el delito informático: un delito claro y presente...

El delito informático:un delito claro y presenteCombatiendo la amenaza de más rápido crecimiento contra la seguridad cibernética

Centro para Soluciones de Seguridad y Privacidad

Contenidos

3 Introducción 5 Actualización de delitos informáticos 7 Visión de Deloitte de la escena del crimen cibernético 8 Interpretación de Deloitte acerca de los resultados de la encuesta 10 El enfoque oscurece la vista 11 Cambiar el enfoque principal 12 El desarrollo de una inteligencia accionable contra la amenaza cibernética 14 Beneficios de un enfoque basado en riesgos 15 Recapitulando el dilema de la ciberdelincuencia

El delito informático (ciber-crimen): un delito claro y presente Combatiendo la amenaza de más rápido crecimiento contra la seguridad cibernética 3

Las amenazas de delitos cibernéticos hacia las organizaciones han aumentado más rápidamente que las posibles víctimas, o el tiempo que les toma a los profesionales de seguridad cibernética - hacerles frente, colocando a las organizaciones como blancos en una situación de riesgo significativo. Esta es la conclusión clave de la revisión de Deloitte acerca de los resultados de la encuesta del 2010 de Monitoreo de Seguridad cibernética, patrocinado por Deloitte que se llevó a cabo en colaboración con la revista OSC Magazine, el Servicio Secreto de los Estados Unidos, y el Centro de Coordinación CERT en Carnegie Mellon (ver recuadro en página 4).

Este artículo informa sobre varios resultados clave de esta encuesta y la interpretación de Deloitte sobre los resultados más relevantes del estudio. Por su naturaleza, la interpretación va más allá de la información de los resultados (lo que no es nuestro objetivo aquí) y puede inducir a desacuerdos o aún alguna controversia. Sin embargo Deloitte cree que muchos de los hallazgos señalan incongruencias importantes entre las opiniones de los encuestados y la realidad actual en cuanto a la delincuencia cibernética. Tomando en cuenta que los encuestados son principalmente ejecutivos y profesionales responsables de la seguridad de los entornos de TI de las organizaciones, entonces vale la pena examinar esas incongruencias.

Nuestra opinión es que el crecimiento de la amenaza de la delincuencia cibernética ha superado con creces las otras amenazas de la seguridad cibernética. Desde nuestro punto de vista, la encuesta de monitoreo de seguridad cibernética CSO del 2010, vista a la luz de nuestra experiencia, indica que el delito cibernético constituye una amenaza común significativamente mayor a lo que los encuestados reconocen. De hecho, la innovación y técnicas del crimen cibernético han superado los modelos de seguridad tradicionales y muchas de las tecnologías actuales de detección de firmas, impulsado por la posibilidad de ganancias significativas.

Los delincuentes cibernéticos de hoy en día ganan cada vez más adeptos a obtener acceso sin ser detectados y mantener un perfil bajo persistente con presencia a largo plazo en los entornos de TI. Mientras tanto, muchas organizaciones pueden resultar vulnerables por sí mismos a la delincuencia cibernética basado en un falso sentido de seguridad, inclusive con complacencia, impulsado por herramientas y procesos de seguridad poco ágiles. Muchos fallan en reconocer los delitos cibernéticos en sus ambientes de TI y distribuyen erróneamente, recursos limitados a amenazas menores. Por ejemplo, muchas organizaciones se centran en gran medida en frustrar a los hackers y bloquear pornografía, mientras que el verdadero potencial real de los delitos cibernéticos pasa inadvertido sin que se le dé tratamiento adecuado. Esto genera una exposición de riesgo significativa, incluyendo la exposición a pérdidas financieras, asuntos de reglamentación, responsabilidad por filtración de datos, daños a la marca, la pérdida de la confianza de los clientes y el público.

Introducción

4

los modelos de seguridad –el usuario final - a través de la Internet por medio de las técnicas de ingeniería social. (Esto último se refiere a las estafas y artimañas que usan los delincuentes para hacer que un usuario crea que son compañeros de trabajo, clientes u otras partes legítimas.) Las técnicas de ocultación permiten que los delincuentes cibernéticos actúen sin temor a ser detectados a tiempo, y menos aún a ser capturados y enjuiciados exitosamente. Este crimen se encuentra entre algunos de los más insidiosos y rentables, y puede realizarse desde una estación de trabajo bien equipada, inclusive dentro de su propia organización.

Este artículo muestra la forma en que difiere la visión de Deloitte acerca de la amenaza de los delitos cibernéticos con respecto a las percepciones indicadas por las respuestas dadas en la encuesta de monitoreo de seguridad cibernética del 2010. Se analizan las formas en que han cambiado las amenazas de seguridad cibernética y los riesgos en los últimos años, la forma más precisa de cómo se podrían evaluar, y cómo luchar más eficazmente contra ellos.

En términos más generales, este documento está diseñado para:• Sonarunaalarmaenrelaciónconnuevasprioridadesde

seguridad cibernética• Describirlaformaylamagnituddelasamenazasque

plantean el delito cibernético• Sugerirrespuestasútilesparamitigarestasamenazas

Este documento está dirigido a líderes de alto rango, incluyendo CIOs, CSOs, CROs, gerentes de riesgo operativo, profesionales de agencias de gobierno de presupuesto y proveeduría, y otros ejecutivos y profesionales con puestos en toma de decisiones en el entorno de TI y de los activos dentro de ese entorno.

Las principales amenazas y riesgos a los datos, información, activos, y transacciones están en constante evolución, y los enfoques típicos de seguridad cibernética no logran ir a la par. Los modelos de seguridad actual son muy poco eficaces contra los delincuentes cibernéticos y las organizaciones siguen sin estar conscientes de este hecho.

