Seguro ha escuchado decir que los hackers ya no son tipos ociosos que se dedican por diversión a bloquear páginas web de importantes organizaciones solo por el placer de decir "yo lo hice".
La verdad es que, si siguen existiendo dichos hackers, son la minoría, pues la mayoría se dedican a un negocio mucho más rentable: vulnerar la seguridad para obtener datos que puedan vender a buen precio.
Sigue a Portafolio también en Facebook
El hacking se ha "industrializado" mucho los últimos ocho años, explica Carlos Arturo Bolivar, director regional de Cisco, generando un enorme mercado global que movió US$450 mil millones el 2014 y ganará US$1 billón para el 2019.
¿Cómo obtienen dicho dinero? Fácil: en la gran mayoría de ocasiones roban datos privados a empresas o personas y los venden a quien los solicite: desde criminales dispuestos a chantajes hasta empresas interesadas en vendernos un producto.
Los precios varían según quien sea la víctima y el tipo de dato del que estamos hablando, explica Bolivar. Cuando se trata de direcciones de correos y datos personales no muy relevantes, el pago promedio es US$1 y ahí lo que el criminal busca es volumen.
El precio por dato sube a US$50 cuando se trata de números de tarjetas de crédito pero puede llegar hasta US$1.000 si lo que se tiene es el número de cuenta bancaria de alguien con ingresos relevantes. Por datos relativos a la salud pagan desde US$350 dada la sensibilidad de los mismos y las alta demanda que tienen en el sector farmacéutico.
Montar una "empresa" local que se dedique a este trabajo es sencillo, añade Marcelo Bezerra, gerente de seguridad de Cisco en Latinoamérica, porque todo el quehacer está muy bien organizado a nivel internacional y tienen a la venta en Internet herramientas que hacen la mayor parte del trabajo.
"Con una inversión inicial de US$150 en la compra de software para hackear se pueden lograr ingresos de US$10 mil al mes sin mayor complicación. Para procesos más complejos hay herramientas más sofisticadas que valen US$2.500 y hasta US$5.000 cuando ofrecen como garantía que el infiltrado a la red no será detectado en cinco meses", advierte.
RETOS EMPRESARIALES
De cara a los empresarios locales, precisa Alba San Martín, el reto es enorme, sobre todo ahora que se están incrementando exponencialmente las conexiones a Internet no solo desde los celulares, sino desde una variedad de objetos que se comunican entre ellos.
"No solo hablamos de que accedan a la contraseña del correo gracias a la instalación de un malware en las PC de los trabajadores, sino de que se tome el control del panel de una extractora de minerales y se paralicen las obras o se detenga el suministro de energía a la planta procesadora", detalla.
En términos monetarios la incidencia de la delincuencia cibernética es bastante menor a la global como conjunto - solo en ataques a las redes locales ganan más de US$70 millones - pero en el ámbito individual, para cada empresa, el costo es muy alto. "Las empresas son muy recelosas en revelar esa información, pero sabemos de casos de hacking severos que han dañado fuertemente a empresas del sector retail y la banca recientemente", señala.
¿Qué les queda hacer a las empresas? Para Marcelo Bezerra es vital tomar cartas en el asunto y plantearse una estrategia de ataque frontal al problema en todo el ciclo de vida de la información, lo cual implica cuidar el antes, el durante y el después de un ataque informático. El problema, aclara, es que muchas empresas se cuidan solo de "cerrar las puertas de entrada" y descuidan el control del tráfico interno en la red o al revés, están mirando el tráfico y se olvidan de cerrar la puerta.
Otra deficiencia típica de las empresas latinas, incluidas las peruanas, refirió que es la falta de integración de las soluciones de seguridad que compran. El problema es que no tienen un ecosistema que converse con todos los productos y eso genera "huecos" que son aprovechados por los criminales, explica.
La solución, añade, es montar un ecosistema que integre adecuadamente todas las soluciones adquiridas - entre 24 y 35 productos es la media - y permita tener un control más exacto de lo que sucede.
Sumado a esto, añade Alva San Martín, está la necesidad de tomar consciencia real del problema y no dejarlo en un segundo plano. En el país, señala, las inversiones en tecnología son aún limitadas - suelen ser el 3,5% del presupuesto anual según Gartner - y en el mejor de los casos hay una dedicación del 40% de dicho monto a la seguridad.
Lo ideal, precisa, es que los montos de inversión en seguridad se incrementen todos los años en un 14%, porque las acciones delictivas se incrementan y se viene un aumento en la conectividad (más usuarios en red) que vendrá acompañado de una mayor sofisticación de las amenazas para las que deben estar preparadas las empresas.