Llegamos a ustedes gracias a:



Columnas de opinión

Lo que nos dejó el WannaCry

Por: Alexander García, director de Consultoría de Negocios de PwC Perú

[12/06/2017] El primer ataque del ransomware "WannaCry apareció el viernes 12 de mayo del 2017, y de allí en adelante hubo una escalada a un estimado 150 países y 200 mil computadoras. Hay muchas teorías acerca del impacto y los chantajes en bitcoins que se tuvieron que pagar. También se ha hablado y "escrito mucho acerca de lo vulnerable que son las empresas, y que este tipo de ataques nos hace repensar las estrategias que han adoptado las organizaciones para hacer frente a estas amenazas.

Sin embargo, este último ransomware nos ha deja varias lecciones sobre las cuales quisiera compartir las siguientes reflexiones:

1. La ciberseguridad no solo se trata de comprar tecnología: Si bien en el Perú, el caso más mediático de victimas de Wannacry estuvo en una empresa de telecomunicaciones; hay muchos antecedentes de empresas similares o más grandes que la empresa española (si no me creen busquen en Google), que han sido atacadas a pesar de ser (o parecer) robustas en tecnología para prevenir, contener y repeler estos ataques. No se dejen engañar por falsas promesas de proveedores de software, hardware o sus propias áreas de sistemas que les ofrecen, que adquiriendo tal o cual herramienta, serán inmunes a estos ciber ataques; y acepten la realidad. No existe dicha tecnología.

2. La guerra avisada que sí mató gente: En marzo del 2017, Microsoft liberó un parche que abordaba un número de vulnerabilidades de Windows, y sucedió lo que siempre pasa en muchas empresas: hubo empresas con un robusto monitoreo de seguridad que aplicaron el parche, otras que se dieron por enteradas pero su proceso de actualización de parche en sus redes es tan lento que no lo aplicaron; y otro buen grupo de empresas que ni se enteraron o consideran que la actualización de parches es una tarea que no está en su agenda de temas prioritarios. Uno piensa que esto último podría ser aceptable en empresas, que no son usualmente, objetivos de ciber atacantes; pero, en mi experiencia he visto entidades de sectores altamente regulados con desfases en parches de seis meses. Si, leyó bien seis meses. Finalmente, esta vulnerabilidad fue aprovechada por los atacantes, quienes saben muy bien estos comportamientos en las empresas, y sucedió lo que ya conocemos.

3. No se trata de ser inmune, se trata de ser resiliente: La resiliencia empresarial es un concepto que se viene escuchando en el mundo empresarial cada vez con más fuerza, y no es otra cosa que la capacidad que tiene una empresa resistir, recuperar, adaptar y responder a eventos disruptivos que han impactado en su negocio, operaciones, productos y/o servicios, personal, entre otros. En el caso de las ciber amenazas como el ransomware "Wannacry, las organizaciones tienen que partir del hecho que van a ser atacadas por algún criminal informático (interno o externo) tarde o temprano, y tienen que prepararse y desplegar toda una estrategia basada en riesgos, para que cuando suceda el evento puedan actuar de manera resiliente. Una actitud empresarial orientada a la resiliencia es proactiva, ágil, busca anticiparse y en constante evolución. Algunas de las empresas que fueron atacadas probablemente tenían la mejor tecnología, pero fallaron en la recuperación de sus sistemas porque simplemente no contaban con adecuados sistemas de respaldos de información y así evitar el pago de las ciber extorsiones.

4. Capacite, entrene y sensibilice a su personal: De todas las inversiones que existen para prevenir ataques de ciberseguridad y que pueden brindar cierto nivel de protección a su organización, ¿cuál creen que es la más rentable de todas? Así es. Créalo o no, es la capacitación, entrenamiento, llámelo como quiera. Está demostrado que el eslabón más débil de la cadena de ciberseguridad es el usuario final quien puede ser tentado a dar el clic en el correo, cuyo origen desconoce, pero que es una gran tentación en abrir porque contiene algo que le puede ser interesante, está familiarizado con el asunto, o porque simplemente tuvo un día de furia en su organización, y decidió olvidar por unos segundos esa charla del oficial de seguridad de información o hacer caso omiso a los mensajes "pop up que aparece en su laptop cada vez que la prende y que le dice "No abra ningún correo de origen desconocido y avise al personal de seguridad de información. Ese clic puede traerse abajo varias amanecidas de su equipo de seguridad de información en el proyecto de mejora de ciberseguridad que le acaba de presentar a la gerencia general hace algunos días.

A la fecha se han estimado los daños ocasionados por el WannaCry, algunos hablan de cientos miles de dólares hasta de millones, lo cierto es que el WannaCry nos deja un gran mensaje y es que en temas de ciberseguridad no importa si eres un Goliat en tecnología, siempre podría haber un David, quien con una honda en forma de ransomware, puede hacer temblar sus cimientos y hacerle repensar toda su estrategia de ciberseguridad, y cuestionar si está abordando de la mejor manera las amenazas en el área digital.