Los delincuentes cibernéticos parecen estar reinviertiendo una parte significativa de su rentabilidad en el desarrollo de nuevas capacidades para eludir las tecnologías de seguridad de hoy en día. De hecho, inclusive los principales proveedores de antivirus tienen dificultades para mantenerse al día con la cantidad tan grande de nuevo “malware” que está creciendo en forma silvestre. Los delicuentes cibernéticos explotan en forma rutinaria las vulnerabilidades resultantes. Más aún, ahora pueden poner la mira sobre el enlace más débil en la mayoría de

Las técnicas de ocultación permiten que los criminales cibernéticos actúen sin miedo alguno a ser detectados a tiempo, y menos aún a ser capturados y enjuiciados exitosamente. Este crimen está entre algunos de los más insidiosos y rentables, que puede llevarse a cabo desde una estación de trabajo bien equipada, inclusive dentro de su propia organización.

Acerca de la encuesta del 2010 de monitoreo de seguridad cibernéticaLa encuesta del 2010 de seguridad cibernética fue patrocinada por Deloitte y realizada en el 2009 en colaboración con la revista CSO Magazine, el Servicio Secreto de los Estados Unidos, y el Centro de Coordinación CERT de la Universidad Carnegie Mellon. Los encuestados contribuyeron con un conjunto amplio y valioso de perspectivas diferentes.

Los 523 encuestados incluían principalmente a los directores o gerentes de TI o de seguridad (33 por ciento), y ejecutivos de clase C, tales como directores generales, directores financieros, directores de sistemas, y vicepresidentes ejecutivos (32 por ciento). También se incluyó profesionales de aplicación de la ley (11 por ciento), empleados diversos (13 por ciento), y los consultores (8 por ciento).

Un 69 por ciento de los encuestados provenían del sector privado y 31 por ciento del sector público. Entre los del sector privado – el 86 por ciento provenían de empresas con fines de lucro y el 14 por ciento procedían de organizaciones no lucrativas. Entre los encuestados del sector público, el 29 por ciento era del gobierno federal y el 79 por ciento del estado y gobierno local.


Las tendencias actuales del delito cibernético exigen una respuesta firme y audaz en el cercano plazo.

Un número creciente de delincuentes y empresas con mentalidad delictiva han contratado, comprado o adquirido de alguna u otra forma la capacidad para infiltrarse en los sistemas con nuevas técnicas de infiltración mientras que desarrollan una red delictiva de comercio electrónico.

Al mismo tiempo, un número cada vez mayor de piratas informáticos (“hackers”) se han profesionalizado aún más. Muchos de estos que atacaron alguna vez sistemas de TI como un reto intelectual y poder lograr (o agravar) el ingenio de otros en su campo, han descubierto que la delincuencia en línea puede brindarles valiosas recompensas financieras.

Tendencias que demandan una respuesta audazAdicionalmente, han surgido las siguientes tendencias clave de delincuencia cibernética, lo que demanda una respuesta fuerte y audaz, a corto plazo:• Losataquescibernéticosyfisurasdeseguridadseestán

incrementando en frecuencia y sofisticación, y por lo general el descubrimiento se produce después de que se ha dado el hecho, en casi todos los casos.

• Losciberdelincuenteshanpuestoenlamiraaorganizaciones y personas físicas utilizando técnicas de “malware” y anonimato que pueden evadir los controles de seguridad actuales.

• Elperímetroactualdedeteccióndeintrusos,detecciónbasada en la firma de “malware” y soluciones de anti-virus están aportando muy poco a la defensa y rápidamente se convierten en obsoletas – por ejemplo, los criminales cibernéticos utilizan actualmente la tecnología de encriptación para evitar la detección.

• Loscriminalescibernéticosestánaprovechandolainnovación a un ritmo tal, que las organizaciones que están en la mira y muchos de los proveedores de seguridad no van a lograr alcanzarlos de igual manera.

• Muchosprofesionalesnotienenaccesoniconocentodavía medidas eficaces para impedir la delincuencia cibernética, y la gran mayoría subestima el alcance y la gravedad del problema.

• Esposiblequeexistaunnexoentreladelincuenciacibernética y otras amenazas como el terrorismo, el espionaje industrial, y los servicios de inteligencia extranjeros.

Indicadores futurosEsta es la verdadera causa de alarma: la mayoría de los indicadores apuntan hacia futuros ataques de delincuencia cibernética más graves, más complejos, y más difíciles de prevenir, detectar, y de tratar que los que existen actualmente, que ya son lo suficientemente dañinos. Una

Actualización del ciber-crimen

economía oculta se ha estado desarrollando en torno al robo, el empaque, y la reventa de la información. Los autores de malware y otros delincuentes cibernéticos son contratados, y proporcionan habilidades, capacidades, productos, y servicios externos "outsourcing" para los delincuentes cibernéticos. Entre estos se incluye la adquisición de datos y el almacenamiento, el acceso a los sistemas furtivos, la recolección de identidad y el robo, la malversación de las comunicaciones, identificación de la combinación de teclas presionadas, la autenticación de la identificación de identidad, y botnets o redes zombis, entre otros. Mientras tanto, el modelo de seguridad actual es principalmente "reactivo", y los ciberdelincuentes siguen explotando esta debilidad.

Como resultado de estos desarrollos, han ocurrido muchas violaciones de datos en muchas organizaciones que parecen haber desplegado controles y procesos de seguridad tradicionales, y las principales arquitecturas de la práctica, incluyendo los siguientes instancias representativas en el 2008 y en el 2009:• Enunodelosprincipalesproveedoresdeserviciosen

línea, más de medio millón de cuentas de tarjetas de crédito estuvieron en riesgo por el malware, que se descubrió cuatro meses después.

• Enunodelosprincipalesfacilitadoresdepagoenlínea,más de cien millones de cuentas de tarjetas de crédito estuvieron en riesgo por el malware durante un período desconocido antes de su descubrimiento.

• Elmalwareenunsistemadereservaenlíneapusoenriesgo alrededor de

ocho millones de registros personales.• Elsoftwaremaliciosoenlasterminalesdecajas

registradoras en una cadena de restaurantes regionales comprometió a miles de cuentas de tarjetas de crédito y débito, y de forma separada en una importante cadena de supermercados, a más de cuatro millones de cuentas de tarjeta de crédito.

