Los riesgos en el ciberespacio

La última noticia sobre el fallo de seguridad en iCloud, es un ejemplo más de los riesgos a los que se expone cualquier información publicada en internet, tanto personal como corporativa. Este sistema de almacenamiento en la nube de Apple ha sido hackeado y se han robado fotografías íntimas de famosas que incluso fueron borradas hace bastantes años (nunca se eliminan, permanecen siempre la nube), y están siendo difundidas en Twitter.

No sólo los hackers están interesados en apropiarse  de la información que circula o se transmite por el ciberespacio, los centros de poder públicos y privados han tenido muy claro desde el comienzo de los tiempos que aquel que mejor capture, procese y explote el mayor volumen de datos tendrá más capacidad para influir en todos los niveles de la sociedad: económicos, políticos, religiosos, sociales o culturales.

Hasta las revelaciones de Edward Snowden desconocíamos la dimensión del espionaje masivo de Estados Unidos que han propiciado las nuevas tecnologías de recogida y procesamiento de ingentes cantidades de información. Según Richard Ledgett, Deputy Director, de la Agencia de Seguridad Nacional (NSA), Snowden consiguió acceder a 1,7 millones de documentos, entre ellos algunos altamente confidenciales que todavía no se han publicado.

Estas revelaciones demuestran que cualquier información que se encuentre almacenada en ordenadores, móviles o tabletas de los usuarios, se publique en internet, comunique por las redes sociales o por las redes de telecomunicaciones puede ser potencialmente espiada o hackeada.

Teniendo en cuenta que ya existen casi tantos teléfonos móviles (6.800 millones) como personas (7.100 millones), y que además la transición al smartphone está sucediendo de una forma rápida – según Gartner se han vendido 435 millones de teléfonos móviles a nivel mundial – los volúmenes de documentos, mensajes, fotografías, vídeos, lista de contactos, búsquedas en internet, etc., almacenados en estos dispositivos son inconmensurables, esta información está siendo tratada con sistemas de tratamiento masivo de datos, Big Data, desarrollados por los servicios de inteligencia.

La dimensión del alcance también se puede apreciar por el número de usuarios de las grandes empresas de internet cuyos datos han sido espiados: Facebook cuenta con 1.200 millones de usuarios y el servicio WhastApp, que ha adquirido, con 1.200 millones de usuarios; Youtube con más de 1.000 millones de usuarios activos cada mes; Google Plus con 300 millones de usuarios activos, una cifra que asciende hasta los 540 millones cuando se incorporan datos de las personas que interactúan con su cuenta Google + desde otros servicios de Google; Twitter ronda los 215 millones; Paypal, el sistema de pago líder en internet, con 137 millones de usuarios (que, por cierto ya está desbancado en millones de pagos por Alipay de China); así como el servicio Amazon Prime, el gigante del comercio electrónico, con aproximadamente 20 millones de usuarios.

Si a esto se añade una tendencia creciente de las nuevas políticas conocidas como Byod (Bring Your Own Device – Traíga su propio dispositivo) en las empresas y administraciones públicas que permite a sus empleados utilizar sus dispositivos personales (móviles, tabletas, ordenadores portátiles) para acceder a la información corporativa, los espías y los hackers podrán captarla si no se implantan los sistemas de seguridad adecuados para impedirlo.

Según Ovum se ha calculado que el 70% de los smartphones de los profesionales se usan para acceder a datos corporativos y el 46% de estos dispositivos escapan al control de los departamentos de seguridad de la información, humorísticamente Joe Onisick lo califica de BYOD (Bring Your Own Disaster – Traiga su propio desastre) .

Su alternativa es la COPE (Corporate-Owned, Personally Enabled) en la que es la propia compañía la que proporciona los dispositivos móviles que podrán usar los empleados tanto para uso profesional como personal. Este tipo de tecnología denominada MDM (Mobile Device Management) permite aplicar una serie de contramedidas de seguridad, como borrar remotamente la información en caso de pérdida, o desconectar los dispositivos de la red corporativa si se detectase una intrusión. La empresa Emc ofrece su solución EMC Simplicity que incorpora una capa de seguridad que permite a la organización conocer quién está utilizando el servicio, a través de qué dispositivos, con qué personas se comparte y, al mismo tiempo almacenar la información en el modo deseado, y la función de limpieza impide a los usuarios que han perdido sus permiso acceder a los documentos.

