La empresa protagonista de esta historia es líder en ventas en República Dominicana, su nivel de expansión se logró gracias a su amplia visión de futuro. Hace más de 10 años entendió, a diferencia de sus competidores, que la tecnología es una inversión y no un gasto. Su infraestructura tecnológica ha llegado a ser importante y así lo demuestra el monto que cada año tiene destinado para ese renglón en su presupuesto.
Hace años que la empresa RG (nombre ficticio) se siente cómoda invirtiendo en lo habitual, sustitución de equipos servidores en sus instalaciones, actualización de licencias, expandiendo cada ano el almacenamiento y renovando las licencias de antivirus etc.
Claro que la modernidad ha exigido también incursionar en aplicaciones móviles, servidores en la nube para facilitar la interacción con sus clientes y relacionados. También se han ido integrando a la red, sistemas de control de accesos, sistemas de climatización, cámaras de vigilancia, su flota de vehículos está ahora controlada por sistemas de geoposicionamiento satelital GPS. Todos estos sistemas han sido escogidos de acuerdo con la mejor oferta: precio versus calidad.
Su Departamento de Cómputos hace mucho que se convirtió en Departamento de T.I. y el encargado que tiene 20 años en la empresa ahora es Director Ejecutivo. TI tiene que ver con todas las áreas de la empresa que ahora dependen de TI para funcionar. Todos los planes de desarrollo se basan en nuevas facilidades que cada encargado propone motivado en ideas o experiencias que ha visto en internet.
Esta es la empresa ideal. Las cosas han ido bien hasta la fecha, no hay porque cambiar algo que ha salido bien hasta el momento, ¿verdad? Pues No. Esta idea es equivocada.
De “Perímetros” a “Endpoints”
Las empresas con mayor riesgo de incidencia de ciberataques son las empresas tradicionalmente exitosas cuyas estructuras tecnológicas se han construido hace más de 10 años de acuerdo con una arquitectura tradicional de seguridad perimetral.
Los perímetros tecnológicos de la empresa de han diluido entre la nube, la red interna y los dispositivos móviles, pero las defensas de las compañías tradicionales siguen enfocadas a tratar de defender las puertas y las pasarelas.
La tendencia actual es proteger y monitorear los Endpoints (cualquier dispositivo informático que se comunica de un lado a otro con una red a la que está conectado). Monitorear el comportamiento de estos Endpoints en un panel de control, preferiblemente en la nube para aprovechar los conocimientos y las experiencias que minuto a minuto se comparten en la comunidad dedicada a la ciberseguridad.
El concepto tradicional de LAN/WAN y CORTAFUEGOS hoy día está prácticamente obsoleto.
De “Antivirus a “Antimalware”
Ahora que la información valiosa de la empresa ya no solo reside en el almacenamiento de los motores de bases de datos sino, en los repositorios de los correos electrónicos, en los dispositivos individuales, en proveedores web y múltiples sitios más, una efectiva política de respaldo es cada vez más difícil.
Los antivirus de hoy han tenido que ir evolucionando para detectar las cada vez más comunes amenazas y se han tornado más invasivos y devoradores de recursos tanto en memoria como en procesamiento. Una actividad dañina en el computador se parece cada vez más a la acción cotidiana de un usuario común. Hemos ido de antivirus (evita archivos infectados) a un nombre más moderno antimalware que evita actividad o procesos sospechosos). Los sistemas operativos modernos ya se están encargando de esa función. Los antivirus tradicionales, con el tiempo, son cada vez más obsoletos.
La Falla Inevitable
La exitosa empresa RG (nombre ficticio) hace unas semanas fue víctima de un ataque masivo de secuestro de información, más de 3 TB de información en 3 equipos de la compañía fueron comprometidos y encriptados por un ataque de la familia de ramsonware Blackcat.
