• Author / Uploaded
• Sandy Diaz

Citation preview

LOS PRINCIPALES RIESGOS CIBERNETICOS EN LA GESTIÓN DOCUMENTAL ELECTRÓNICA

Sandra Milena Díaz Profesional Grupo de Innovación y Apropiación de tecnologías de la Información Archivística. [email protected] Diciembre 2018 RESUMEN— La gestión documental se ha convertido en un tema de gran importancia y transversal para todo tipo de organización ya sea pública o privada, por lo que uno de los principales riesgos de todas las etapas de la gestión documental electrónica actualmente son los ciberataques, ya que en los últimos años hemos evidenciado numerosos ataques informáticos sofisticados a gran escala y a nivel mundial, que han afectado la continuidad del negocio y reputación de entidades y organizaciones de diferentes sectores y tamaños. Y aunque los sistemas de gestión documental electrónica cumplen con algunos criterios de seguridad, integridad y disponibilidad, estos no son suficientes, ya que así como avanza la tecnología, avanza las diferentes modalidades y software de los ciberdelincuentes para obtener datos, información y documentos electrónicos de las entidades u organizaciones.

opinión de nadie más, tampoco representa la opinión de la empresa para la que trabajo u organismos a los que pertenezco. I.

INTRODUCCIÓN

En la actualidad, la información de una empresa se encuentra más vulnerable que hace 20 años. Si bien los documentos en formato físico corrían el riesgo de ser destruidos por un desastre natural o vulnerados por un incidente humano, nunca hubo una preocupación real y latente por una infiltración en cada momento. Ahora las empresas se encuentran en permanente riesgo de que un hacker obtenga su información que son los activos más importantes para estas organizaciones.

Índice de Términos Amenazas cibernéticas, documento electrónico, ciberataques, ciberseguridad y riesgos, vulnerabilidades.

Aunque los ataques cibernéticos son muy frecuentes y nos muestran lo letales que pueden ser. En la actualidad todavía hay entidades y organizaciones que no conocen todas las amenazas cibernéticas que existen o los diferentes tipos de ataques cibernéticos, por lo que no solo las entidades o empresas debe tener conocimiento en estos temas, sino también los usuarios, ya que ellos también son considerados como un eslabón débil de la seguridad

DISCLAIMER Las opiniones expresadas aquí son mis propias apreciaciones personales y no representan la

De acuerdo con las estadísticas e informes revelados por las principales compañías de seguridad informática, el año 2017 fue el periodo

Área de conocimiento Tecnología

de los ciberataques más potentes y sofisticados de los últimos tiempos, dejando grandes desastres económicos, financieros, políticos y sociales a nivel global. Así lo expuso una de las compañías más importantes en ciberseguridad “Sonicwall” en su informe “Amenazas cibernéticas” publicado recientemente [1], donde indica que se registraron más de 9.320 millones de ataques de malware a nivel global en el año 2017, con un incremento del 18,4% anual de ciberataques en todo el mundo en el mismo año y se evidenciaron 12.500 nuevas vulnerabilidades y exposiciones comunes en el CVE (Common Vulnerabilities and Exposures según la NIST es una lista de vulnerabilidades de ciberseguridad a nivel mundial, públicamente conocidas, cada vulnerabilidad tiene un número de identificación, una descripción y al menos una referencia pública. La lista CVE se utiliza en numerosos productos y servicios de seguridad cibernética de todo el mundo, incluida la base de datos nacional de vulnerabilidades de Estados Unidos). Así mismo, la compañía Sonicwall afirma que los ataques cibernéticos se están convirtiendo en el riesgo empresarial número uno [1].

