BOGOTÁ D. C., 30 de junio de 2021 — Agencia de Noticias UN-
Así lo explican integrantes del Semillero en Seguridad informática (Uqbar), dirigido por el profesor Jorge Eduardo Ortiz y adjunto al grupo Tlön de la Facultad de Ingeniería de la Universidad Nacional de Colombia (UNAL) Sede Bogotá, quienes recuerdan que los ataques cibernéticos o informáticos son comunes y “todos estamos expuestos”.
Según advierten, no hay sistema 100 % seguro y los ciber delicuentes lo saben, de ahí que este tipo de hackeos se registran a diario; las organizaciones publican algunos y otros no, y por la pandemia, en 2020 se incrementaron en Colombia en un 400 %, según cifras de la Policía Nacional.
Estos han empezando con ataques simples como el phishing o suplantación a través de correos electrónicos y pasan a más avanzados como el uso de malware, que es software malicioso para cifrar información a través de ransomware, que son programas especializados en cifrar la información en los cuales el atacante solicita dinero en forma de criptomoneda para evitar ser rastreado fácilmente.
Para este grupo, la información vista como activos digitales siempre tendrá valor para los atacantes, de manera que todas las organizaciones están expuestas. “Las vulnerabilidades están presentes y en algunos casos son informadas por los fabricantes de sistemas operativos solicitando actualizaciones o cambios de versión, entre otros”, destacan.
En cuanto a las últimas tecnologías para evitar estos ciberataques, el equipo de la UNAL explica que “existen sistemas como los SOC (Security Operation Center), que permiten hacer gestión de todos los activos tecnológicos y la información, es decir la infraestructura como servidores routers, bases de datos y la información alojada en los centros de datos. Esto requiere de una inversión tecnológica y un plan de desarrollo, migración y gestión de tales servicios, para lo cual se requiere un grupo especializado en seguridad informática que monitoree 24/7 los servicios”.
También se cuenta con sistemas que permiten la correlación de eventos, definición de perímetros de seguridad y estrategias de mejora continua, capacitación del personal y un compromiso de la dirección para poder integrar la seguridad informática y la información en todos los ámbitos de una compañía, entidad educativa o gubernamental
En relación con el alcance que pueden llegar a tener estos ataques en internet, el semillero considera que “uno de los primeros inconvenientes es la divulgación de información personal y es un ataque directo a la privacidad de las personas. Como miembros del ciberespacio, que está compuesto por los sistemas, las personas y la tecnología , tenemos una presencia en el mundo digital que es vulnerada y puede tener diferentes alcances ya sean económicos, sociales, tecnológicos, o activistas; el riesgo inicial está dentro del perímetro y alcance de los sistemas comprometidos”.
En ese sentido, mencionan que por lo general un ataque puede durar en gestación meses o años, los sistemas pueden estar comprometidos, pueden existir fugas de información y no ser detectados, o los sistemas los pueden detectar como un comportamiento normal sin generar alarmas o alguna advertencia.
“Por lo general los hackers no divulgan su ataque ni dejan huella de que estuvieron en los sistemas o aplicaciones. Una características de un hacker es la paciencia, ya que es posible que la planeación o las fases de un ataque tome bastante tiempo y deba hacer varias interacciones del ataque hasta que tenga éxito”, subrayan.
Respecto a las recomendaciones para evitar este tipo de ataques en la red, los integrantes del semillero dicen que esta se da a nivel de usuario y de administrador u oficial de seguridad. “Las personas somos el eslabón más débil en la cadena en cuanto a seguridad informática y de la información se refiere”, advierten.
A nivel de usuario es necesario tener el antivirus actualizado, aplicar las actualizaciones del sistema operativo publicadas por los fabricantes (Windows, Android, Mac OS, distribuciones de Linux) y tener contraseñas seguras que den un nivel más de dificultad en vulnerar las cuentas. Esto se puede evaluar, por ejemplo, en el antivirus https://password.kaspersky.com/ para verificar el tiempo que duraría un algoritmo en descifrar nuestra contraseña. El último y más importante es el sentido común: “nadie nos va a solicitar contraseñas, no vamos a tener permisos donde no nos hemos inscrito, los riesgos están presentes en redes sociales, aplicaciones descargadas a nuestros móviles y correos maliciosos ente otros”, señalan los investigadores.
A nivel de administración de servicios, es necesario contar con un equipo diverso en seguridad informática con experiencia en redes, sistemas operativos servicios básicos, servicios de identidad digital y aplicaciones, para realizar auditorías constantes, tests de penetración y tener un amplio conocimiento en los procesos misionales de la compañía, entidad o institución educativa para garantizar la continuidad del negocio.
Frente al impacto de los ciberataques en instituciones como las universidades, el grupo asegura que es total, pues cuando se atacan los sistemas misionales –claves de cualquier organización–, los de apoyo –como servicios financieros, administrativos y de gestión– pueden terminar con los procesos diarios y llevar a una detención total. Al respecto, se requiere de un mecanismo que garantice la continuidad de las actividades, por medio de análisis de riesgos y evaluaciones de seguridad informática y de la organización.
Aunque en Colombia existen marcos normativos de protección de datos y de seguridad informática y de la información –como la Ley 1273– que alude a “la protección de la información y de los datos”, y la Ley 1582 de 2012, que regula la protección de datos personales, es necesario tener un seguimiento constante y apropiado para la implementación no solo de las leyes sino de su integración con las buenas prácticas y recomendaciones de fabricantes y expertos en seguridad informática.
Del mismo modo, consideran necesario garantizar la implementación de estas recomendaciones y disposiciones con presupuesto y personal especializado, pues, en su concepto, pueden existir normas, leyes y recomendaciones, pero sin la debida implementación ni un equipo idóneo en estas tendrán los efectos esperados.
