A estas alturas la saga de WikiLeaks debe ser conocida por casi todo el mundo. Para aquellos que han permanecido muy lejos de la civilización, la versión corta de la historia es como sigue: Como respuesta ante la divulgación de miles de cables diplomáticos de embajadas de los Estados Unidos, el gobierno americano se enfurece y pone de manifiesto su fuerte oposición a las acciones de WikiLeaks. A continuación diversas instituciones proveedoras de servicios financieros o infraestructura tecnológica a la controvertida organización, entre ellas Amazon.com, Paypal, MasterCard y Visa, retiran los servicios provistos a WikiLeaks, impidiendo así el flujo de donaciones y afectando su capacidad de operar. Muy pronto un grupo de hackers llamado Anonymous, famoso por su fuerte apoyo a la libertad de expresión y al libre acceso a la información, simpatiza con WikiLeaks y toma represalia contra estas corporaciones vía una serie de ataques de denegación de servicio a sus sistemas informáticos, comprometiendo sus sitios web y ocasionando otros posibles daños en lo que denominaron Operation Payback.

Otro de los blancos de WikiLeaks, el Bank of America, ante rumores de que el sitio publicaría documentos internos reflejando posibles prácticas irregulares, pronto se une al boicot y solicita la ayuda de HBGary Federal, una firma contratista que presta servicios de seguridad al gobierno de los EEUU, con el objetivo de deshabilitar a WikiLeaks. El plan orquestado por HBGary y su ahora tristemente famoso CEO Aaron Barr, incluía una serie de ridículas tácticas nixonianas de desinformación, contraataque e intimidación contra WikiLeaks y sus seguidores. Barr incluso alegó haber infiltrado el grupo de hackers Anonymous y tener información sobre la identidad de sus miembros.

La respuesta de Anonymous fue contundente y severa. Miembros del grupo penetraron las redes de HBGary, alteraron el sitio web de la empresa colocando mensajes despreciativos y obtuvieron acceso a miles de documentos y mensajes de correo electrónico de Aaron Barr, donde se exponían con lujo de detalle los planes y artimañas orientados a lograr este objetivo poco viable.

Existen otros detalles en torno a legalidades, procesos judiciales y acoso sexual que, aunque no menos intrigantes, omitiremos de esta publicación por el momento. Aparte del aspecto fabulesco, esta historia refleja algunas lecciones valiosas sobre seguridad y manejo de incidentes resaltan a la vista de los profesionales en nuestra área.

En primer lugar, muchos de los documentos que WikiLeaks obtiene y publica son el resultado de fugas de datos atribuibles a prácticas de seguridad informática deficientes. Si tan sólo estas empresas y gobiernos invirtieran en proteger sus informaciones la misma energía y recursos que emplean en tratar de encubrir los hechos, la historia fuera muy distinta.

El caso de WikiLeaks debe alertarnos sobre una realidad inminente: Los incidentes de seguridad no podrán mantenerse en secreto. Aún más grave, es que podemos prever el surgimiento de otros “Leaks” dedicados a divulgar datos confidenciales y exponer secretos de organizaciones en múltiples sectores. De hecho, el establecimiento de “AnonLeaks” por parte del grupo Anonymous es un presagio de este fenómeno. Si hay algo que debamos aprender de todo esto es que nuestra mejor defensa contra una brecha de datos y el daño resultante es evitar que sucedan, y para esto necesitamos implantar prácticas efectivas de seguridad, a través de un esfuerzo sistemático que nos permita identificar y tratar continuamente nuestros riesgos de información.

Muchas organizaciones poseen un nivel de conciencia de seguridad adecuado y hacen un buen trabajo en este sentido, estas son las organizaciones que brillan por su ausencia en los titulares de los diarios y en las historias publicadas de estos Leaks. Lamentablemente hay un igual o superior número de organizaciones que deciden ignorar la amenaza. Estas aprenden con el golpe, la forma más costosa de aprender, y enseñan al resto una valiosa lección sobre el potencial impacto de una brecha y la importancia de integrar seguridad en todas las actividades de la empresa.

Por otro lado, los precedentes parecen indicar que intentar desarticular e ir detrás de grupos de hackers organizados es algo que se debe abordar con sumo cuidado. Estos grupos son como fantasmas: están en un lugar y en ninguno al mismo tiempo, desaparecen y resurgen, se mutan, se transforman. Perseguirlos es como perseguir a un espíritu, un concepto que raya en la demencia.

En lugar de intentar erradicar las amenazas, la estrategia de seguridad debe centrarse en protegerse de ellas pues estas siempre existirán, siempre estarán ahí y evolucionarán para adaptarse a los cambios en los entornos y adelantos en la tecnología.

A medida que las buenas prácticas de seguridad de información continúen difundiéndose y se hagan más populares, gracias en parte a las exigencias regulatorias, se puede apostar a que más organizaciones se unan al grupo de empresas que deciden actuar de forma proactiva y evitar el alto precio de la publicidad negativa. Mientras tanto, estemos atentos a los próximos capítulos de esta saga que tan sólo se estrena.