La banca, el retail, las instituciones públicas, ninguna entidad puede garantizar que está completamente protegida ante los cada vez más frecuentes ciberataques de los usuarios maliciosos que, normalmente con objetivos económicos, exposición mediática, espionaje o incluso terrorismo vulneran sus sistemas.
Según cifras de la Online Trust Alliance, el 93% de los incidentes de ciberseguridad podrían haber sido evitados. Las víctimas finales de estos ataques muchas veces son los ciudadanos comunes, cuya información es vendida luego de ser sustraída a las instituciones.
Los incidentes de este tipo contra todo tipo de empresas se duplicaron en 2017 comparado con 2016, alcanzando los 159.700 casos a nivel mundial, y pudiendo superar los 350.000 considerando que la mayoría de los ataques nunca son reportados.
En este escenario, se generan diferentes estadisticas según qué tan crítica, expuesta, o común sea una vulnerabilidad. Ahí se destaca la comunidad OWASP (Proyecto de Seguridad de Aplicaciones Web Abiertas, por sus siglas en inglés), que elabora cada ciertos años un ránking con los 10 riesgos más frecuentes y conocidos que, usadas a veces de forma combinada, desembocan en mediáticos casos como los vistos en el país durante este año.
Aunque este ránking es usado normalmente para capacitar a programadores, Daniel Aldana y Adolfo Acuña de 3IT -quienes enseñaron estos conceptos durante la CyberSec efectuada la semana pasada- explican que hay ciertas eventualidades que involucran directamente a los usuarios comunes, pudiendo tomar sus propias medidas para estar menos indefensos.
Inyecciones
Tanto en medicina como en informática, “inyectar” es introducir un elemento en un sistema donde no pertenece, para que éste lo asimile.
En el contexto de la informática, es un término bastante amplio, y sus efectos pueden incluir la introducción de códigos de broma en sitios web institucionales, la ejecución de programas maliciosos en computadodres, y hasta el robo de información sensible de las personas.
Aldana explica que este es el caso más frecuente de entre las vulneraciones, abarcado más del 98% de los casos en 2017 según el último informe de la empresa Akamai, incluyendo varias de las más mediáticas, y pueden afectar cualquier tipo de sistema informático, como los sistemas operativos, web, móviles, entre otros.
Lamentablemente, como este tipo de ataque se realiza a través de las plataformas web de los proveedores, los usuarios comunes no tienen forma de defenderse.
Filtraciones de datos sensibles
Uno de los subproductos más peligrosos de las inyecciones suelen ser las filtraciones, ya que afectan masivamente a los usuarios comunes.
Por lo general, explica Aldana, quien ejerce como jefe de seguridad en 3IT, las inyecciones son a las bases de datos de las instituciones que albergan información de -por ejemplo- personas, alumnos, notas, transferencias y saldos. “La gente entonces ve filtraciones en que salen sus RUT, sus nombres, donde viven, etc, pero lamentablemente no siempre les importa mucho”.
“¿Es necesario que yo le entregue el RUT a una cajera?”, cuestionan los especialistas. “Hay que preguntarnos qué es lo que consideramos nosotros un dato sensible. ¿Te gustaría que otra persona sepa donde vives? ¿O tu último análisis de sangre, o con quien estás pololeando, por ejemplo?”
Algunos de estos datos no son considerados “sensibles” por el común de la gente, pero “para un usuario malicioso toda infomación es útil”, advierten.
“En Europa hay una política que se llama GDPR (Reglamento General de Protección de Datos por sus siglas en inglés), que obliga a todas las empresas a emitir un comunicado cuando sus datos han sido vulnerados, por motivos de transparencia, lo que se está implementando también en Chile como consecuencia de las filtraciones que hemos visto”, explica Aldana.
Sin embargo, en el otro extremo, el analista de seguridad, Adolfo Acuña recalca que “uno, como usuario final, tiene que ser conciente de la información que está entregando”.
Configuración de seguridad descuidada
Este es el punto en que las personas comunes tienen más formas de protegerse. La configuración de seguridad, explican los especialistas, va más allá de las medidas que la empresa proveedora pueda tomar, y apunta directamente a los usuarios.
“Si mi contraseña es ‘123456’, ¿de quién es problema? ¿Del banco, de la isapre, de quién? ¿Es necesario que yo ocupe la misma contraseña en Facebook y en Instagram, o en las tarjetas que uso en el cajero?”, cuestiona Aldana sobre una práctica muy frecuente en el mundo digital.
Pese a que, aún en estos casos, la obligación legal recae en los bancos, “mi deber como usuario es disminuir el riesgo”. En este sentido, indica Aldana, hay que apelar más al sentido común que a la experiencia. “Recomiendo desconfiar un poco de todas las entidades, no con mal afán, sino para generar más conciencia”.
En este ítem también se incluyen otras prácticas muy habituales, como dejar un computador sin bloquear en un lugar público, permitiendo acceder a cualquier información almacenada, guardar las contraseñas en el navegador, o incluso en un post-it pegado junto a la pantalla. Esto último, dijo es comparable con dejar las llaves de la casa bajo una piedra.