Además, los expertos estiman que se extenderá el uso masivo del pago mediante móviles. Todas estas transacciones se registrarán y almacenarán en los smartphones, con el consiguiente riesgo ofreciendo la posibilidad de copiar los códigos para un uso fraudulento ya que funcionan por radiofrecuencia.

En un futuro se registrarán incluso una mayor cantidad de datos que afectarán a nuestra privacidad. Un informe de la industria de la compañía sueca Ericsson estima que en el 2020 se conectarán a la red más de 50 billones de dispositivos en una “Internet de las cosas” (“Internet of Things“) con sensores que capturarán información sobre nuestra salud (nivel de glucosa, pulsaciones, oxígeno en la sangre, tensión, respiración, temperatura, etc), sobre nuestros hábitos (cuántas calorías comemos, cuántos kilómetros, caminamos, cómo dormimos etc.), emociones (cómo sentimos), sobre nuestros hogares (consumo eléctrico, puertas, energía, cámaras de vigilancia, controles de presencia etc.) o sobre cómo funcionan nuestras máquinas (vehículos, frigoríficos, lavadoras, etc.) y la enviarán a la nube mediante la tecnología de nuestros teléfonos inteligentes. Ya a principios del 2014 ya se ha detectado un ataque masivo. Una mina de información y de beneficios,  se estima que para 2016 la tecnología wearable moverá 100.000 millones de euros para estas empresas que, por otra parte, en su mayoría se sitúan fundamentalmente en Estados Unidos. Las conexiones M2M, máquina a máquina, posibilitarán estas conexiones si se desarrollan estándares en la cadena de suministro. Según Steve Hilton, de la consultora Analysys Mason, las conexiones M2M en Latinoamérica llegarán a los 187 millones en el 2020, comparadas con los 2,3 millones del 2010. “Brasil será el líder del mercado latinoamericano para M2M”. En España, la empresa Telefonica es una de las líderes en esta tecnología.

Según otro informe de Cisco las conexiones móviles a internet mediante dispositivos personales y conexiones máquina a máquina en el 2018 superará en 1,4 veces la población mundial prevista (aproximadamente 7.600 millones de personas según la ONU). En el 2018 las aplicaciones en la nube supondrán el 91% de todo el tráfico móvil.

Las previsiones de Fortinet para 2014 realizadas por su laboratorio Fortiguarde revelan que el malware para el sistema operativo Android de Google afectará a los teléfonos móviles, tabletas o dispositivos portátiles, equipos de automatización del hogar o de los locales de las empresas, sistemas de control industrial (ICS/SCADA) y al “internet de la cosas”. En el 2012, según un informe de E-Secure y del FBI,  Android supuso el 79% de las amenazas, datos inestimables para los espías y ciberdelicuentes. La mayoría de los usuarios desconocen que sus smartphones son pequeños ordenadores portátiles a los que hay también que proteger con software antivirus y antiespia.

La legislación estadounidense, fundamentalmente la ley Patriot Act aprobada por George Bush y refrendada por Barack Obama y el Cyber Intelligence Sharing and Protection Act o HR-3523, mejor conocida como CISPA1, ha permitido que la Agencia de Seguridad Nacional (NSA) recolectara y descifrara millones de metadatos de llamadas telefónicas, listas de contacto de usuarios, correos electrónicos, mensajes de móviles, conversaciones online, fotografías, comentarios o preferencias en las redes sociales, cuentas de usuarios, búsquedas en internet, transacciones bancarias, pagos con tarjetas de crédito o archivos que circulan por la red.

Y aunque el pretexto del Patriot Act fue una mayor vigilancia y prevención de los delitos de terrorismo, en realidad, uno de los principales objetivos de este espionaje masivo de la NSA se ha centrado en el espionaje industrial. Consecuentemente la captación de información sobre sectores y empresas es  clave para incrementar la competitividad de sus compañías en los mercados mundiales.

Con respecto a España la obtención y análisis de información para las empresas supone uno de los principales retos de los servicios secretos, la Inteligencia Económica (IE) todavía no ha llegado a nuestro país, y no se ha designado un responsable identificable y una conexión con las empresas.

Para saber más sobre cómo protegerse en el ciberespacio:

Curso Introducción a la Ciberseguridad – Docuformación

Fuente: Revista Gestión Documental