Toda la información estaba ahí, pero inservible. De acuerdo con el análisis forense el evento se desencadenó a las 5:30 am. Los archivos más importantes de su sistema principal de facturación, clientes y contabilidad estaban cifrados (proceso mediante el cual se transforma el contenido de un archivo una versión ilegible codificada y que solo con la clave utilizada se puede volver a decodificar).
¡No había absolutamente nada que T.I. pudiera haber hecho para evitarlo!
Solo un cambio disruptivo en la arquitectura y manera de hacer tecnología hubiera evitado esto y no había ninguna motivación para hacerlo antes de este evento.
6 días de pérdidas estimadas en cientos de miles de pesos, estricto hermetismo para evitar el daño irreparable e inestimable de la reputación. Una respuesta tecnológica que no estaba contemplada ni prevista, protocolos inexistentes y respaldos de información tan dispersos como sistemas independientes existían. Todo en RG en TI ocurría por inercia, bajo el librito (escrito hace 10 años) impecable, incuestionable pero inservible ante esta situación.
Bajo las condiciones actuales una mayor educación y concientización tecnológica de los usuarios de la empresa hubiera reducido los riesgos de que ocurra el evento sufrido, pero está claro que esa no es la función de T.I. en la empresa. Según el Informe de Riesgos Globales 2022 preparado por el Foro Económico Mundial, en el 95% de los eventos de ciberseguridad se identifica puede identificar el error humano que lo desencadena
Según cifras del Cybersecurity Ventures sobre economía cibernética global, el costo del cibercrimen alcanzará en 2025 los 10.5 billones de dólares; lo que equivale a la suma de las economías de Japón, tercera en el planeta, Alemania cuarta y Suiza la 18ª; se estima entonces que durante el 2021 los costos por daños globales del cibercrimen ascendieron a 6 trillones de dólares, lo que equivale a 648 millones de dólares en pérdidas por hora; 11.4 millones de dólares en un minuto y cerca de 190.000 dólares por segundo. ¡¡El cibercrimen ya mueve más dinero que el narcotráfico!!
Para una empresa como RG, un incendio hubiera sido preferible, las aseguradoras tienen perfectamente definidos este tipo de desastres. Para el caso de ataques de secuestros de información en República Dominicana, al momento, no existe ninguna cobertura posible, ni siquiera las BBB (Bankers Blanket Bond). En Europa si existen pólizas de seguro de ciberseguridad y se reporta que casi el 70% de los accidentes que se producen tiene su origen en ataques “ransomware”, compromiso de datos personales e ingeniería social.
Ante la tragedia inesperada de RG, todo el que cree saber un poco de tecnología es llamado a opinar y la gerencia se debate, en las angustiantes primeras 12 horas, los pasos a seguir.
No había procesos definidos ni protocolos y a medida que pasa el tiempo con los sistemas abajo, la desesperación aumenta, así como crece la oferta a quien sea que pudiera resolver.
Finalmente, luego de 6 días de acciones de remediación y negociaciones en el “Dark Web”, bajo el liderazgo de profesionales altamente especializados que se ocupan de esta labor, la situación se resolvió de manera favorable para la empresa RG. Los detalles, de esta travesía de novela, se lo contaremos en otra entrega.
Biografía del autor
Luis J. Polanco, es Arquitecto e Ingeniero de Sistemas dominicano, con más de 26 años de experiencia en la dirección de Tecnologías de la Información y las Telecomunicaciones en el sector financiero, sector público y privado.
Egresado de la Universidad Nacional Pedro Henríquez Ureña, University of Florida, la New York University y recientemente en el Rochester Institute of Technology donde cursó la maestría en Ciberseguridad.
Actualmente es docente en la escuela de Postgrado de la Pontificia Universidad Católica Madre y Maestra, Asesor de Políticas de Ciberseguridad y Tecnologías de la Información del Senado Dominicano. Consultor de Ciberseguridad para diferentes corporaciones privadas de República Dominicana.