Fig. 1. Estadística de los ataques de malware registrados los últimos tres años, según [1]. Sin embargo, este es un panorama que muestra los ciberataques que tuvieron éxito, infiltrándose o comprometiendo a las organizaciones. Es importante enfatizar en las numerosas amenazas que se generan día a día por los ciberdelincuentes y que son detectadas a tiempo por los diferentes programas y compañías de ciberseguridad, como por ejemplo la empresa de

seguridad e investigación de amenazas y desarrollo de técnicas de ciberdefensa “Panda Security”, que en su informe anual 2017 indicó que se registraron 285.000 nuevos ejemplares de malware al día, que el 62% de las brechas de seguridad se han explotado por técnicas de hacking, donde el 51% de los atacantes han utilizado malware y el resto se han valido de otras herramientas de las que la mayoría de organizaciones no están protegidas [2]. El crecimiento de las ciberamenazas sigue siendo explosivo, y el costo de proteger a las empresas y a los consumidores continúa en aumento. Mientras tanto hay grandes organizaciones que están avanzando e implementando nuevas estrategias, herramientas y recursos fundamentales para la protección de sus redes, sistemas informáticos y recursos humanos que mitiguen estos riesgos, dando paso a un nuevo concepto de ‘ciber-resiliencia’, que consiste en la administración de las amenazas virtuales de modo tal que sea posible para las empresas gestionar de manera efectiva los ataques cibernéticos [3]. Esto se refleja en los últimos estudios de Gartner, que indican una creciente inversión a nivel mundial en productos y servicios en seguridad informática y un aumento considerable de la concientización entre los empresarios sobre el impacto comercial y devastador de los incidentes de ciberseguridad [4]. Por otro lado, en Colombia las cifras y estadísticas son desfavorables, ya que según el diario ‘Portafolio’ el 59% de las empresas en Colombia recortarían el presupuesto en las actividades y productos para la seguridad informática, o lo mantendrían congelado [5]. Sin embargo, el gobierno colombiano sigue trabajando en la inclusión de nuevas políticas, lineamientos y estándares sobre la seguridad digital, tales como el Conpes 3854 (Consejo Nacional de Política Económica y Social), que es la máxima autoridad nacional de planeación, que se desempeña como organismo asesor del gobierno en todos los aspectos relacionados con el desarrollo económico y social del país y el

Modelo Nacional de Gestión de Riesgos de Seguridad Digital, el cual se analizará dentro de este artículo. Por otro lado, las principales compañías de seguridad a nivel mundial como Cisco, Fortinet, Checkpoint y Barracuda. Publican White papers y artículos en sus blogs de los retos que deben afrontar las empresas en cuanto a ciberseguridad y de prevención a ciberataques. Estas compañías de ciberseguridad buscan crear especial énfasis comunicando a las organizaciones sin importar su core de negocio que deben tener muy en cuenta la preparación de sus usuarios finales y que es muy importante realizar campañas informativas sobre las amenazas a las cuales se encuentra expuesta la información de las empresas. Según estas publicaciones los atacantes cibernéticos tienen como blanco preferido los usuarios no técnicos, ya que estos son los que presentan mayor vulnerabilidad a ataques de tipo phishing, spam e ingeniería social cuando no se encuentran capacitados correctamente. También advierten en varias de sus publicaciones que las empresas pueden invertir grandes cantidades de dinero en infraestructura de seguridad, pero mientras no se invierta y capacite correctamente a los usuarios, estas grandes inversiones de capital no tendrán el efecto esperado. II.

CONCEPTOS ASOCIADOS

A. Conceptos de cibernética. En el desarrollo de este artículo, es importante precisar en algunos conceptos entorno a la ciberseguridad y la cibernética, dado que en muchas ocasiones se interpretan de forma inadecuada. En consideración a esto, las siguientes definiciones se tomaron del Modelo Nacional de Gestión de Riesgos de Seguridad Digital de Colombia, como guía en español para evitar las malas interpretaciones [7]. 1) Amenaza cibernética: Aparición de una situación potencial o actual donde un agente