• Lasintrusionesenpáginaswebhancomprometidodecenas de miles de registros de clientes en una cadena de reparación de automóviles.

6

Los ciberdelincuentes operan ahora sin ser detectados dentro de los muros “walls” que se establecen para mantener fuera a los hackers. Sus tecnologías incluyen dispositivos no-autorizados conectados a redes corporativas, virus polimórficos, y registradores de teclas “keyloggers” que capturan credenciales y dan acceso privilegiado, mientras que los delincuentes eluden la detección. Estas tecnologías son una de las razones por las cuales se detectan tantas infiltraciones tan sólo después de que se ha dado una exposición significativa de violaciones. Un número desconocido de esos casos probablemente nunca sean detectados, sobre todo cuando un ciber-criminal quita unos cuantos centavos a millones o decenas de millones de transacciones o se hace una exfiltración de datos ocultándose en medio de un tráfico de salida legítimo.

Algunos desarrollos adicionales han aumentado la ola actual de delitos cibernéticos:• Lasredessocialesylaconstantecomunicaciónenlínea-

y la proliferación de dispositivos de comunicación, redes, y los usuarios - han generado vulnerabilidades nuevas que le dan mayores oportunidades a la delincuencia cibernética.

• Labancaenlínea,lainversión,elcomerciominoristaymayorista, y la distribución de la propiedad intelectual presentan innumerables oportunidades para el robo, fraude, malversación, apropiación indebida, y otros delitos cibernéticos.

• Losgobiernosextranjeroscorruptos,lasorganizacionesterroristas, y otros actores relacionados han explotado muchas veces las vulnerabilidades cibernéticas para ayudar a financiar su espionaje, la guerra, y las campañas de terror.

• Ladelincuenciaorganizadahaextendidosualcanceenel ciberespacio, añadiendo al delito cibernético en su cartera de "negocios".

• Lasdificultadeseconómicasgeneradasporlarecesión del 2008-09 podrían generar resentimiento y motivaciones financieras que conduzcan a partes internas o ex empleados a delinquir.

Este es un panorama desarrollado durante los últimos años de trabajar con una cartera de diferentes clientes en una amplia gama de gestión de riesgos y de seguridad. Nos basamos en la experiencia adquirida al revisar las respuestas de la encuesta del 2010 CSO de monitoreo para la seguridad cibernética, y desarrollar una interpretación que condujo a lo que puede considerarse como contrario a la intuición o bien conclusiones contradictorias acerca del status actual del crimen y las organizaciones.


Estar alerta o complacienteDeloitte cree que las respuestas de la encuesta revelan una falta grave de conciencia y un cierto grado de complacencia por parte de las organizaciones de TI, y tal vez los oficiales de seguridad, para encarar la amenaza de la delincuencia cibernética. Gran parte de esta creencia se basa en la noción de que las tecnologías y técnicas de la delincuencia cibernética son muy eficaces en eludir la detección por lo que el alcance real del problema puede ser subestimado. Aunque no se puede cuantificar el impacto financiero de la actividad de los criminales cibernéticos, nos gustaría destacar un comentario del año pasado para ayudar a establecer algunas estadísticas potenciales. El año pasado, la Casa Blanca emitió la Política de Revisión de la Seguridad cibernética, que perfila la pérdida sistémica de valor económico por propiedad intelectual y el robo de datos en el 2008, casi alcanzando el monto de $1 trillón.1

En esta sección, primero se hará un resumen de nuestra opinión, y luego se van a examinar las áreas de divergencia con respuestas seleccionadas de la encuesta. Algunos de nuestros puntos de vista no van a sorprender a profesionales de TI y a la seguridad en industrias caracterizadas por una alta vulnerabilidad u organizaciones que han experimentado cierto grado de delincuencia cibernética. Otros lectores podrían sorprenderse de nuestro punto de vista acerca de la gravedad de los delitos cibernéticos. Nuestro propósito aquí es ofrecer una versión actualizada, amplia, pero con un punto de vista bien fundamentado acerca de las amenazas de la delincuencia cibernética, que percibimos como muy graves y buscar formas potencialmente más eficaces para hacer frente a estas amenazas.

Punto de Vista de Deloitte acerca de la escena del crimen

Esencialmente, nuestra opinión es que:1. La ciberdelincuencia de ahora es muy es seria, amplia,

agresiva, está creciendo, y cada vez es más sofisticada, y expone implicaciones importantes para la seguridad nacional y económica.

2. Muchas industrias e instituciones y organizaciones públicas y del sector privado (en particular aquellas que se encuentran dentro de la infraestructura crítica) se encuentran en un riesgo significativo.

3. Relativamente pocas organizaciones han reconocido las redes de delitos cibernéticos organizadas, en lugar de los piratas informáticos, como su mayor potencial de amenaza a la seguridad cibernética; y aún menos están preparados para hacer frente a esta amenaza.

4. Las organizaciones tienden a emplear la seguridad basada en "muros-y enfoques de fortaleza" para hacer frente a las amenazas de delitos cibernéticos, pero esto no es suficiente para mitigar el riesgo.

5. Los enfoques basados en riesgo y aquellos que se centran en lo que sale del entorno de TI, así como en lo que entra en el mismo-tienen un valor de seguridad potencialmente mayor que los sistemas de seguridad tradicionales basados en los enfoques de "el muro y la fortaleza".

6. Las organizaciones deben entender la forma en que son visualizados por los criminales cibernéticos en términos de los vectores de ataque, sistemas de interés, y las vulnerabilidades de proceso, para que puedan protegerse mejor a sí mismos de los ataques.

