SAN FRANCISCO – El intercambio de información con las autoridades después de una violación es fundamental para combatir con éxito los cada vez más sofisticados y organizados cibercriminales, dijeron expertos en seguridad durante una mesa redonda en la Conferencia RSA.

El mayor desafío para las autoridades es tratar de trabajar con las empresas nacionales víctimas de violaciones, dijo Kimberly Kiefer Peretti, abogada de la Sección de Delitos Informáticos del Departamento de Justicia.

“La única manera de luchar contra esto es conseguir un buen apoyo. No estamos allí como su enemigo, sino como su amigo”, dijo. Las autoridades hacen lo posible para respetar las necesidades de una empresa y no interrumpir el negocio durante una investigación, agregó.

John Woods, un socio enfocado en las investigaciones internas de Hunton & Williams LLP, una firma con sede en Washington, DC, dijo que dar información a las autoridades no ha hecho daño a sus clientes y por el contrario ha ayudado a reducir su exposición y proteger su marca. El intercambio de información también ayudó a capturar a los criminales más rápidamente, añadió.

Los panelistas dijeron que los delincuentes son cada vez más adeptos a irrumpir en las empresas, capturando silenciosamente los datos valiosos en redes corporativas de forma desapercibida durante meses e incluso años, y monetizando los datos de una manera muy organizada.

Peretti habló sobre la acusación de Alberto González, un hacker originario de Miami que se declaró culpable el año pasado de orquestar una serie de ataques en varias compañías. En algunos casos, las empresas víctimas llamaron a su oficina, en otros, su oficina se puso en contacto con las víctimas. “En todos los casos en los que hubo un enjuiciamiento exitoso, se debió a una estrecha colaboración con la víctima”, dijo.

González y sus co-conspiradores infiltraron las redes corporativas con malware que no fue detectado por los antivirus, lo que les permitió no ser detectados por dos años, dijo. “Lo difícil fue que [los ciberdelincuentes] tuvieron tiempo ilimitado para hacer reconocimiento de la red, y buscar datos almacenados o datos en tránsito”.

Los cibercriminales que cometen delitos financieros también están motivados por “el ego, el desafío y la codicia”, dijo Peretti.

Algunos de estos cibercriminales pueden incluso no estar interesados en el dinero, añadió, pero a menudo tienen estrechos vínculos con amigos que conocieron cuando eran hackers adolescentes y continúan trabajando con ellos. Los investigadores ven sus charlas en línea en donde hablan acerca de las drogas recreativas, citas y discotecas. “No es la mentalidad criminal más madura”, dijo.

Sin embargo, los cibercriminales están muy bien organizados con equipos separados para llevar a cabo las diferentes partes de un ataque, dijeron los panelistas. Además, Woods dijo que hay naciones-estados tratando de robar la propiedad intelectual y otros datos confidenciales de las empresas de EE.UU.

“Los ataques para robar las tarjetas de crédito son importantes, pero la amenaza real es a la propiedad intelectual”, dijo David Burg, director en PricewaterhouseCoopers, de Greensboro, Carolina del Norte.

Burg dijo que la reciente acusación de cuatro europeos del Este, que supuestamente violaron la seguridad del procesador de pagos RBS WorldPay Inc. y ayudaron a robar más de 9 millones de dólares a miles de cajeros automáticos en un ataque altamente coordinado, involucró mucha cooperación internacional. También elogió a Google por aumentar la conciencia respecto al delito informático mediante la revelación de los detalles del ataque sufrido por la compañía recientemente.

“Si hacemos un mejor intercambio de información, podemos hacer un mejor trabajo de comprensión de la amenaza”, dijo Burg.

Sin embargo, esta práctica de jugar a la ruleta rusa con el riesgo de la información ha demostrado ser el talón de Aquiles para muchas organizaciones que probablemente se encontraban en una postura similar. Si analizamos los incidentes sufridos por TJX, Heartland, RBS Worldpay y otras instituciones que han sido víctimas de las brechas de datos más grandes de la historia, las cuales han ocasionado pérdidas multi-millonarias y han puesto a las mismas al borde de la quiebra, podemos especular que las mismas probablemente no preveían un ataque de este tipo, probablemente nunca fueron advertidas, no tenían experiencia previa con incidentes de esta magnitud ni se imaginaban que podían estar siendo atacadas o en la mira de los criminales. Los hechos indican, que tanto en el caso de TJX como de Heartland, los hackers habían comprometido los sistemas hacía meses, y se encontraban capturando datos silenciosamente.

Dónde estuvo la falla? La respuesta puede radicar en cualquier fase del ciclo de seguridad, pero lo que podemos inferir por los detalles revelados sobre estas brechas, es que probablemente no detectaron correctamente las amenazas, la actividad sospechosa en la red y las vulnerabilidades en sus sistemas. Tal vez subestimaron el riesgo, tal vez no tenían las herramientas, procesos o personas para basar sus análisis de riesgo en datos concretos. Quizás no sabían lo que estaba pasando en su red y consideraron que la falta de noticias eran buenas noticias. La falla pudo haber estado en la detección, capacidad de respuesta y/o prevención. Lo que sí sabemos es que el atacante encontró una debilidad y la aprovechó.

Otra vez, me parece que Schneier está en lo cierto. Él dice que en seguridad el atacante tiene la ventaja, ya que los que defienden tienen que proteger contra cada posible vulnerabilidad, mientras el atacante sólo tiene que encontrar una vulnerabilidad para comprometer el sistema completo.

Aún estas empresas nunca hayan sido atacadas, lo que es muy poco probable, la estrategia de depender de la suerte para permanecer desapercibido es una mala práctica de seguridad que raya en la negligencia. La próxima vez que nos veamos tentados a pensar que no nos puede pasar a nosotros, pensemos que en todos estos grandes casos probablemente los atacantes no necesitaron hacer inteligencia por varios meses, orquestar el ciberataque más sofisticado de toda la historia, y quizás no escogieron estos objetivos por considerarlos el “Santo Grial”. Probablemente todo lo que necesitaron fue un día, un hueco, y dejaron como resultado una enorme brecha.