tiene la capacidad de generar una agresión cibernética contra la población, el territorio y la organización política del estado. 2) Ataque cibernético: Acción organizada y premeditada de una o más personas para causar daño o problemas a un sistema informático a través del ciberespacio. 3) Ciberseguridad: Es el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y desarrollo, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse buscando la disponibilidad, integridad, autenticación, confidencialidad y no repudio, con el fin de proteger a los usuarios y los activos de la organización en el ciberespacio. 4) Vulnerabilidad: Es una debilidad, atributo o falta de control que permitiría o facilitaría la actuación de una amenaza contra información clasificada, los servicios y recursos que la soportan. B. Tipos de ataques cibernéticos. Conforme a la anterior definición sobre un ataque cibernético o ciberataque, se debe precisar en que estos ataques permiten a los ciberdelincuentes, acceder a sistemas y computadores de manera no permitida y descontrolada y su objetivo generalmente es acceder, cambiar o destruir información sensible, extorsionar con dinero a los usuarios o interrumpir los procesos empresariales normales. La compañía de Symantec en sus informes de ciberseguridad define los tipos de ciberataques [8]. 1) Virus informático: Es un programa informático malicioso que puede copiarse e infectar un computador, el término "virus" también se usa comúnmente pero erróneamente para referirse a otros tipos de malware, incluidos, entre otros, los programas de adware y spyware que no tienen capacidad reproductiva. Por otra parte, un virus verdadero puede propagarse de una

computadora a otra (con algún tipo de programa) cuando su host se lleva a la computadora de destino. Por ejemplo, porque un usuario lo envió a través de una red o lo llevó en un medio extraíble, como una unidad usb. 2) Malware: Es un término usado para describir software malicioso, incluyendo spyware, ransomware, virus y gusanos. El malware infringe una red a través de una vulnerabilidad, generalmente cuando un usuario hace clic en un enlace peligroso o un archivo adjunto de correo electrónico que luego instala un software arriesgado. Una vez dentro del sistema, el malware puede bloquear el acceso a los componentes clave de la red (ransomware), instalar malware o software dañino adicional, obtener secretamente información mediante la transmisión de datos desde el disco duro (spyware) e interrumpir ciertos componentes y dejar el sistema inoperable 3) Adware: Software respaldado por publicidad, es cualquier paquete de software que reproduce, muestra o descarga publicidad en una computadora automáticamente después de instalar el software o mientras se usa la aplicación. Las funciones de publicidad se integran o se incluyen con el software, que a menudo está diseñado para identificar los sitios de internet qué visita el usuario y presentar la publicidad pertinente a los tipos de productos o servicios que allí aparecen. 4) Spyware: Software espía, es un tipo de malware que se instala en las computadoras y recopila pequeñas porciones de información sobre los usuarios sin su conocimiento. La presencia de spyware generalmente está oculta para el usuario y puede ser difícil de detectar. Normalmente el spyware se instala secretamente en el computador personal del usuario y algunas veces los spyware como Keyloggers son instalados por el propietario de un computador compartido a propósito, para monitorizar en secreto a otros usuarios. 6) Troyano / (Caballo de Troya): Es un malware no autoreplicante que parece realizar una

