Ciberataques: las empresas prefieren el hermetismo

Con la revelación del ataque en China, Google sorprendió y rompió las reglas tácitas de confidencialidad informática

POR:
enero 22 de 2010 - 05:00 a.m.
2010-01-22

La mayor sorpresa para los expertos en seguridad informática no es que Google Inc. haya sido blanco recientemente de ataques en China. Es que el gigante de Internet eligiera divulgar el incidente.

A pesar de repetidos esfuerzos por parte del gobierno de EE.UU. para lograr que el sector privado comparta información sobre amenazas, muchas empresas han mantenido confidencial ese tipo de incidentes.

"Hay una cultura de hermetismo alrededor de las malas noticias y el robo de datos siempre es una mala noticia", indicó Larry Ponemon, un consultor de seguridad y privacidad del Instituto Ponemon. "A las organizaciones no les gusta revelarlo".

La renuencia puede aplicarse tanto a la divulgación pública de ataques como a compartir información entre empresas y agencias del gobierno, intercambios que pueden ayudar a las organizaciones a prevenir futuras violaciones de seguridad.

Google afirmó hace poco que sus sistemas habían sido vulnerados en un ataque en diciembre, y los criminales se apoderaron de parte de su propiedad intelectual y tuvieron acceso a cuentas de email que pertenecen a activistas de derechos humanos chinos.

Personas al tanto del ataque a Google afirman que hasta 34 empresas fueron blanco de violaciones similares, pero sólo otras dos ¿Adobe Systems Inc. y Juniper Networks Inc.¿ han divulgado hasta ahora que fueron atacadas.

Otras empresas que fueron puestas en la mira incluyen a Yahoo Inc., Symantec Corp., Northrop Grumman Corp. y Dow Chemical Co., según expertos de seguridad en Internet, pero las empresas no confirmaron si fueron blanco de este ataque.

Google afirmó, en una entrada en un blog en la que revelaba el ataque, que tomaba el "paso inusual" de compartir la información "debido a las implicaciones de seguridad y derechos humanos de lo que había descubierto". Un vocero prefirió no hacer más comentarios.

Compartir información entre empresas ha sido en general voluntario, y consecuentemente pocas compañías informan de esos incidentes.

Las empresas han hecho públicas 37% de las 6.998 violaciones de seguridad de datos que sufrieron en los últimos 12 meses, según una encuesta de más de 1.000 empresas realizada por el Instituto Ponemon. Casi todos fueron ataques de seguridad que involucraban la información personal de los clientes. A su vez, sólo el 10% de las violaciones que involucraron información empresarial sensible fueron reveladas, según la encuesta.

Los expertos están divididos sobre si el intercambio de información entre organizaciones ha mejorado. Una persona que citó progresos es Scott Algeier, director ejecutivo del Centro de Cooperación y Análisis de la Tecnología de la Información, una organización que tiene la tarea de coordinar la colaboración del sector privado y el público para ese área. "A comparación de donde estábamos hace 10 años, es el día y la noche", indicó.

Pero Warren Axelrod, director de investigación de la Unidad de Ciber Consecuencias de EE.UU., una organización sin fines de lucro que estudia los efectos de los ciberataques, afirmó que los intentos por lograr que las empresas compartan información sobre incidentes de forma organizada "realmente no han avanzado" desde fines de los años 90. En cambio, dijo, la mayoría de los intercambios se producen en privado entre personas que se tienen confianza entre sí.

La brecha donde no hay una relación cercana puede crear vulnerabilidades.

Por ejemplo, a fines de 2008 hackers ingresaron en los sistemas de Heartland Payment Systems Inc., una empresa de procesamiento de tarjetas de crédito, y robaron información de cuentas de millones de personas.

La compañía reveló el episodio en enero de 2009, pero sólo porque debía hacerlo por ley, afirmó Bob Carr, el presidente ejecutivo de Heartland, en una entrevista en junio. Agregó que hasta otras 300 empresas fueron blanco de ataques similares pero la mayoría nunca lo divulgó.

Si se hace pública la información sobre los ataques, muchas empresas temen por la posible reacción de inversionistas y clientes, indicó Eli Jellenc, directora de inteligencia cibernética internacional de iDefense, una unidad de VeriSign Inc.

Uno de los temores es que el público no comprenda los matices de los ataques y trasladen su apoyo a competidores que parecen no haber sido vulnerados.

Aunque los expertos en seguridad elogian a Google por haber divulgado lo ocurrido, algunos hubieran deseado que lo hiciera antes. Una persona al tanto de la mentalidad que gobierna Google afirmó que la decisión de revelar los ataques ¿que fueron detectados en diciembre¿ fue tomada tan pronto como sus expertos estuvieron seguros de haberlos entendido.

¿Siobhan Gorman contribuyó a este artículo

Siga bajando para encontrar más contenido