Ciber-higiene y la disposición forense

Por: Mario Orellana, consultor y asesor en ciberseguridad, análisis forense y transformación digital. 

No hace mucho consideré la posibilidad de retirarme del quehacer forense y de ciberseguridad, estaba cansado y deseaba aplicar otros conocimientos. Resulta que tomé un descanso, durante el mismo, en cada empresa o cliente potencial al que visité, noté cómo la seguridad de la información era una especie de abstracción filosófica: ¿Qué es la seguridad?, ¿cómo se hace?, ¿qué tanto necesito?, seguida de otras consideraciones informáticas, con dilemas cuasi euclidianos: “Estamos inseguros, pero no hay evidencia, por tanto, puedo asegurar que estoy seguro”. Y otras declaraciones como: “Si no soy un banco”, “Y a mí quién me va a querer hacer eso”, que demostraban algo más: Somos expertos en juzgar el riesgo, no en evaluarlo.

Con los años, he visto muchas formas en que las empresas son afectadas por la falta de aplicación de medidas de seguridad de la información, con desenlaces nada baratos, en términos financieros o de reputación. Uno de los casos que más tengo presente es una apropiación indebida que durante  seis años ascendió a cerca de $500 mil pasando desapercibida a las auditorías a las que fue sometida el área financiera. Un subalterno de confianza, de un ejecutivo de confianza. Sistemas obsoletos, sin registros de auditoría, uso no controlado de equipos informáticos, Departamento de Tecnología con conocimientos y herramientas desactualizadas; procesos no revisados y no auditados regularmente, con políticas de seguridad establecidas pero desactualizadas, no adecuadas y sin respeto a sus controles y sin verificaciones de los mismos. Un escenario común.

El contador pudo recetarse doble salario durante seis años: Tenía el token de su gerente para autorizar la planilla en la banca electrónica, hacía las conciliaciones, no habían pistas de auditoría en los sistemas, no habían controles en el acceso a internet, y otros despropósitos más. No, el antivirus no era para eso. No, los informáticos no lo saben todo. No, la respuesta de cómo pasó no es tan fácil de darla. No, esto no es culpa de nadie, pero sí, es responsabilidad de todos.

Llevo años creyendo que la conciencia sobre la ciberseguridad despertará, pero al ir conociendo casos de empresas que mediante un correo han caído en engaños y han enviado pagos a cuentas bancarias que no son de sus proveedores, que han sido víctimas de ransomware, estafadas por sus “empleados de confianza” o que sus estrategias comerciales o bases de datos de clientes son “llevadas” por algún ex empleado a la competencia sin que podamos hacer mucho. No ha cambiado mucho la cosa, lamentablemente.

Retomando el caso del que les hablo, después de un arduo trabajo con herramientas y técnicas forenses digitales y la colaboración de un estimado colega, perito financiero, logramos hacer un cruce interesante que permitió descubrir elementos que nos permitieron establecer un patrón con el que los sobresueldos se aplicaban y donde se alteraba la información de la planilla, tanto en documentos financieros, como en el equipo informático del contador, el teléfono celular corporativo y un disco duro portátil que tenía asignado. 

Fue un trabajo de 3 meses, que hubiera resultado más sencillo, y económico en términos financieros y de tiempo para mi cliente de haber seguido ciertas pautas de ciber-higiene que les brindare en lenguaje común, mínimamente informático:

1. No todo depende de la tecnología, desarrollar la cultura de seguridad en la gente es importante ante amenazas como la famosa ingeniería social

2. Debe haber compromiso y ejemplo de la alta dirección en el cumplimiento de las disposiciones de seguridad

3. Hay que vigilar el quehacer del personal outsourcing

4. Desarrollar un plan de continuidad del negocio, esto no es responsabilidad exclusiva de IT

5. Mantener los sistemas y equipos actualizados (esto incluye portátiles, tablets y teléfonos)

6. Mantener actualizados y comprobados los respaldos de información, y si no se hacen, invertir en eso

7. Definir con claridad los roles del personal y el acceso a información que esto requiere, documentarlo y llevar un registro apropiado. En un sistema activar pistas de auditoría puede hacer el trabajo, o los reportes de firewalls y otro tipo de dispositivos

8. Controlar el acceso a las instalaciones y métodos de seguridad física como guardias, control de cámaras y accesos controlados son muy útiles, y  resguardar los registros que estos llevan

9. Las metas u objetivos de seguridad son los que se trasladan a las políticas de seguridad

10. Ojo con la seguridad de las redes inalámbricas

11. Aplicar mecanismos tradicionales de defensa como firewalls, anti-spam, anti-virus, usar contraseñas complejas, también suma.

Existen recomendaciones adicionales que se abordan desde un perfil más técnico, el punto común de todas, es que el cruce de los controles informáticos y la buena gestión de controles administrativos y operativos permiten crear una fuente de información bastante rica, generando así excelentes capacidades y disposición para el desarrollo de investigaciones forenses.