado de activos es un delito que busca dar apariencia de legalidad a...

Listas restrictivas: ¿qué son y cómo funcionan?

Las listas restrictivas son bases de datos y sanciones contra empresas y...

¿Qué es extinción de dominio y cómo se evita en empresas?

La extinción de dominio es un proceso por medio del cual se afectan los bienes...