El nuevo reglamento europeo de datos, ¿una fábrica de ciberataques?

Europa

«Con toda acción ocurre siempre una reacción igual y contraria». Así formulada, pocos creerían que la tercera ley de Newton pudiera tener una aplicación práctica en un campo tan reciente como la ciberseguridad. Pues nada más lejos de la realidad, puesto que algunas de las normas más destacadas en la lucha contra el crimen digital pueden volverse, literalmente, en nuestra contra. Es el caso del tan comentado GDPR (General Data Protection Regulation), un reglamento europeo que -cuando entre en vigor, en mayo de 2018- obligará a las empresas a garantizar la confidencialidad de toda la información y notificar cualquier fallo en su seguridad a las autoridades, bajo amenaza de severa multa económica.

«No creemos que las empresas estén listas para el GDPR. Pero, lo que es más grave, la regulación está provocando también un incentivo para los atacantes, porque serán conscientes de que una compañía puede perder mucho dinero si sufre un ataque, tanto por la multa económica como por el daño reputacional y la pérdida de confianza con sus clientes», explica Ramy Houssaini, vicepresidente de Seguridad en Europa de BT, a INNOVADORES. «En esos casos, los hackers pueden simplemente acceder a algunos datos o tan sólo vulnerar la red corporativa, obligando a notificar la amenaza y aprovechar los cambios bursátiles que se produzcan».

Y es que, como defiende Houssaini, «cualquier movimiento regulatorio o político crea una oportunidad para los ciberatacantes». No es de extrañar, por tanto, que la seguridad informática haya sido un elemento esencial en el debate electoral de Estados Unidos o que, cada vez más, veamos ataques prácticamente diarios contra todo tipo de compañías en cualquier rincón del planeta. «Estamos viendo una notable aceleración de los ataques dirigidos contra bancos, firmas de retail u operadores de telecomunicaciones», añade el experto. «Eso se debe principalmente a la bajada sustancial en el coste de un ciberataque: ahora lanzar un ataque DDoS (denegación de servicio) de 650 Gb por segundo apenas cuesta cinco dólares».

Aquí es donde entra en juego el término de ‘cibercrimen-as-a-service’: «El crimen informático se está commoditizando, convirtiéndose en un ‘cibercrime-as-a-service’, y eso hace que sea más difícil defendernos. Tenemos que cambiar nuestra aproximación y ser más ofensivos, disrruptirlos y dotar de más inteligencia a los sistemas de seguridad», concluye Houssaini.

¿Y cómo se puede vencer en esta particular guerra? «Hay que poner a tu propia compañía en los pies de un delincuente y pensar cómo él: cómo entraría, en qué datos estaría interesado y cómo minimizar el impacto de un ataque», detalla el directivo. «Es como los accidentes de coche: nunca va a haber cero incidentes, lo que hay que hacer es prevenirlos y reducir sus consecuencias»

Para Houssaini, no hay nada aleatorio en el mundo de la ciberdelincuencia. «Los atacantes no son aleatorios para nada, están muy focalizados en determinadas empresas. Crean casos de negocio, analizan su objetivo y determinan el beneficio que van a obtener con su operación». Uno de sus ejemplos favoritos es el ransomware que afecta a los ordenadores Mac: hasta febrero de este año no se había registrado ningún virus de este tipo, principalmente porque estos equipos ostentan una cuota de mercado de menos de dos dígitos. Pero, al no haber competencia, un cibercriminal encontró en esta laguna su hueco para hacer negocio.

«Nada pasa aleatoriamente, todo está calculado, optimizado y orientado a ganar dinero, al menos entre los grupos organizados que se dedican a estas actividades», admite Ramy. «Los hackers analizan riesgos y recompensas de cada ataque, para ver si les compensa burlar sistemas más complejos a cambio de una mayor recompensa o focalizarse en empresas menos seguras pero con datos menos valiosas. Aunque, si tenemos en cuenta que los ataques pueden industrializarse y en una misma campaña se puede atacar a 500 organizaciones a la vez de forma muy sencilla, muchas veces compensa ir a las más débiles porque las grandes llevan tiempo de analizar y entender sus sistemas».

Fuente: El Mundo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity