En una semana, se conoció que diferentes organismos públicos de nuestro país fueron víctimas de robos de información mediante ciberataques. Primero, un usuario publicó datos del sistema Nosis (del cual se extraen los informes de situación financiera). Luego, otro usuario puso en venta 5,7 millones de imágenes de licencias de conducir argentinas; ofreciendo como muestra los permisos de varios famosos, incluyendo el del Presidente Javier Milei y varios funcionarios. Y al día siguiente, el mismo que publicó los datos de Nosis difundió 65 millones de datos del Registro Nacional de las Personas (ReNaPer). Este último, aparentemente sería producto de una filtración de 2021.
Estos ataques no ponen en peligro el funcionamiento de los organismos, pero comprometen datos sensibles de los ciudadanos, que pudieran ser utilizados para diversos ciberdelitos, como la suplantación de identidad, que puede utilizarse para conseguir accesos no autorizados o extorsiones.
¿Qué puede hacer el gobierno y los particulares afectados para recuperar estos datos? La respuesta es NADA. Más allá que algunos datos solo son filtraciones que realizan los hackers para dar muestra de su capacidad, sin pedir nada a cambio, la recompra de datos robados o el pago de un rescate por los mismos, no garantiza la seguridad de estos. La característica distintiva de los archivos digitales es que se pueden hacer infinitas copias de idéntica calidad a la de los originales. Por ello, es muy raro que una entidad que fue víctima de un ciberataque intente recuperar esos datos, salvo que afecten directamente a la operatoria o funcionamiento.
Lo único que queda por hacer es analizar las vulnerabilidades que permitieron ese ataque y trabajar preventivamente para mitigar la posibilidad de que esto vuelva a ocurrir a quienes fueron objeto de estas intrusiones.
¿De qué manera las organizaciones pueden trabajar en la prevención de ciberataques? Estos son los pasos que debería seguir para disminuir sus vulnerabilidades:
1) Realizar un relevamiento exhaustivo de la seguridad de su infraestructura que resguarda su información sensible: Esto implica revisar su red, su equipamiento y su software, para determinar si el mismo está preparado para las amenazas que emergen día a día.
2) Análisis de vulnerabilidades: Se recomienda contratar una consultoría del tipo Ethical Hacking, es decir, un servicio que actúe como un atacante externo (y que esté a la vanguardia de las sofisticadas técnicas de hackeo que existen en la actualidad), para testear todas las vulnerabilidades que tiene la infraestructura actual y diagnosticar acciones de refuerzo necesarias.
3) Implementación de las soluciones técnicas necesarias que deriven de los análisis previos: Esto incluye el encriptado de información, comunicaciones y almacenamiento, una política de backup y respaldo permanente de información, incorporación de soluciones antivirus de tipo Endpoint Management Software (EMS) y de soluciones de detección y respuesta (EDR). Es fundamental incorporar soluciones basadas en Inteligencia Artificial. Hoy los ciber terroristas utilizan mucho estas herramientas y es imposible combatirlas sin estar en igualdad de condiciones.
4) Crear una cultura de seguridad de la información: De nada sirve contar con todos los protocolos y mecanismos técnicos de IT, si no se cuenta con una cultura de seguridad instaurada en todos los miembros de la organización y, por otro lado, no se toma a la Ciberseguridad como un subconjunto de lo que implica la Seguridad de la Información. Este último concepto es mucho más amplio, ya que incluye hasta el cuidado físico de la misma.
5) Implementar la figura del Chief Information Security Officer (CISO): Es el Director de Seguridad de la Información, que suele responder al Chief Security Officer (CSO) y el cual a su vez responde al CEO; pero por fuera de la estructura del CIO. Esto implica tomar la seguridad de la información como parte de la seguridad de toda la empresa y no como un aspecto meramente tecnológico. Conceptualmente esta estructura de roles debería replicarse en los organismos públicos. Si bien estamos hablando de un profesional de alto seniority, no es necesario contratar un recurso permanente para este rol. Existe un servicio denominado CISO as a Service brindados por empresas de TI, que permite a las empresas y organismos contar con un equipo de consultores capaces de generar e implantar políticas de seguridad de la información, supervisar la arquitectura de seguridad de la información de la empresa o dar respuesta ante incidentes de seguridad de la información, entre muchas más funciones.
Hoy cualquier organización es atractiva para ciberdelincuentes, contenga la información que sea. Por ello, es necesario que, independiente del tamaño o del rubro de la compañía, se trabaje de manera preventiva, ya que todos estamos expuestos a los riesgos de la red.
Por Ariel D´Angelo, Gerente de Ingeniería de Negocios de IFX Networks