1 Política de revisión cibernética de la Casa Blanca: "Asegurar una infraestructura de comunicaciones e información confiable y resistente", 29 de mayo del 2009, http://www.whitehouse.gov/cyberreview/

Teniendo en cuenta este punto de vista, Deloitte sugiere que la mayoría de las organizaciones debería considerar un enfoque basado en el riesgo continuo en la seguridad cibernética, junto con un énfasis renovado en un análisis más profundo del tráfico de entrada y salida a su red. Este enfoque incorpora el potencial de vulnerabilidad y las repercusiones de los delitos cibernéticos, junto con otros, los riesgos tal vez más familiares y de riesgo medible, como el comercio no autorizado y el riesgo de la moneda extranjera. En este documento le sugerimos más adelante, métodos específicos para la detección y persecución de la delincuencia cibernética.

8

Un gran número de respuestas de la encuesta de monitoreo de seguridad cibernética SCO del 2010 tienden a contradecir la experiencia de Deloitte en este campo, y apuntan a un posible mal entendimiento de las amenazas y riesgos y de los enfoques óptimos para la seguridad cibernética.

Concretamente, se interpretan los resultados a continuación de las siguientes maneras:

Interpretación de Deloitte de los datos arrojados por la encuesta

Conciencia de la situación: los hackers fueron categorizados como la mayor amenaza cibernética, sobre información privilegiada, muy por encima de las organizaciones criminales y entidades extranjeras. Esto es muy comprensible, teniendo en cuenta que el 69 por ciento de los encuestados fueron del sector privado. Sin embargo, el crimen organizado y las entidades extranjeras fueron categorizadas muy por debajo de los indicadores de evaluación de Deloitte que realmente deberían ser. Esto podría darse por una falta de comprensión de la operación externa y los ambientes de amenaza. Es posible que las organizaciones se centren más en ataques sofisticados de hackers porque son los más ruidosos y más fáciles de detectar. Sin embargo, ese enfoque puede pasar por alto los ataques furtivos que son los que pueden producir impactos sistémicos y monetarios mucho más graves. Los atacantes de sindicatos del crimen organizado o estados de naciones lanzan sofisticadas técnicas que pueden accionarse sin ser descubiertas.

Implicación: Las organizaciones pueden desarrollar una alerta de la situación en diversas maneras, y por lo tanto detectar y reconocer las amenazas y los daños que ahora podrán actuar sin ser detectados ni reconocidos. Es indispensable prestar atención a los indicadores de conducta que estén vinculados con actividades fraudulentas.

Preparación: La gran mayoría de los encuestados - más del 75 por ciento informó de que las pérdidas monetarias por eventos de seguridad informática o bien seguían siendo el mismo (en comparación con el año anterior) o no estaban seguros. Además, más del 70 por ciento de los encuestados informó que su organización no fue específicamente blanco de los delincuentes cibernéticos o de otros actores, y sólo fueron impactados por ataques adicionales "no específicos o incidentales." Según nuestra opinión, los encuestados parecen subestimar las amenazas y tener relativamente poco conocimiento de la situación, sin embargo el 58 por ciento se calificaron a sí mismos como más preparados para hacer frente a dichas amenazas. Esto refleja la falta de conocimiento sobre el tipo de infiltración y el daño que se está produciendo dentro del entorno. Típicamente, hay una correlación inversa entre el conocimiento de la situación y la percepción de la preparación, y de esta desconexión se aprovechan los ciberdelincuentes.

Implicación: Las organizaciones que no están preparadas o están poco preparadas a menudo no reconocen este hecho. Un cambio de perspectiva, alejados del “muro-y-la fortaleza”, y un enfoque orientado en la autorización hacia uno que se centre en lo que sale del ambiente interno - y lo que le sucede después de que sale-podría ayudar a remediar esta situación.


Las organizaciones también harían bien en entender las prioridades de seguridad y los sistemas de sus principales proveedores, las empresas asociadas y proveedores, y compartir esa información acerca de sus organizaciones con estas partes. La seguridad cibernética se refuerza normalmente por un enfoque de equipo multilateral.

De hecho, algunas organizaciones pueden estar malinterpretando la naturaleza de las violaciones que experimentan. La encuesta del 2010 de la OSC de

Realizar gastos no es sinónimo de seguridad: Un gran número de los encuestados (47%) indicaron haber realizado un nivel significativo de gastos en seguridad durante el año pasado ($ 100.000 o más). Un gasto mayor no conduce necesariamente a un mayor grado de seguridad. Hemos notado que muchas organizaciones asignan importantes recursos para medidas de seguridad tecnológica, pero hay negligencia en lo simple, medidas de bajo costo tales como la administración de parches, análisis de registros, restricciones del privilegio, caducidad de la contraseña, y la terminación de acceso a empleados antiguos a través de un proceso robusto de des -aprovisionamiento.

Implicación: Muchas organizaciones podrían implementarse de manera fácil y barata, pero a menudo se pasan por alto soluciones que aumentarían la seguridad. A menudo, estas medidas pueden ayudar a mitigar las amenazas potenciales con consecuencias graves. Sin embargo, estas medidas en forma aislada podrían no ser suficientes para mejorar significativamente la seguridad contra la amenaza de la delincuencia informática en constante evolución. Métodos tales como los enfoques basados en el riesgo se sugieren a continuación y es probable que sean necesarios para la mayoría de las organizaciones.

monitoreo de la Seguridad cibernética arrojó que de las organizaciones que experimentaron eventos de seguridad informática que causaron pérdidas o costos financieros durante los últimos 12 meses, sólo el 28 por ciento consideraba que los actos se referían a ellos específicamente. Esto está más arriba que el 22 por ciento en la encuesta anterior (2007), pero todavía nos parece baja. Pensamos que un porcentaje sustancial mayor de los incidentes pueden estar dirigidos intencionalmente hacia las organizaciones, en particular, si ocasionan costos y pérdidas financieras. Estas estadísticas reflejan la naturaleza insidiosa de los ataques de la delincuencia cibernética, en los que las víctimas a menudo no se dan cuenta de que fueron las víctimas que estaban en la mira.

En la encuesta del 2009, sólo el 6 por ciento de los encuestados mencionaron el crimen organizado como la mayor amenaza de seguridad a sus organizaciones. Esto apenas supera ligeramente el porcentaje de los que creen que la mayor amenaza proviene de entidades extranjeras (5 por ciento), los proveedores de servicio actuales y los contratistas (4 por ciento), los clientes (3 por ciento), y los competidores (3 por ciento).