función deseable para el usuario pero que en cambio facilita el acceso no autorizado al sistema informático del usuario. 7) Phishing: Es el método más utilizado por los ciberdelincuentes y consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario, que posteriormente son utilizados para la realización de algún tipo de fraude. Los principales daños provocados por el phishing son el robo de identidad y datos confidenciales de los usuarios (esto puede conllevar a pérdidas económicas para los usuarios o incluso impedirles el acceso a sus propias cuentas), pérdida de productividad y consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.). 8) Ataque de agujero de riego: Es un tipo más complejo de ataque de phishing. En lugar de la forma habitual de enviar correos electrónicos falsificados a los usuarios finales con el fin de engañarlos para que revelen información confidencial, los atacantes usan un enfoque de múltiples etapas para obtener acceso a la información específica. En los primeros pasos, el atacante está perfilando a la víctima potencial, recabando información sobre sus hábitos de internet, historial de sitios web visitados, etc. En el paso siguiente, el atacante usa ese conocimiento para inspeccionar vulnerabilidades de sitios web públicos legítimos específicos, si hay vulnerabilidades, el atacante compromete el sitio web con su propio código malicioso, espera que la víctima objetivo regrese al sitio web comprometido y luego los infecta con vulnerabilidades (a menudo vulnerabilidades de día cero) o malware. 9) Web Defacement: La desfiguración del sitio web, es un ataque a un sitio web que cambia la apariencia visual del sitio. Básicamente los ciberdelincuentes entran en un servidor web y reemplazan el sitio web alojado con uno propio. Lo más probable es que este tipo de ataques se hagan intencionalmente para arruinar la

reputación de la compañía que ha alojado este sitio web. 10) Buffer Overflow: Desbordamiento de búffer, es una anomalía en la que un proceso almacena datos en un búffer fuera de la memoria que el programador reservó para ello. Los datos adicionales sobrescriben la memoria adyacente, que puede contener otros datos, incluidas variables de programa y datos de control de flujo del programa. Esto puede provocar errores de acceso a la memoria, resultados incorrectos, finalización del programa o una violación de la seguridad del sistema. Esta vulnerabilidad es completamente un error del programador. 11) Ataque de denegación de servicio (DoS) y ataque distribuido de denegación de servicio (DDoS): Son ataques diseñados para causar una interrupción o suspensión de servicios de un host o servidor específico, inundándose con grandes cantidades de tráfico inútil o solicitudes de comunicación externa. Cuando el ataque DoS tiene éxito, el servidor ya no puede responder ni siquiera a solicitudes legítimas; esto se puede observar de varias maneras: respuesta lenta del servidor, rendimiento lento de la red, falta de disponibilidad de software o página web, incapacidad para acceder a los datos, sitio web u otros recursos. El ataque de denegación de servicio distribuido (DDoS) ocurre cuando múltiples sistemas comprometidos o infectados inundan un host particular con tráfico simultáneamente. 12) Botnet: Es una red de dispositivos infectados por un ciberdelincuente, que se utiliza para llevar a cabo, por ejemplo, los ataques DDoS y difundir mensajes de correo electrónico con spam. Prácticamente cualquier dispositivo conectado a internet, incluyendo routers residenciales, puede ser infectado e incluso en una botnet sin que su propietario tenga conocimiento. 13) Ataque Man-in-the-middle: Este ataque es una forma de monitoreo activo o escucha de las conexiones de las víctimas y la comunicación entre los hosts de las víctimas. Esta forma de ataque incluye también la interacción entre

ambas partes: las víctimas de la comunicación y el atacante, este ataque se materializa cuando el atacante intercepta toda la comunicación, modifica su contenido y la envía de vuelta como respuestas legítimas. Las dos partes que hablaron no son conscientes de la presencia del atacante y creen que las respuestas que reciben son legítimas. Para que este ataque tenga éxito, el ciberdelincuente debe suplantar con éxito al menos uno de los puntos finales; este puede ser el caso si no hay protocolos establecidos que aseguren la autenticación mutua o el cifrado durante el proceso de comunicación [8]. Ingeniería social: 14) Ingeniería social: Es el ataque más peligroso y es al que la mayoría de las empresas se encuentran expuestas, este tipo de ataques no distingue el tamaño de la compañía e inversiones en infraestructura de seguridad que se hayan realizado. Consiste en manipulación psicológica a los usuarios con el objetivo de que proporcionen información sobre procesos internos o contraseñas que el atacante utilizará más adelante para fines ilícitos. Otra definición que encontramos de ingeniería social es la que nos exponen en el blog de seguridad de la compañía Kaspersky la cual se describe a continuación. La ingeniería social, la ciencia y arte de hackear a seres humanos, ha aumentado su popularidad en los últimos años gracias al crecimiento de las redes sociales, los correos electrónicos y demás formas de comunicación online. En el sector de la seguridad TI, este término se utiliza para hacer referencia a una serie de técnicas que usan los criminales para manipular a sus víctimas con el fin de obtener información confidencial o para convencerlos de realizar algún tipo de acción que comprometa su sistema. La ingeniería social no es una amenaza nueva, ha existido desde el origen de las computadoras. Gracias a hackers tan populares como Kevin Mitnick o Frank Abagnale, reconocidos por su labor en el campo de la seguridad, sabemos que un cibercriminal puede dejar el lado oscuro para combatir en

