domingo, 6 de noviembre de 2016

Bajo la óptica del hacker, el tamaño no es lo más importante

Una investigación muestra que el 60% de los ataques cibernéticos apuntan a empresas de menor tamaño, que están menos preparadas para evitar fraudes

“Secuestramos la información de todos sus clientes y pagos. Si quiere tenerla de vuelta, pague 50.000 reales. De lo contrario, todo será borrado”
Ese mensaje apareció sin previo aviso en la computadora de una red minorista hace algún tiempo. Ninguna medida de contención o corrección era capaz de desprogramar la criptografía hecha por el hacker. Como no había dinero para el rescate, la promesa fue cumplida. A la compañía le tocó enfrentar el perjuicio de las inestimables pérdidas financieras, ya que el último backup de los datos había sido hecho hacía más de un año.
La historia - verídica - contiene algunas pistas importantes: hablamos de reales, por lo tanto, el caso ocurrió en Brasil. La falta de dinero para el rescate indica que la empresa no era grande al punto de tener recursos en caja o crédito suficiente para un préstamo de ese valor. Para resumir la historia, la víctima era una pequeña compañía del interior del país, que nunca había aparecido en el periódico o hecho algo que “llamara la atención” de cibercriminales.
El ejemplo deja claro que ya se fue el tiempo en que la seguridad de la información era una amenaza solamente para grandes marcas. Un estudio divulgado recientemente por la Federación de las Industrias del Estado de São Paulo (Fiesp) corrobora lo que vemos en el mercado todos los días: el 59% de los ataques cibernéticos registrados en Brasil apuntan a las finanzas de las empresas, siendo que más del 60% ocurre en industrias de pequeño y mediano tamaño, menos preparadas para impedir los fraudes. Mientras el 96,4% apuesta por la instalación de antivirus para prevenir amenazas virtuales, el 40,1% invierte en aplicación de normas internas y solamente el 21,2% ofrece entrenamiento a los empleados directamente vinculados al uso de Internet.
Pequeñas y medianas empresas ignoran el potencial costo de una falsa economía en soluciones de seguridad de la información. El riesgo de un ataque hacker no se restringe a tiendas virtuales: basta que alguna computadora esté conectada a la Internet y no tenga las protecciones como antivirus, firewall, criptografía, backup o prevención de pérdida de datos (DLP), para que la acción de invasores sea facilitada. Y con cada vez más dispositivos conectados a la red corporativa - acá me refiero a computadoras de la empresa y hasta smartphones y tablets de empleados – más grande también es el peligro.
Datos del mercado muestran que la pérdida derivada de ataques cibernéticos llega a ser 150 veces más alta que una inversión preventiva. Funciona del mismo modo que nosotros, personas físicas, lidiamos con el seguro del coche: nos llega a dar ganas de ahorrar cuando las cuentas están más justas, pero sabemos que, si tomamos esa decisión, el costo de un choque o de un robo se vuelve muchas veces más grande.

La tienda minorista víctima del secuestro de información era bastante pequeña, por lo que su historia no salió en los medios. Pero, cuando sucede algo de este estilo, no hay distinción de tamaño: pequeña, mediana o grande, todas lloran. Y una vez que se sabe que para hackers el tamaño no lo es todo, la decisión de no invertir en seguridad de la información por “ser demasiado pequeño” se viene abajo. Se vuelve una decisión totalmente consciente de los riesgos, como la de no pagar el seguro del coche.