Wannacry nos demuestra que la seguridad digital es un asunto de todos

El ataque con ransomware sigue en expansión y es prueba de la falta de alfabetización en el tema entre usuarios, empresas y autoridades.

Flickr - Andrew Hart

El ataque digital que desde este viernes ha deshabilitado sistemas en empresas y entidades públicas sigue haciendo estragos. Algunos cálculos aseguran que ha alcanzado más de 100 países. El más afectado hasta el momento es Rusia, con afectaciones en el Ministerio del Interior y por lo menos tres proveedores de telecomunicaciones.

A medida que el ataque continúa su expansión, un asunto que aún puede tomarse un par de días en llegara un punto de equilibrio, resuena la frase de un usuario en Reddit: “Se les ha advertido, muchas veces”.

No se trata de una amenaza, sino más un recordatorio: la seguridad digital no sólo es un asunto serio, sino que debe ser observado por todos. Buena parte del éxito de un ataque como wannacry es que se aprovecha de la falta de precaución, la negligencia, la mala fe y el desconocimiento de una amplia gama de actores, que va desde los propios usuarios finales, pasando por los atacantes, hasta llegar a las empresas y los gobiernos.

El ataque con ransomware, bautizado como wannacry, se aprovecha de una falla de seguridad en Windows, descubierta en primer lugar por la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés). La herramienta para explotarla fue robada de este organismo de inteligencia para ser publicada luego en internet por un grupo llamado Shadow Brokers, del que no se tienen mayores pistas hasta ahora.

Microsoft hizo pública la vulnerabilidad entre marzo y abril de este año y procedió a publicar actualizaciones para cubrirla. Los usuarios afectados no poseían la actualización.

Como ya se ha dicho varias veces, acá hay varios asuntos complicados: el primero es la intención de los gobiernos de producir o comprar herramientas para vulnerar la seguridad digital de una larga lista de sistemas y dispositivos. Desde la NSA, la CIA, el GCHQ en Inglaterra hasta la policía de México o Colombia, todos estos son que invierten en este campo. Lo que termina pasando es que, en el nombre de la seguridad nacional, se abren enormes huecos en sistemas que terminan por afectar a todos, usuarios particulares y del mismo Estado.

Este viernes, el propio Ministerio TIC afirmó que una entidad pública colombiana había sido comprometida en el ataque: cuatro computadores afectados con el secuestro de información. Los investigadores se encontraban evaluando la extensión del daño (qué tan información fue cifrada por los atacantes y si los datos tenían respaldo o no).

También se habían bloqueado direcciones IP desde donde se estaba distribuyendo esta forma de ransomware, que también habría infectado a varios compañías colombianas.

Pero el tema es más grande que las agencias de inteligencia. Hay reportes que señalan que, por ejemplo, algunos de los hospitales afectados por el ataque en Inglaterra no habían mejorado sus versiones de Windows porque la gerencia consideró que ese dinero era mejor gastarlo en otros temas.

Más allá del tema monetario (pues las actualizaciones de seguridad son gratuitas), el tema de fondo es una suerte de banalización de la seguridad digital. Listo, no se trata de morirse de miedo porque lo único que vende el pánico son antivirus, pero tampoco hay que olvidar que la exposición a este tipo de ataques se minimiza si todos los actores de una red se comportan responsablemente. Aquí es necesaria una mayor alfabetización digital.

En una entrevista pasada, Daniel Quintero, viceministro TI del Min TIC, aseguró que uno de los puntos flacos de la seguridad digital en las instituciones colombianas tienen que ver con que, en su mayoría, hay una “falta de conciencia, especialmente en la alta dirección, lo cual repercute en que las áreas encargadas de esta gestión no tengan el apoyo necesario en recursos, ni en la agenda de prioridades de estas entidades”.

Ahora bien, la falta de una cultura de seguridad digital es un asunto que permea empresas e instituciones y genera que las compañías no tengan un oficial de seguridad digital o incluso un departamento para tratar el tema, por ejemplo.

Pero esto es algo que va más allá del mundo empresarial. Giovanni Cruz, CEO de la corporación Csiete, asegura que en Colombia “no se hace mucha investigación en seguridad informática y lo que sí tenemos es mucho culebrero. En una empresa en la que trabajé, el gerente de mercadeo decía que este tema se vende con sexo o con miedo: una mujer bella o el terror de un ataque convencen a un cliente. No se habla de cuáles son las necesidades de los usuarios. Los ingenieros que programan, que desarrollan los productos, no hablan de seguridad. No existen muchas universidades que tengan integrado este tema transversalmente en sus programas”.

La seguridad digital es un asunto que, por la forma como se han construido las redes, implica a todos los actores y usuarios de estas. No es un tema para delegarle a las autoridades, pues estas en algunos casos son algunos de los principales actores de inseguridad digital, ni para dejar exclusivamente en manos de los ingenieros.

Es un tema de responsabilidad social, como lo dijo alguna vez una alta ejecutiva de la firma Intel Security. Si no se piensa en términos de ecosistema y de responsabilidad social, el escenario de wannacry podría repetirse en esta misma escala prontamente.

Con todo, en este enlace se pueden encontrar recomendaciones de seguridad de varios expertos para tener una experiencia más segura en internet.