Marvin G. Soto| Especialista en Ciberseguridad, Cybercom CR| boletinclic@camtic.org

El principio más importante en la ciberdefensa -aplicable tanto a empresas, como a consumidores–, es partir del hecho de que se está comprometido. Sentirse seguro es la causa medular –la presunción de seguridad-, por la que sabemos de una intrusión colosal sin ser detectada durante tanto tiempo; como los casos de Cambrigde Analytics, Marriott y otras más.

Para las empresas este principio significa aceptar la idea de que ya no es posible mantener a los malos fuera de sus redes por completo. Esto no significa abandonar todos los principios de la defensa tradicional, como la aplicación rápida de parches de software y el uso de tecnologías para bloquear o al menos detectar infecciones de malware o detectar y protegerse contra intrusos o aplicar seguridad en capas a través de un firewall de ultima generación.

Significa aceptar que, a pesar de la cantidad de recursos que se invierten tratando de mantener al malware y los malhechores alejados, todo esto se puede deshacer en un instante cuando los usuarios hacen clic en enlaces maliciosos o se caen en las garras de un ataque de phishing. También cuando una falla de seguridad previamente desconocida (0-day) se explota antes de que pueda ser reparada o cuando cualquiera de las muchas otras maneras en que los atacantes pueden violar nuestra seguridad con solo acertar una vez, cuando los equipos de respuesta en seguridad deben estar en lo cierto el 100%, siempre.

Las compañías dirigidas por líderes con madurez en seguridad avanzada están invirtiendo en formas de crear más y mejor ciberseguridad constantemente y además están tratando de crear, desarrollar, atraer y retener más talento en seguridad cibernética y están organizando a esos defensores en una postura que asume que los ciberdelincuentes no descansan en sus intentos de penetrar sus perímetros. Esto implica no solo enfocarse en la prevención contra violaciones, sino en la detección y respuesta de intrusiones.

No responder rápidamente cuando un ciberdelincuente obtiene un punto de apoyo inicial, es como permitir que una pequeña célula cancerosa haga metástasis y se expanda como una enfermedad mucho más grande que, sin ser detectada durante días, meses o años, puede costarle caro a todo el organismo.

Las empresas líderes están contratando cazadores de amenazas o bug, para que localicen en sus infraestructuras esos signos, esas vulnerabilidades. Es decir; están constantemente probando sus propias redes y sometiendo a control a sus empleados para detectar debilidades.

Vale la pena que aceptemos dos realidades desafortunadas y duras:

1. Los ciberdelincuentes ya tienen acceso a los datos personales que usted cree que deberían ser privados, pero que en realidad no lo son. Esto incluye la información de su tarjeta de crédito, el número de identidad, su fecha de nacimiento, su dirección, sus domicilios anteriores, su número de teléfono e incluso su historial crediticio.
2. Cualquier tipo de datos que comparta con una empresa con toda probabilidad será pirateado, perdido, filtrado, robado o vendido, generalmente sin que sea culpa suya o sin que usted pueda evitarlo. En muchos países los recursos para hacer algo al respecto cuando ocurra, es limitado o nulo.

Para bien o para mal, ser un consumidor inteligente significa tener que hacer constantemente concesiones entre seguridad, privacidad y comodidad. Estas concesiones se vuelven cada vez más desequilibradas y difíciles de sopesar porque una de las partes siempre carece del mismo compromiso.

En este momento, parece que no hay muchas consecuencias para las grandes empresas, que literalmente arruinan enormemente la seguridad dejando a los consumidores como víctimas de sus pocos cuidados en seguridad. La mejor muestra de ello es que cada dos días conocemos sobre una nueva mega-violación que afecta a los datos personales de miles o millones de usuarios.

IMPORTANTE: Las opiniones expresadas en este artículo son exclusivamente las de los autores y no necesariamente representan la opinión de la Cámara de Tecnologías de Información y Comunicación (CAMTIC) o sus afiliados.