Sin embargo, esta categorización está muy por debajo del porcentaje que consideran que la mayor amenaza viene de los piratas informáticos “hackers” (26 por ciento) y los empleados actuales (19 por ciento).

La definición de “hacker” y de “crimen organizado” varía mucho de encuestado a encuestado. Los piratas informáticos “hackers” pueden verse como delincuentes, organizados o no. Asimismo, crimen organizado no se limita a muchas definiciones de personas acerca del término, que a menudo incluye sólo los carteles de la droga y otras operaciones que se tratan regularmente en los medios de comunicación. ¿Y qué se puede decir de los millares de siglas y grupos de hackers especializados que pueden establecer alianzas informales con organizaciones terroristas extranjeras, los servicios de inteligencia, e incluso entidades del crimen organizado tradicional, con el fin de vender sus servicios? El problema puede ser incluso peor de lo que se imagina.

10

Los usuarios como mulasLa mayoría de la seguridad cibernética se centra en la prevención de ataques y el uso no autorizado. Es este mismo enfoque el que puede permitir e incluso habilitar a los delincuentes cibernéticos a emplear usuarios legítimos como cómplices involuntarios. Los usuarios autorizados pueden acceder y viajar a través de un sistema, quitar o cambiar los datos en el sistema, y realizar transacciones. Cuando los delincuentes cibernéticos emplean a los usuarios, en forma de cómplices involuntarios o "mulas de dinero", ellos pueden operar como si fueran los usuarios legítimos. Pueden adquirir la misma o incluso mayor capacidad para navegar por todas las vías, copiar datos, ejecutar transacciones y vigilar las pulsaciones de teclado.

El enfoque oscurece la vista

Este es el tipo de actividad que debe ser detectada, prevenida, y abordada. Por supuesto que deben seguir vigentes y permanecer en su lugar, las prácticas destinadas para la seguridad del ambiente y de los datos para detectar las infracciones tradicionales. Pero criminales cibernéticos más sofisticados han estudiado ya los métodos que utilizan las organizaciones, tanto para quitar los muros “wall off” como para permitir el acceso a sus redes y datos. Esto permite a los delincuentes llevar a cabo actividades durante meses sin ser detectados, o cometer un solo delito de gran magnitud que sea extremadamente rentable y perjudicial, tal como fraudes de transferencias bancarias. En muchos casos los delincuentes cibernéticos obtienen las credenciales y los sistemas de acceso como si fueran empleados y clientes reales. Por lo tanto, la integridad del extremo al que se concede el acceso a los sistemas y datos de la organización debe ser una preocupación prioritaria.

El sector público está tan expuesto como lo está el sector privado. Ha habido casos en los que se establece que agencias gubernamentales a nivel estatal en los Estados Unidos han perdido sumas considerables de dinero. Por ejemplo, el 2 de julio del 2009 en el titular del Washington Post, el blog del reportero Brian Krebs señaló que los ciber delincuentes de Ucrania habían robado 415.000 dólares de un condado por medio de transferencias bancarias no autorizadas por el banco del condado. Los delincuentes fueron ayudados por más de dos docenas de cómplices en los Estados Unidos.

Krebs informó de que su fuente, un investigador en el caso, señaló que los delincuentes utilizan ", una variante personalizada de un registro de pulsaciones Troyano ", que rápidamente envió credenciales robadas a los atacantes por medio de mensajería instantánea. Este software malicioso “malware” también permitió a los atacantes acceder a la cuenta bancaria de la víctima mediante una conexión a Internet propiedad de la víctima. De forma similar, se robaron 480.000 dólares de una cuenta bancaria de la Autoridad de Reurbanización de un condado por medio de malware troyano. Las amenazas de la delincuencia cibernética en las agencias federales podrían extenderse a los asuntos de seguridad nacional.


Uno de los métodos más fructíferos a considerar para enfrentar la amenaza de la delincuencia cibernética implica pasar de un enfoque de seguridad basado en privilegios a un enfoque de seguridad basado en el riesgo. El bloqueo de lo que se acerca al ambiente y la fuerza del enfoque que se basa en la seguridad -es útil y necesario. Sin embargo, a menudo esto se puede lograr a un menor costo y siendo tal vez más selectivo.

Cambiar de enfoque para incluir la vigilancia y la identificación de los datos que salen del ambiente puede detectar actividades, habilitada por técnicas y tecnologías que imitan, explotan, o se aprovechan de este acceso de los usuarios autorizados. Los temas pertinentes pueden incluir las credenciales del usuario, la información de identificación personalizada, datos financieros, y detalles de la vulnerabilidad. El muro de seguridad actual, el control de acceso, y los métodos de autenticación de la identidad no suelen identificar actividades criminales orientadas a la captación de los datos y la información.

Con sus métodos actuales, los criminales cibernéticos, incluso podrían infiltrarse en los sistemas de las organizaciones que contratan " hackers de sombrero blanco" para probar sus defensas. Los delincuentes cibernéticos visualizan un sistema desde la perspectiva de proceso, con el objetivo de ganar el acceso como un usuario real lo haría. Se centran entonces en el acceso y la adquisición de herramientas de autenticación que un usuario real tendría. Una vez dentro del sistema, los criminales cibernéticos lo utilizan de formas en las que la organización no lo haría, y no se logra anticipar o defenderse. Mientras el personal de seguridad está observando atentamente las pantallas del administrador de seguridad de la información, los ciberdelincuentes ya están dentro.

Cambiando hacia el enfoque clave

Un enfoque basado en riesgos a la seguridad cibernéticaUn enfoque basado en riesgos puede empezar asumiendo que un usuario no autorizado puede acceder al sistema, y luego, diseñar la respuesta basada en el valor de los datos que podrían verse comprometidos. Esto exige dar prioridad a los datos y a información basada en el valor a la organización u otros criterios de utilidad. La organización puede entonces decidir en cuáles datos focalizarse, en qué recursos, cuánto gastar, y qué herramientas utilizar para proteger los datos.

