Detección de delitos informáticos en tiempo real

Simon Bramble

26/10/2016

Según un reciente informe de la National Crime Agency de Reino Unido, el fraude informático ha superado en número al resto de formas de delictivas en el país.

Según el estudio sobre delitos informáticos de 2016 llevado a cabo por la National Crime Agency (NCA) de Reino Unido, el 36 % de todos los delitos registrados fueron fraudes informáticos, mientras que el 17 % se enmarcó dentro de la categoría de “abusos informáticos”.

Aunque los resultados de estas estadísticas son interesantes en sí mismos, si indagamos un poco más, descubrimos otros datos llamativos. Como parte del informe, la Oficina Nacional de Estadística de Reino Unido calcula que durante todo 2015 se produjeron 2,46 millones de delitos informáticos. A pesar de ello, solo se denunciaron 716 349 casos, una diferencia significativa que suscita una pregunta intrigante.

¿Cuántas víctimas de dichos delitos informáticos son conscientes de que han sufrido un ataque a su seguridad?

Cuando no parece faltar nada y nuestro sistema de alarma no detecta que se ha forzado una puerta o se ha roto una ventana, en un primer momento nos resulta difícil saber si se ha infringido nuestra seguridad.

Frecuencia y complejidad mayores

A pesar de la ingente cantidad de medios económicos que se dedican a la instalación de sistemas de protección digital, el número de empresas que se ven afectadas por filtraciones de datos sigue en aumento hoy en día.

La encuesta sobre infracciones de seguridad de la información de 2015 (Information Security Breaches Survey), encargada por el Gobierno de Reino Unido, desveló que cerca de tres cuartos (un 74 %) de las pymes habían sufrido ataques de filtración de datos en 2015, un porcentaje mayor que los registrados en 2013 y 2014. Por otro lado, en lo referente a las grandes empresas con presupuestos mucho más elevados y más conocimientos técnicos en materia de seguridad digital, la cifra alcanzaba el 90 %.

Por lo tanto, no sería descabellado afirmar que la seguridad de tu empresa puede verse vulnerada. Tanto si se trata de un empleado que ha guardado información confidencial en una memoria extraíble y la extravía, de un malware que haya accedido a ciertos documentos o de prácticas de ingeniería social (cada vez más frecuentes en Reino Unido) que llevan a los usuarios a proporcionar sus datos personales de forma involuntaria, es muy importante ser capaz de detectar este tipo de ataques lo antes posible. O mejor, detectarlos en el momento en que se están produciendo.

La creciente complejidad de las amenazas contra la seguridad informática hace imprescindible la detección en tiempo real. El análisis de datos de toda la red operativa supone una medida de defensa proactiva. Los inicios de sesión, los informes de incidencias o las alertas de los sistemas se verifican mediante información externa para crear una radiografía detallada del estado de tus datos en un momento dado.

Evaluación de la situación en su conjunto

El análisis del big data puede contrarrestar los rápidos ataques de los ciberdelincuentes. Mediante la implementación de sistemas de supervisión y notificación en caso de pérdida de datos en el resto de la red, se pueden eliminar las barreras que pueden ralentizar el acceso a la información, lo que permite reducir el tiempo necesario para identificar y repeler un ataque.

En la actualidad, es más frecuente encontrar ciberdelincuentes que actúan de una forma más enérgica cuando tratan de acceder sin autorización a una red y se ahorran largos períodos de espionaje; algo que resulta irónico, ya que las medidas antirrobo han mejorado significativamente.

El big data entra en juego al permitirte analizar los patrones de comportamiento habitual de la red en su conjunto, identificar los casos de falsos positivos y se abren camino entre el ruido diario en paralelo a las transacciones de datos seguras.

Sin embargo, muchas de las amenazas más importantes contra la seguridad no surgen como un ataque individual. Puede ser que se produzcan una intrusión inicial y, tras varios días o semanas, algún tipo de filtración o ataque que comprometa la seguridad. El lapso de tiempo entre cada fase podría hacer pensar que cada episodio se tome como varias amenazas y no como una única amenaza prolongada en el tiempo.

Una red exenta de almacenamiento de información se puede analizar desde el punto de vista del todo y los métodos de evaluación retrospectiva que utilizan las aplicaciones de análisis pueden detectar los posibles vínculos entre cada intrusión.

Y, aunque analizar los datos puede reducir drásticamente el tiempo que lleva registrar o incluso predecir futuros ataques, dicho método resulta inútil si no se saben interpretar los datos.

En un informe de 2015, Eric Ahlm, director de investigación de Gartner, advirtió: “La forma en que los usuarios humanos reales interactúan con los resultados del análisis de datos masivos determinará en gran medida si se utiliza la tecnología para crear información útil en un período de tiempo razonable. Como en otras disciplinas que han aprovechado las virtudes de los grandes análisis de datos para realizar nuevos descubrimientos o generar nuevos resultados, la visualización de dichos datos tendrá un impacto considerable en la adopción de la tecnología”.

Seguridad integrada

Los sistemas de supervisión vigilan continuamente la integridad de la red. Pero ¿qué podemos decir de los dispositivos que usan los empleados? El dispositivo Lenovo ideapad Miix 700 Business Edition aporta la flexibilidad de una tableta de última generación y la seguridad de un sistema de sobremesa por cable; esta última es posible gracias a un Módulo de plataforma segura (TPM, por sus siglas en inglés).

Según explica Tikiri Wanduragala, asesor de Lenovo: “Dichos módulos, básicamente, realizan una comprobación del microcódigo que se esté ejecutando en el servidor y están integrados en la placa base“.

“Esto implica que cada fragmento del código se comprueba durante la actualización del microcódigo para garantizar que sea el fragmento correcto para la ejecución en la máquina correcta. Y todo en tiempo real, por cierto”.

“Los TPM desempeñan un papel importante, porque algunos de los accesos por la puerta de atrás a los sistemas de ventas, de los que todos hemos oído hablar en las noticias, se han producido mediante el microcódigo: el microcódigo se considera fiable, por lo que, si los malos pueden acceder a él, estarán dentro del sistema como usuarios de confianza… Y en ese punto, la partida está perdida”.

Un sistema de seguridad de red eficaz se basa en un proceso de varios niveles, por lo que se hace necesario invertir en formación para los trabajadores y en defensas contra suplantaciones de identidad (“phising”) y software maliciosos de tipo ransomware, además de otras medidas de seguridad. Pero si tuvieras que dar prioridad a algo, lo que debería ocupar los primeros puestos de una larga lista, además de usar dispositivos que cuenten con un sistema propio de autenticación, sería tener una visión clara del estado de toda tu red cada vez que sufras un ataque.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.