Por Josh Shaul, Vicepresidente de Productos de Seguridad Web de Akamai
Como hemos hablado antes es un problema enorme las violaciones de datos al consumidor. Los piratas informáticos suelen robar nombres de usuario y contraseñas. El propósito final es ganar dinero, la mayoría de las veces mediante la compra fraudulenta de bienes que pueden venderse en el mercado negro. Y el fraude potencial no se limita a la empresa violada, sino que se extiende a otras empresas en línea. Daré respuesta a algunas interrogantes:
¿Qué tipos de organizaciones son los objetivos probables de los ataques de robo de datos de clientes?
En primer lugar, ninguna organización es inmune al ataque cibernético, por lo que todos los que hacen negocios en línea y almacenan datos de clientes son vulnerables. A los ciberdelincuentes les gustaría ir donde haya muchos datos potencialmente valiosos. Eso significa que las otras agencias de crédito, las principales compañías de tarjetas de crédito, y ahora compañías como LifeLock, la compañía de protección contra el robo de identidad que ha estado publicitando mucho y agregando clientes a raíz de las recientes infracciones. Por ejemplo, Equifax fue violado, pero uno esperaría que estas organizaciones tengan una seguridad “militar”.
Los ciberdelincuentes, como el proverbial ladrón de bancos, también querrían ir donde está el dinero, pero las principales instituciones de servicios financieros invierten mucho para mantener esa seguridad de grado militar. Están protegiendo sus activos, operaciones y clientes corporativos e individuales de alto valor. Los clientes minoristas regulares se benefician del nivel de seguridad existente.
Más vulnerables son las empresas como los grandes minoristas que tienen gran cantidad de datos de consumidores, pero no los márgenes de beneficio y la financiación, o quizás no la motivación, para aplicar la protección que podrían tener. Existe una discrepancia entre el valor de los datos a proteger y la seguridad que pueden pagar. Estas organizaciones deberían reevaluar sus posturas y estrategias de seguridad a la luz de la violación de Equifax y la cantidad de datos sobre sus clientes que ya están comprometidos.
En el lado del gobierno, el IRS es probablemente el objetivo más grande. Tienen la información de todos y tienen casi toda la información que un estafador podría pedir. Por supuesto, tienen una seguridad muy sólida, tanto para proteger los datos como para detectar el robo de identidad. Pero no han sido perfectos. Las agencias que dispersan los beneficios, como Medicare, parecen ser mejores en la protección de datos que en prevenir el fraude, pero su desafío se complica por el hecho de que las reclamaciones fraudulentas toman muchas formas.
Una industria en una posición difícil es la salud. Las organizaciones de proveedores y los intercambios tienen una enorme cantidad de información personal de las personas además de la información clínica en sus registros de salud electrónicos. Están bajo una gran presión de HIPAA para proteger los datos personales de los pacientes. Pero también tienen una tensión fundamental entre los gastos clínicos y otros. Los médicos y las organizaciones de proveedores se centran en los resultados de los pacientes, es la forma en que están conectados. Así que prefieren gastar en tecnología clínica en lugar de información o tecnología de seguridad. Tuve una conversación interesante con el CIO de un importante centro médico, quien dijo: “Mi mayor preocupación es que alguien que viene a mi hospital se enferma, se va sano, pero está peor por haber venido aquí debido a lo que sucedió con sus datos”.
Has hablado del crimen cibernético como si fuera un negocio.
Eso es exactamente lo que es, y es un gran negocio con diferentes modelos de negocios. Algunos delitos informáticos, incluidos muchos ataques patrocinados por el estado, equivalen a espionaje industrial. Los atacantes quieren robar datos técnicos, secretos comerciales u otra información confidencial de corporaciones y agencias gubernamentales. Los ataques muy diferentes apuntan a interrumpir las operaciones comerciales al eliminar servidores, redes y sitios Web. Esos son a menudo el trabajo de “activistas” o usuarios descontentos.
El ciberdelito que estamos discutiendo hoy, que comienza con el robo de datos sobre grandes cantidades de consumidores individuales, es probable que se trate de ganar dinero. El daño a las operaciones comerciales y la reputación de las corporaciones comprometidas es un subproducto. Esta versión del negocio de delitos informáticos tiene sus propios mercados y cadena de suministro:
- Los kackers encuentran y explotan vulnerabilidades en los sistemas corporativos para robar y vender grandes cantidades de datos sobre individuos.
- Los intermediarios compran los datos al por mayor y ponen a las personas y al software a trabajar para probar y validar las credenciales de los consumidores, o completar los datos necesarios para el robo de identidad. Básicamente, están seleccionando y agregando valor a los datos.
- Los estafadores especializados compran esos datos validados y los monetizan a través de varios canales de robo minorista, fraude financiero o beneficios gubernamentales y fraude fiscal.
La cadena de suministro está respaldada por todo un ecosistema, incluidos los desarrolladores de software que hacen herramientas del oficio y una fuerza laboral de piratas informáticos de alquiler. Hay servicios para convertir los datos robados en dinero, para convertir los bienes robados en dinero y para ocultar la actividad de los hackers. Y este ecosistema tiene una moneda de elección en bitcoin.
También tenga en cuenta que la ciberdelincuencia es un negocio 24/7. Los hackers están constantemente trabajando, pero a dos tiempos. Se dirigen a empresas específicas y tratan de explotar las vulnerabilidades recién descubiertas antes de que puedan ser parcheadas. Los hackers son pescadores submarinos que buscan peces grandes. Pero también están trabajando constantemente en segundo plano, lanzando una amplia red y esperando pacientemente a que los peces salgan a la superficie, incluidas las vulnerabilidades antiguas parcheadas de forma incompleta.
Este puede ser el punto más importante para los CEO, CIO, CSO y ejecutivos de negocios en general después de la violación de Equifax: conozca a su enemigo. No se trata de piratas informáticos aislados, sino de cibercriminales bien organizados y dotados de recursos. Ellos están en el negocio de defraudar a los individuos y las organizaciones que los sirven. Y la suya es una industria en crecimiento. No subestime su capacidad, ingenio o imaginación en torno a dónde, cuándo y cómo robar datos valiosos.