James Legg, presidente, ThycoticCentrify.

Nadie siente nostalgia por eso, pero hubo un momento en que la extorsión, el chantaje y el secuestro para pedir rescate eran delitos cometidos contra personas, generalmente como resultado de encuentros cara a cara. Pero hoy, muchos de estos mismos delitos se cometen virtualmente, en línea y, a menudo, contra organizaciones en lugar de contra individuos. Como resultado, el volumen de la ciberdelincuencia se ha incrementado a escala industrial, alarmando tanto a las empresas públicas como a las privadas.

Los ataques de ransomware que utilizan acceso no autorizado a la red han aumentado en frecuencia, y el tamaño de sus víctimas y las recompensas para los perpetradores han aumentado a cientos de millones de dólares. El año pasado, los New York Times informó que hubo aproximadamente 2.400 ataques de ransomware en los EE. UU., y muchos de ellos fueron finalmente resueltos por la víctima haciendo pagos de rescate, a menudo utilizando criptomonedas imposibles de rastrear, para restaurar sus archivos.

Sin embargo, hasta hace poco tiempo, la mayoría de los hacks, ataques y toma de rehenes de datos conocidos tenían como objetivo organizaciones más pequeñas y mal defendidas, incluidas bibliotecas, hospitales, escuelas y gobiernos locales. Ahora, los ataques se han expandido para incluir objetivos como redes gigantes de suministro de combustible y la Autoridad de Buques de Vapor de Massachusetts.

Por muy malos que sean, la mayoría de los ataques conocidos hasta ahora se han centrado principalmente en datos relacionados con la recopilación de inteligencia, no en la destrucción de infraestructura física o activos militares. El asombroso truco de las actualizaciones de red de SolarWinds se entiende en gran medida como un ejemplo de arte espía en lugar de aniquilación.

Eso podría cambiar rápidamente, ya que las capacidades ya están disponibles. Por ejemplo, un ataque norcoreano de 2014 contra Sony Pictures destruyó la infraestructura informática de la empresa. A 2015 ciberataque ruso a la red eléctrica de Ucrania cerró el servicio eléctrico de 230.000 clientes por hasta seis horas. Eran signos ominosos de lo que un ciberataque a gran escala podría hacerle a un adversario.

Es comprensible que el gobierno federal de los Estados Unidos haya demostrado un mayor nivel de preocupación. Ha emprendido una serie de iniciativas en respuesta, la más reciente el 3 de junio. Una carta sin rodeos de la Administración Biden instó a la comunidad empresarial de EE. UU. A implementar medidas de seguridad contra ataques de ransomware y adoptar muchos de los mismos pasos defensivos que recientemente requirió de las agencias federales y sus contratistas.

Siguió una serie creciente de pasos federales relacionados. El 13 de abril, el Anunció el Departamento de Justicia de EE. UU. un esfuerzo por cerrar las puertas traseras de software, públicas o privadas, que se hayan expuesto como resultado de un problema encontrado en Microsoft Exchange.

El 28 de abril El Washington Post informó que un grupo bipartidista de legisladores estaba planeando crear un equipo de expertos en ciberseguridad invitados para responder rápidamente en caso de un ataque a las redes federales. El presidente del Comité de Inteligencia del Senado ha trabajado arduamente en una legislación que requeriría que las organizaciones del sector privado notifiquen cualquier infracción resultante de los ciberataques.

El 12 de mayo, el Presidente emitió un orden ejecutiva colocando estrictos nuevos estándares de seguridad en cualquier software comprado por el gobierno federal. El incentivo para que los proveedores privados observen los estándares más estrictos es que las empresas cuyos productos se encuentren por debajo del estándar no podrán participar en los contratos federales. La primera propuesta de presupuesto federal de la administración, anunciado más tarde ese mes, incluyó $ 9,8 mil millones en fondos para ciberseguridad.

Eso no incluye el $ 10.4 mil millones que el Departamento de Defensa quiere gastar en ciberseguridad en el año fiscal 2022. Otros gastos relacionados propuestos incluyen $ 2.1 mil millones para CISA, la Agencia de Seguridad de Infraestructura y Ciberseguridad, $ 20 millones para un nuevo Fondo de Recuperación y Respuesta Cibernética y $ 500 millones para el Fondo de Modernización de Tecnología del gobierno.

Si bien muchos aplauden el creciente interés del gobierno en la ciberseguridad, también hay un poco de preocupación. Algo de esto tiene sus raíces en el Disminución del nivel de confianza en la integridad del gobierno.. Después de todo, si el gobierno tenía acceso sin restricciones a los datos privados de una empresa, ¿y si no le gustaba lo que estaba viendo? ¿Y las filtraciones de información sensible?

Más allá de eso, las reglas gubernamentales a menudo siguen una fórmula única para todos. Las regulaciones tienden a ser estáticas, lo que genera una cultura de cumplimiento de casillas de verificación o, a veces, incluso requisitos de certificación vagos como los que se encuentran en el marco de certificación del modelo de madurez de ciberseguridad. Sin embargo, los adversarios contra los que se dirigen esas reglas han sido extremadamente ágiles. Entonces, aunque ha habido llamados a la intervención del gobierno para proteger industrias vitales de Estados Unidos, y hay formas en las que el gobierno puede ser útil, a menudo existe un desajuste entre los problemas del sector privado y las soluciones del sector público.

La buena noticia es que hay pasos decisivos que las organizaciones privadas, así como las agencias gubernamentales, pueden tomar ahora mismo para proteger mejor sus datos, independientemente del entorno regulatorio. Por ejemplo, Forrester (cerrado) ha informado que el 80% de todas las violaciones de datos relacionadas con la piratería involucraron el abuso de credenciales privilegiadas. Una respuesta adecuada sería implementar los principios de «confianza cero» al proporcionar acceso al sistema, dejando atrás la postura obsoleta de «confiar pero verificar» y reemplazarla con un mandato de «nunca confiar, verificar siempre».

Otros pasos para protegerse contra intrusiones podrían incluir el uso generalizado de autenticación multifactor, que puede filtrar amenazas externas maliciosas; elevación de privilegios que otorga derechos de acceso limitados a los administradores una vez autenticados y luego solo para tareas específicas y períodos de tiempo; usar bóvedas de contraseñas para descubrir, almacenar y administrar el acceso a cuentas y contraseñas compartidas; y asegurar el acceso remoto sin requerir la exposición total de la red generalmente asociada con las redes privadas virtuales.

La implementación de estas y otras medidas de seguridad para la gestión de la identidad y el acceso requerirá perseverancia, imaginación, tecnología e inversión tanto del sector público como del privado. También implicará una educación constante. La capacitación continua de los empleados para minimizar el éxito de la ingeniería social y las estafas de phishing seguirá siendo esencial.

La buena noticia es que muchos de estos pasos pueden beneficiarse inmediatamente de las soluciones que ya están disponibles. Pero independientemente de las nuevas regulaciones federales, los fondos del gobierno, incluido el Fondo de Modernización de la Tecnología que se adoptó como parte del Plan de Rescate Estadounidense, pueden desempeñar un papel de apoyo importante para acelerar las medidas de seguridad y combatir el flagelo actual del ciberdelito.


Consejo Empresarial de Forbes es la principal organización de crecimiento y creación de redes para empresarios y líderes. ¿Califico?


Dejar respuesta

Please enter your comment!
Please enter your name here