Este enfoque puede ayudar a la transición de la empresa fuera de la construcción de una "Gran Muralla" contra todas las amenazas, hacia la identificación y tratamiento de los más significativos. Esto conlleva riesgos de priorización, sobre la base de su probabilidad, impacto, y las posibles interacciones con otros riesgos, después, la asignación de recursos en forma consecuente. Se requiere de esfuerzo, gasto, capacitación, y recursos para desarrollar un sistema de clasificación por valor y dar seguimiento de los datos después de salir de la organización, pero vale la pena por su eficiencia y eficacia. También es posible categorizar el riesgo de datos según el tipo, valor, e impacto si estuviera en peligro.

Relativamente pocas organizaciones han desarrollado categorías basadas sobre el valor o el riesgo. Sin embargo, determinar qué datos son los más y los menos valiosos, permitiría a los profesionales de seguridad cibernética poder centrarse en las más altas prioridades. Los datos más valiosos, tales como formulaciones del producto y la información financiera y jurídica sensibles, pueden ser marcados y controlados para que la organización sepa en donde está, adónde va, adonde ha ido, y bajo qué autoridad. Los recursos pueden ser desplazados de menor cantidad de datos valiosos, tales como actividad del sitio web y la rutina del contenido del correo electrónico, que puede ser tratado adecuadamente.

... se supone que se debe priorizar los riesgos sobre la base de su probabilidad, impacto, y las posibles interacciones con otros riesgos, luego, se debe dar una asignación de recursos acorde. Esto requiere esfuerzo, gasto, capacitación, y recursos para desarrollar un sistema de clasificación por valor y dar seguimiento de los datos después de salir de la organización...

12

La lucha contra la ciberdelincuencia requiere de un compromiso de alto nivel entre los ejecutivos y miembros de la junta. Sí, sus platos están llenos. Sin embargo, frente a la delincuencia cibernética se inscribe el riesgo de la administración, un punto que ya está en su plato. Es mejor abordar la ciberdelincuencia bajo el contexto del enfoque global de administración de riesgos. De esta manera, se convierte en un elemento para TI, la seguridad, los presupuestos de la administración del riesgo, la agenda administrativa y las reuniones del Comité.

Una vez hecho este compromiso, varias medidas concretas pueden mejorar la seguridad cibernética y, de paso, la protección contra las otras amenazas. Estos pasos dentro de este enfoque de Deloitte se centra primero en la

Desarrollando una inteligencia "accionable" ante amenazas cibernéticas

recopilación de inteligencia y análisis, que luego se evalúa. El proceso general se resume en la figura 1. En la práctica, este proceso se aplica mejor a determinadas áreas – actividades, bases de datos, canales de distribución y los aspectos de la infraestructura de TI.

La identificación de estas áreas requiere de tiempo y recursos, pero pueden ser identificados en el contexto de un sistema de administración de riesgo global. Si se ha realizado una evaluación detallada de riesgo a una empresa, todavía sería mejor. Dicha evaluación ha de haber identificado procesos críticos, actividades, datos, canales de distribución, y otros recursos, que se pueden emplear en este esfuerzo.

Figura 1. Análisis y adquisición de ciber inteligencia

• Fuentes comerciales• Aplicación de la ley• Asociaciones con la Industria• Investigadores en Seguridad• Foros de metro• Bases de datos Hash• Datos GEOIP

• Investigaciones de Fraude• Sucesos de seguridad de datos• Abuso de información del

buzón• Datos de vulnerabilidad• Las cajas de arena• La inteligencia humana

• Honeynets• Malware Forense• Seguimiento de marcas• Monitoreo de P2P• Monitoreo de DNS• Monitoreo de la lista de

vigilancia

Provisión de inteligencia

para amenazas

cibernéticas externas

Provisión de inteligencias

para amenazas internas

Supervisión proactiva

Colección de Investigación de inteligencia para

amenazas cibernéticas, y

Proceso de análisis

Infraestructura de los registros

Implementación de los registros

Tecnología para la configuración

de datos

Proceso de evaluación de riesgo

Reporte de inteligencia

de amenazas

Urgente control de

actualizaciones de seguridad

Proceso de aceptación del riesgo

Mitigar el riesgo

Remediar el riesgo

Línea de equipos de negocios

Equipos de seguridad,

fraude y riesgo operacional

Terceras partes,

subsidiarios


Recopilación de inteligenciaLa recopilación de inteligencia es una actividad continua. Para nuestros propósitos, se trata de la elección de "cabos" desde los cuales se puede explorar el entorno externo y controlar la ambiente interno. Otra forma de pensar en ellos es verlos como "canales" (similar a canales de radio o de televisión) a través del cual usted se puede monitorear estos ambientes.

Los cabos o canales son los que constituyen el alimento de la inteligencia contra las amenazas cibernéticas externas e internas, como se indica en la figura 2.

Figura 2. Fuentes de amenazas cibernéticas

Fuentes de alimentación de inteligencia externa

Fuentes de alimentación de inteligencia externa

• Publicaciones • Investigaciones de fraude

• Recursos para reforzar el cumplimiento de la ley

• Datos de eventos de seguridad

• Asociaciones con la industria • Información sobre abuso del buzón de correo

• Proveedores de seguridad • Vulnerabilidad de los datos

• Foros de metro • Cajas de arena

• Bases de datos hash • Inteligencia humana

• Datos GEOIP

Si bien vale la pena lanzar una red amplia, siempre existe el factor de costo y el peligro de sacrificar la profundidad por la amplitud. Por lo tanto seleccione y elija su "fuente de alimentación" dada la industria, sus necesidades, y capacidades. No todas las fuentes serán útiles a todas las organizaciones, y algunas serán más útiles que otros según las empresas dadas.

Debe haber rondas de vigilancia proactiva en el esfuerzo de la recopilación de la inteligencia. Aquí se incluyen recursos como trampa de redes “honeynets”, el malware forense, monitoreo de la marca, monitoreo P2P (pares a pares), control de DNS, y la lista de vigilancia de alertas.

