El año empezó con los sucesivos coletazos del caso Snowden de 2013 y se cierra [¿se cierra?] con el chantaje a Sony Pictures. Entremedias, hubo casos de hacking sonados como el robo de datos de clientes de JPMorgan Chase o de la cadena de grandes almacenes Target; el destape de fotos que ciertas celebrities habían confiado a iCloud; el descubrimiento del agujero bautizado Heathbleed, tras años agazapado; las acusaciones recíprocas entre Estados Unidos y China; la elevación de Irán al rango de superpotencia del malware; la aparición en escena de Regin, y esta es sólo una lista corta. Porque si una cualidad tienen los problemas de seguridad es que se arrastran de año en año.
A veces, las organizaciones intentan disimularlo, pero la ciberdelincuencia salpica la actualidad. Las opiniones son apocalípticas y las pérdidas, cuantiosas. Ninguna solución parece eficaz. Todas las papeletas apuntan que que el cibercrimen sigue en alza. Abundan los estudios al respecto: el Ponemom Institute ha hecho de este asunto una especialidad. Su trabajo más reciente, ha contado con el patrocinio de HP Enterprise Security, que en torno a sus tesis organizó un seminario en Londres, dirigido por Art Gilliland.
Estima un coste medio anualizado de 7,6 millones de dólares (frente a 7,2 millones en 2013) de cada ataque contra las redes y sistemas de empresas y organizaciones. Lo suficiente como para que el general de cuatro estrellas y ex director general de la Agencia de Seguridad Nacional (NSA) estadounidense, Keith Alexander, define el ciberespionaje como “la mayor transferencia de riqueza de la historia”. Del dicho al hecho: tras retirarse, Alexander preside la empresa IronNet, dedicada al combate contra estas amenazas cibernéticas.
Aunque varían sobremanera, las cifras parecen avalar la frase del general: el Center for Strategic and International Studies [en su informe del pasado mes de junio, Net Losses: Estimating the Global Cost of Cybercrime. Economic impact of cybercrime II , en este caso laborado conjuntamente con McAffe] sitúa el coste mundial del cibercrimen en 385.000 millones de dólares (otros análisis lo elevan hasta el medio billón, incluso más) y la National Audit Office de Reino Unido estima las pérdidas para su país entre 30.000 y 45.000 millones de dólares anuales. En Estados Unidos los números suelen coincidir en torno a los 100.000 millones de dólares.
Por supuesto, los ciberataques causan también pérdidas de inteligencia de negocio y propiedad intelectual, elevan los costes de seguridad, alteran los flujos de trabajo y dañan la reputación de las empresas. Aquellas que los sufren, cuando sus consecuencias alcanzan a la opinión pública, pueden ver como su valor de mercado se reduce entre el 1% y el 5%; mientras algunas se recuperan, otras lo pierden todo: conocido es el caso del gigante canadiense de telecomunicaciones Nortel Networks, infiltrado por hackers durante una década, hasta su bancarrota definitiva en 2009.
Las malas noticias no tienen freno: cuatro ministerios españoles – Interior, Defensa, Asuntos Exteriores y Presidencia de Gobierno – se han visto sorprendidos por un ataque de correo malicioso marinado (dicen) por hackers rusos y chinos para móviles y ordenadores, que viene a engrosar la lista de los más de 13.000 incidentes detectados por el Centro Nacional de Inteligencia a lo largo de este año (un 80% más que en 2013).
“No hay manera de evitarlo: los ciberataques son más comunes, más sofisticados y más costosos. Construir defensas y reaccionar a las amenazas ya no es la respuesta adecuada”, afirma Richard Archdeacon, de HP Enterprise Security Services. “Para contraatacar de forma eficaz, las organizaciones tienen que empezar a pensar como sus ciberenemigos: investigar sus posibles objetivos con gran nivel de detalle, estudiar a las personas que trabajan en las organizaciones, escudriñar los sistemas TIC en uso y analizar las posibles recompensas a conseguir por los agresores”.
El mayor problema es que muchas de las estrategias de seguridad de las TIC dedican sus principales esfuerzos a construir un perímetro alrededor de la organización, pero si un cibercriminal consigue penetrarlo con un ataque sutil y sofisticado, queda poco que hacer para que vagabundee libre y sin detección por las redes de la víctima. “Y cuando lanzan su ofensiva lo hacen a cubierto e incluso de manera elegante. Pasan a hurtadillas sobre las redes, comienzan a explorar, capturan los datos apetecidos, los extraen discretamente y, en muchos casos, no son detectados hasta mucho tiempo más tarde”, remacha Archdeacon.
El problema es de tal magnitud que continuamente surgen empresas cuyo cometido es la ciberseguridad, pero la abundancia de defensores no disuade a los atacantes a escala global. El estudio promovido por HP plantea una perspectiva interesante al centrarse en los costes anuales del cibercrimen por organización (empresas e instituciones), además de otras connotaciones anexas, en siete países: Estados Unidos, Alemania, Reino Unido, Australia, Japón, Francia y la Federación Rusa (en total, 257 organizaciones encuestadas).
