De los audacez nerds, que disfrutan demostrando cuánto saben de sistemas y que pueden violar cualquier computador, y de los hackers, esos sofisticados piratas cibernéticos que logran desfalcar empresas, se ha llegado al cibercrimen: grandes grupos de crimen organizado que pueden ir tras información relevante para una compañía, ya sea en el plano de propiedad intelectual como de datos personales de sus altos ejecutivos para chantajearlos.
Las acciones de estos 'virtuales' criminales está azotando no sólo la seguridad de la empresas, sino también sus finanzas.
El cibercrimen ya es noticia casi diaria. Grandes grupos de crimen organizado realizan ataques masivos para obtener información con objetivos económicos, financieros y políticos desde Internet. La venta de información en el mercado negro alcanza un valor cercano a los 7.000 millones de dólares en todo el mundo. Según estudios internacionales, para el 42 por ciento de las compañías los ataques on-line son la primera de sus preocupaciones.
Con este porcentaje, la ciberdelincuencia supera ya en el escalafón al crimen tradicional como la principal preocupación de las empresas, por encima de los desastres naturales, el terrorismo y el crimen tradicional combinado.
Este elevado temor tiene una explicación económica. Cada año, las empresas se gastan en promedio 2 millones de dólares (millón y medio de euros) en costos asociados a los ciberataques, los cuales golpean principalmente tres aspectos fundamentales de un negocio: productividad, ingresos y pérdida de confianza del cliente. Esto refleja el informe de Symantec 2010 State of Enterprise Security, realizado en enero de este año a 2.100 CIO (Chief Technology Officer), encargados de seguridad informática y administradores de TI de 27 países, incluidos Argentina, Brasil, Colombia y México.
Según los datos del estudio, en los últimos 12 meses, el 75 por ciento de las compañías sufrieron ataques cibernéticos; el 36 por ciento calificaron los ataques como muy dañinos, y el 29 por ciento informó que los ataques han sido más frecuentes.
Las tres pérdidas más denunciadas fueron los robos de de propiedad intelectual, de información financiera (especialmente de las tarjetas de crédito), y datos de identificación personal de clientes.
Sin embargo, según la empresa consultora Deloitte, las empresas parecen no prever el peligro que afrontan.
"Los modelos actuales de seguridad son muy poco eficaces contra los delincuentes cibernéticos y la mayoría de las organizaciones parecen no estar conscientes de ese hecho", dijo Ted DeZabala, director de Deloitte & Touche LLP y líder nacional de la práctica de servicios de seguridad y privacidad de Deloitte.
La encuesta de vigilancia de Seguridad Cibernética 2010, realizada para la revista CSO en colaboración con el Servicio Secreto de Estados Unidos y el Instituto de Ingeniería de Software de Carnegie Mellon Cert, y patrocinado por Deloitte, calificó a los hackers como la mayor amenaza cibernética. Sin embargo, Deloitte cree que los entrevistados de la encuesta pudieron haber subestimado la delincuencia organizada y las entidades extranjeras, más bien concentrándose en los ataques de piratas informáticos poco sofisticados, ya que son los más ruidosos y más fáciles de detectar.
Estados Unidos encabeza todos los rankings anuales sobre la procedencia del malware (programa que causa daños a computadores, sistemas o redes y, por extensión, a sus usuarios). El 37,4 por ciento de las páginas web infectadas tiene sus servidores alojados en este país, seguido de Rusia (12,8 por ciento) y China (11,2 por ciento), según un estudio de Sophos.
Prever es parte de la seguridad
Ante los ataques que se han producido y la cierta indefensión de las empresas, Samuel Hourdin, director de Identidad y Acceso de Gemalto para Latinoamérica, destaca unos puntos que deberían tener en cuenta para su seguridad:
* Tendencias claves para la reestructuración del área de TI. El proceso de selección dar-winista de los nuevos riesgos, sacará del mercado a aquellas empresas que no redefinan su área de TI adecuadamente.
* La estrategia del área de TI estará más ligada a la estrategia global de negocio de la empresa. Los objetivos de negocio dependen de la incorporación del uso de las nuevas tecnologías. El trabajo a distancia, el uso de servicios de cómputo basados en Internet o servicios comerciales en línea son algunos.
* Habrá una demanda de funcionalidad de misión crítica en relación al costo-desempeño, y de identificación de herramientas de seguridad integradas a la hora de invertir.
* Capital humano. La escasez del personal se enfoca erróneamente: no se necesita una armada; una estrategia sólida previa definirá de forma eficiente las tareas específicas y el perfil del personal por contratar. La capacitación de todos los empleados sobre las políticas de seguridad y procedimientos será imprescindible.
* Observatorio de información. La seguridad pasará a ser 70 por ciento prevención y 30 por ciento solución de crisis. La información es la pieza estratégica para la prevención temprana.
* Las líneas de seguridad que TI calificó como las más importantes son: la de la red (virtuales, inalámbricas), la de contratación de servicios de TI (infraestructura, la plataforma y el software) y la de los entornos virtuales (especialmente servidores y endpoints), o el cómputo en la nube.