Entre algunas de las tecnologías específicas en las que se centra la investigación de las amenazas se incluyen las siguientes:• AplicacionesdeInternet:las transacciones en línea, los

sistemas de recursos humanos, los sistemas de cable, sitios Web

• Lainformáticamóvil:Blackberries, teléfonos inteligentes, celulares de redes, servicios de mensajería de texto

• Computadorespersonales:sistemas operativos de terceros, aplicaciones, dispositivos de almacenamiento USB

• LosdispositivosdeBancos:cajeros automáticos ATMs, kioscos, tarjetas inteligentes RFID

• Intranet:portales de intranet, herramientas de colaboración, los sistemas de autenticación

• Telefonía:unidades de respuesta de voz, teléfonos VoIP y PBX, buzón de voz

•Administracióndeidentidadyautenticación:log-on, código de contraseña de usuario, y otras tecnologías de IdM

Otra posible fuente de la inteligencia serían los recursos que utilicen los adversarios potenciales. Una vez más, el objetivo debe ser centrarse en los dispositivos y aplicaciones que exponen a los datos de más valor de la organización, procesos, actividades, y la infraestructura a los mayores riesgos. Una vez que se adquiera una combinación rica de inteligencia, se debe dirigir los esfuerzos al análisis.

Análisis de la inteligenciaLa cantidad de datos que se derivan de la reunión de una base amplia de inteligencia puede ser asombrosa. Por lo tanto, el análisis incluye técnicas estadísticas para el desglose analítico, la normalización y la correlación de los hallazgos, así como la revisión humana.

Hay seis preguntas que deben conducir este análisis:• ¿Cómopodemosmejorarnuestravisibilidadenelmedio

ambiente?• ¿Quénuevastecnologíastenemosquevigilary

monitorear?• ¿Disponemosdetecnologíasydatosvulnerables?• ¿Hastaquépuntonosprotegennuestroscontroles

existentes?• ¿Aquésectoresestándirigidoslosdelincuentes

cibernéticos y que técnicas están utilizando o están planeando usar?

• ¿Cómopodemosidentificarinformaciónaccionable?

Este análisis debe realizarse dentro de un proceso de administración de riesgo en torno a una identificación, prevención, detección, comunicación, y actividades de mitigación del riesgo. No vamos a delinear el proceso aquí, porque la mayoría de los lectores estarán familiarizados con ella. Un proceso de administración de riesgo cibernético da prioridad a las amenazas, analiza las amenazas, detecta una amenaza, antes, durante o después de la ocurrencia real, y especifica la respuesta adecuada. Esta última puede consistir en reparación, control de cambios, proveedor o socio de notificación, o de otras acciones. El análisis, como por ejemplo el modo de fallas y los efectos de análisis, proporciona un mecanismo de retroalimentación, como las lecciones aprendidas, para mejorar constantemente la eficacia de los análisis que se realicen.

14

Beneficios de un enfoque basado en riesgos

A la luz de los riesgos potenciales de la delincuencia cibernética, la empresa Deloitte recomienda adquirir un enfoque basado en el riesgo, como se indica más arriba. Esto contrasta con - pero también complementa- los enfoques basados en la seguridad orientados a amurallar el entorno de TI. Los beneficios de un enfoque basado en riesgos incluyen la posibilidad de:• Definirelvalorylaimportanciaderiesgosrelacionados

con las categorías de de datos, para priorizarlos y en consecuencia protegerlos.

• Identificarymitigardispositivosdentrodelareddelaorganización que pueden estar siendo utilizados para apoyar actividades de criminales cibernéticos.

• Identificarlosclientes,proveedores,prestadoresdeservicios, y otras partes que han podido comprometer los dispositivos dentro de sus redes.

• Monitoreodetransaccionesparaidentificaraquellasquese realizaron desde dispositivos peligrosos.

• Darunseguimientodeinformacióncomprometidaqueha salido o está saliendo de la

organización.• Comprenderlasusceptibilidaddelaorganizacióna

accesos persistentes sostenidos por los delincuentes cibernéticos.

Dada la sofisticación, la complejidad y la evolución de las tecnologías y técnicas de la delincuencia cibernética, ninguna organización podría planificar y ejecutar las respuestas necesarias de forma aislada. CIOs, OSC, CRO, y profesionales de la seguridad cibernética deben compartir información, técnicas, y tecnologías en su batalla contra la delincuencia cibernética. Esto puede hacerse sin necesidad de revelar información corporativa sensible o sobre la competencia, y lo mejor es hacerlo.

En general, los esfuerzos de seguridad cibernética que sean eficaces van a requerir de perspectivas y conocimientos más allá de los que residen en la organización. De esa forma, consideramos la encuesta del 2010 de vigilancia de seguridad cibernética decepcionante-y lo más sorprendente fue que sólo el 21 por ciento de los encuestados indicó haber participado en su industria con el Centro para compartir información y Análisis (IT-ISAC). Estas comunidades de especialistas en seguridad cuentan con el apoyo del liderazgo federal, pero aún queda mucho trabajo por hacer si de veras quieren convertirse en colaboradores del sector privado como se había previsto originalmente. Sin duda alguna se requerirá el apoyo de la comunidad de seguridad informática para que puedan tener éxito.


Recapitulando el dilema de la ciberdelincuencia

Los datos son más valiosos que el dinero. Una vez que el dinero se utiliza, el dinero se va, pero los datos pueden ser utilizados y reutilizados para producir más dinero. La capacidad de reutilizar los datos para acceder a aplicaciones de la banca en línea, autorizar y activar las tarjetas de crédito, o las redes de acceso a organizaciones han permitido a los delincuentes cibernéticos crear un amplio archivo de datos para dar curso a actividades ilícitas. El mundo no ha cambiado mucho desde principios de los años 1900, cuando a Willie Sutton se le preguntó por qué le robó a los bancos. Él dijo: “Ahí es donde está el dinero.” Hoy en día, los ciberdelincuentes se dirigen hacia los datos porque les da acceso repetitivo al dinero, esté donde esté.