El estudio examina los costes en que incurren las organizaciones para detectar, recuperar, investigar y gestionar las respuestas a las incidencias provocadas por ciberataques. También cubre las resultantes de las actividades posteriores y los esfuerzos para contener otras adicionales provocadas por la interrupción del negocio y la pérdida de clientes. Las cifras no incluyen la plétora de inversiones necesarias para sostener la estrategia de seguridad o el cumplimiento con los estándares, políticas y normativas regulatorias.
Como queda dicho, el coste medio anualizado para los encuestados es de 7,6 millones de dólares, comparado con los 7,2 millones del informe anterior correspondiente a 2013, y el abanico oscila entre 0,56 y 61 millones de dólares por organización.
La variación de los costes totales del cibercrimen entre las compañías participantes por países es significativa. En Estados Unidos se recoge el coste medio total anual más elevado (12,7 millones de dólares), mientras que el de la Federación Rusa es el más pequeño (3,3). Sin embargo, es interesante resaltar que en los siete países analizados se produjo un incremento neto respecto al pasado ejercicio que va desde el 2,7% en Japón, al 22,7% en Estados Unidos. La subida media total, respecto a 2013, es del 10,4% (el dato no recoge el dato de Rusia, ya que el año pasado no fue incluída en el estudio).
Una conclusión clave del estudio afirma que los ciberenemigos necesitan tener éxito una sola vez para acceder a los datos, mientras que las organizaciones deben tenerlo siempre si quieren parar el acoso continuo. Las modalidades de ataque más costosas son las provocadas por intrusos (empleados fijos o temporales, contratados y otros socios de negocio), denegación de distribución de servicio e incursiones sobre la web mediante códigos maliciosos, que en conjunto contabilizan más del 55% del total de costes anuales por cada organización.
La reducción de estos ataques requiere, según el estudio, el despliegue de tecnologías inteligentes de Información de Seguridad y Administración de Eventos (SIEM, en la sigla inglesa), sistemas de prevención de intrusos, aplicaciones de testing de seguridad y soluciones GRC (Governance Risk Management & Compliance).
No podía faltar en el informe una defensa a ultranza de los sistemas SIEM (en los que HP tiene importantes intereses a través de su plataforma ArcSight) y que el estudio define como “la estrategia más eficaz para responder rápidamente a las incidencias y realizar los exámenes forenses que ayuden a entender como los ciberdelincuentes se comportan”.
Pero, además de marketing, hay datos. Las organizaciones que incorporaron estos sistemas inteligentes ahorraron 5,3 millones de dólares anuales de los costes asociados con ciberataques. También experimentaron un ROI significativamente más alto (23%), frente al resto de otras categorías defensivas como las de encriptación (20%) y las encaminadas al control perimetral como UTM, NGFW o IPS Reputation (19%). El retorno de la inversión medio estimado para todas las categorías tecnológicas de seguridad fue del 15%.
Otras prácticas de administración de la seguridad moderan también el coste del cibercrimen. Las organizaciones que invierten en recursos adecuados, designan líderes en seguridad de alto nivel y staff experto logran costes más bajos que aquellas que no implementan dichas tácticas. Los ahorros se estiman en 1,3 millones de dólares derivados de la utilización de personal experto y en 1,1 por la certificación adecuada a través de los organismos de estandarización.
Ciertos ataques son más costosos dependiendo del tamaño de la empresa. Las organizaciones más pequeñas experimentan una proporción más elevada de costes por ataques sobre la red relacionados con la web, virus, gusanos, troyanos y otros tipos de malware. Por el contrario, las organizaciones de mayor tamaño sufren más incursiones por denegación de distribución de servicios, códigos maliciosos e intrusismo.
También es importante el factor temporal. En general, los ciberataques son más costosos cuanto más tiempo se tarde en resolverlos. En el informe de este año, el tiempo medio para contener un ciberataque fue de 31 días, frente a los 27 de 2013. Según los resultados del informe HP-Ponemon, los ataques por intrusión maliciosa son los que implican un periodo más largo de resolución (58 días).
Se hace una distinción entre costes externos e internos y estos últimos son los más cuantiosos: las inversiones en detección y recuperación contabilizan el 53% del total del gasto, seguido por los dedicados a contención e investigación (un 15% en ambas). A nivel físico, la mayor proporción del presupuesto de seguridad se asigna a la capa de red, la cual recibe un 33% del total de fondos dedicados a seguridad, mientras que la host layer se beneficia tan solo de un 7%.
Por su parte, la interrupción del negocio conlleva el coste externo más elevado, seguido por el dedicado a perdida de información. El primero contabiliza el 38% e incluye los asociados con fallos en los procesos de negocio y la pérdida de productividad de los empleados.
Prácticamente todas las organizaciones entrevistadas recibieron ataques relacionados con virus, gusanos y/o troyanos y malware, durante las cuatro semanas en que se realizó la encuesta. El 59% experimentó botnets y el 58% ataques a la web. La denegación de servicio y el robo de dispositivos lo experimentaron el 49% de las empresas. Solo un 35% confirmó que un intruso malicioso fue la fuente del cibercrimen.
Por cierto, Fury, la última película (una de las sustraídas en el ataque a Sony) protagonizada por Brad Pitt, fue descargada gratuitamente por más de 800.000 personas en tan solo dos días. Sería interesante saber si la compañía ha imputado este coste como interno o externo.
[informe de Lola Sánchez]