nombre del bien. Frank Abagnale, por ejemplo, fue uno de los hackers más famosos con sus múltiples identidades y engañando a los usuarios para que le revelaran información.

VI. CONCLUSIONES Conforme a los riesgos cibernéticos asociados a la gestión documental y las estadísticas expuestas en este artículo, es evidente que gran parte de las organizaciones no están preparadas para mitigar ni gestionar estos riesgos, ya que no conocen las vulnerabilidades reales expuestas en su arquitectura y sistemas de información. Es importante que se dé a conocer a la alta gerencia y su equipo de seguridad informática, sus falencias y vulnerabilidades asociadas y así mismo tomar medidas correctivas para la protección contra estos ciberataques o controlar estos riesgos, como por ejemplo, aplicando la normalización, estándares y políticas relacionadas a estos riesgos, que pueden guiar a pequeñas, medianas y grandes organizaciones a mitigar estos riesgos del ciberespacio. Por último, aunque en Colombia la inversión hacia la seguridad informática disminuyó considerablemente, es importante dar a conocer la norma nacional donde guía a las organizaciones a gestionar y mitigar los riesgos expuestos en la cadena de suministro.

REFERENCIAS [1] Conner, “Threat Intelligence, Industry Analysis and Cybersecurity Guidance for the Global Cyber Arms Race”, SonicWall Inc., Milpitas, California, Cyber threat report, 2018. [2] L. Corrons, “Informe anual PandaLabs 2017”, Panda Security, Bilbao España, Informe annual, Nov 2017. [Online] Available: https://www.pandasecurity.com/spain/mediace nter/pandalabs/informe -anual-y-predicciones2018.

[3] Colombia Digital, “Ciber-resiliencia: una estrategia de seguridad para las empresas”, Corporación Colombia Digital, Colombia, febrero 2015 in [Online] https://colombiadigital.net/actualidad/noticias/i tem/8144ciber-resiliencia-una-estrategia-deseguridad-para-las-empresas.html. [4] S. Moore, “Gartner Says Worldwide Information Security Spending Will Grow 7 Percent to Reach $86.4 Billion in 2017”, Gartner, Australia, in [Online]https://www.gartner.com/newsroom/id /3784965. [5] J. Cano, Diario el Portafolio, “El 59% de las empresas locales recortaría gastos en ciberseguridad”, Colombia, enero 2017, in [Online] http://www.portafolio.co/negocios/empresas/e mpresaslocales-recortaria-gastos-enciberseguridad-502771. [6] Norma técnica colombiana: sistemas de gestión de la seguridad para la cadena de suministro, NTC-ISO 28000, 2008. [7] Modelo nacional de gestión de riesgos de seguridad digital, para ser aprobado por MINTIC Colombia 2017. [8] Sebastian Z, Symantec, “Part 3 - Various types of network attacks” Symantec Corporation, USA, Diciembre 2018 in [Online] https://www.symantec.com/connect/articles/se curity-11-part-3various-types-network-attacks. [9] J. Boyens, “Integrating Cybersecurity into Supply Chain Risk Management” in RSA Conference 2016, San Francisco, 2016.