Es de suponer que los delitos cibernéticos van a colocar amenazas potencialmente más dañinas en contra de las actividades relacionadas a la TI, las transacciones y los activos. Hemos notado que esta amenaza es poco reconocida y menospreciada entre los riesgos que enfrentan las organizaciones, y por eso creemos que muchas organizaciones no están preparadas para detectar, tratar, o protegerse de estas amenazas.

Una economía vigorosa y encubierta está creciendo rápidamente para apoyar las actividades de la ciberdelincuencia. Esa economía incluye el crimen organizado, los hackers por contratación, ex empleados recientes y descontentos, otros intrusos (personas mal intencionadas que tienen o han tenido acceso autorizado), y los terroristas con sus partidarios. Los delitos cibernéticos incluyen robo, fraude, malversación de comunicación, robo de identidad, el robo de derechos de propiedad intelectual, el espionaje empresarial, el sabotaje del sistema, la destrucción de datos, el lavado de dinero y el terrorismo, entre otros.

Varias organizaciones carecen de ramas de preparación fuera de su enfoque tradicional de "pared-y- fortaleza" para amenazas cibernéticas. Estos enfoques se concentran en el control de acceso y de tecnologías y técnicas de autorización. Sin embargo, los criminales cibernéticos ahora no sólo pueden burlar muchos de estos enfoques, sino que los utilizan para obtener el acceso que disfrutaría cualquier usuario autorizado. Los ciberdelincuentes también tienen tecnologías que les permite tomar ventaja de ese acceso en solo cuestión de segundos.

Las organizaciones deben tomar varias medidas para protegerse a sí mismos. El primer paso es comprender la gravedad de las amenazas del delito cibernético sobre sus datos valiosos, los procesos, y los activos. El segundo paso es pasar de un enfoque basado en la seguridad a

un enfoque más en función del riesgo de la seguridad cibernética. Utilice su presupuesto y aplique los recursos necesarios para mitigar los riesgos de mayor rango de su empresa. El tercer paso es derribar los muros asociados con los enfoques encasillados para tratar con las ciber-amenazas. Se debe compartir y combinar los datos a través de la organización, por ejemplo, en el caso de fraude, la pérdida de la prevención, la seguridad de la información y los recursos humanos, mientras que se mezcla con fuentes externas, se fortalece la capacidad de realizar un análisis de valor añadido.

En ese momento, la organización puede establecer prioridades de riesgos, incorporarlas en la toma de decisiones empresariales y los procesos, para luego administrarlos adecuadamente, asignando los recursos de una forma más eficiente y eficaz. Los esfuerzos entonces se deben dirigir hacia la recopilación de información y análisis, con la mira puesta en la identificación de los métodos utilizados por la delincuencia cibernética y las amenazas, y brindando un monitoreo de los activos conforme estos son accesados y cuando ellos salen fuera y después de salir del entorno de TI.

No sugerimos que los profesionales en seguridad cibernética consideren a la ligera un cambio de enfoque y las tareas adicionales. Sin embargo, sí sugerimos que las organizaciones consideren su exposición frente a la delincuencia cibernética y su detección en curso, prevención, y capacidad de mitigación. Dada las condiciones actuales y las utilidades, la delincuencia cibernética puede acercarse en cualquier momento a su vecindario, si es que no lo ha hecho ya. Todavía más importante, cómo puede usted saberlo?

Los datos son más valiosos que el dinero. Una vez que el dinero se utiliza, el dinero se va, pero los datos pueden ser utilizados y reutilizados para producir más dinero. La capacidad de reutilizar los datos para acceder a aplicaciones de la banca en línea, autorizar y activar las tarjetas de crédito, o las redes de acceso a organizaciones han permitido a los delincuentes cibernéticos crear un amplio archivo de datos para dar curso a actividades ilícitas.

Si desea información adicional, por favor, visite www.deloitte.com/cr

Deloitte presta servicios profesionales en auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias. Con una red global de firmas miembro en 140 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a sus clientes a alcanzar el éxito desde cualquier lugar del mundo en el que éstos operen.

Los 169.000 profesionales de la firma están comprometidos con la visión de ser modelo de excelencia; están unidos por una cultura de cooperación basada en la integridad y el valor excepcional a los clientes y mercados, en el compromiso mutuo y en la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje continuo, experiencias retadoras y oportunidades de lograr una carrera en Deloitte. Sus profesionales están dedicados al fortalecimiento de la responsabilidad empresarial, a la construcción de la confianza y al logro de un impacto positivo en sus comunidades.

Deloitte se refiere a Deloitte Touche Tohmatsu (Swiss Verein) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus firmas miembro.

© 2010 Deloitte & Touche, S.A. Member of Deloitte Touche Tohmatsu. Todos los derechos reservados.

El contenido de esta publicación no puede ser total ni parcialmente reproducido, transmitido ni registrado por ningún sistema de recuperación de información, de ninguna forma ni a través de ningún medio o soporte, sin el previo consentimiento por escrito de los titulares del copyright. Deloitte no se hace responsable del uso que de esta información puedan hacer terceras personas. Nadie puede hacer uso de este material salvo autorización expresa por parte de Deloitte.

Diseñado por el Departamento de Comunicación & Mercadeo, Deloitte Costa Rica.

Costa RicaBarrio Dent, San PedroTel.: (506) 2246 5000Fax: (506) 2246 5100

HondurasColonia Florencia Norte,Edificio Plaza América,5to. PisoTel.: (504) 231 3131Fax: (504) 232 3709

NicaraguaLos Robles No. 29Tel.: (505) 2278 6004Tel.: (505) 2278 6068Fax: (505) 2270 3669

República DominicanaPedro Henríquez UreñaNo. 150 Edificio Diandy XIX, 2do piso Tel.: 001 (809) 563 5151Fax: 001 (809) 563 8585

el delito informático: un delito claro y presente...

Documents