sábado, 30 de abril de 2011

Las nuevas posibilidades para el cibercrimen: el desafío de un ecosistema tecnológico

Los gerentes de seguridad de la información deben reconocer que ahora se encuentran en un ecosistema tecnológico, donde terceros hacen parte de su ecuación de seguridad y continuidad, dado que grandes jugadores como Microsoft, Google, Amazon, entre otros, hacen parte de los elementos fundamentales de la malla de interacción y operación que no deben descuidar so pena de encontrarse con pérdidas de la eficiencia de la operación y compromisos, posiblemente, de sus datos frente a la demanda de servicios crecientes en las organizaciones. (MATHER, T., KUMARASWAMY, S. y LATIF, S. 2009)

De otra parte, con el creciente uso de las redes sociales, los ambientes tridimensionales (second life) y las interacciones comerciales vía internet, se advierte un tráfico de información e intereses ocultos de terceros para identificar información de carácter financiero útil para alimentar redes criminales, que articuladas en contactos con operadores internacionales, son capaces de generar avanzados y sofisticados ataques con programas espías o códigos móviles a través de los navegadores de uso común sin despertar sospechas entre los cibernautas. Un escenario donde el dinero real, circula y se usa en un mundo virtual, generando una confusión evidente que pierde los límites entre lo que se vive en un ambiente simulado y las transacciones virtuales con flujo de autorizaciones de patrimonios reales.

El cuadro de la ciberdelincuencia en los próximos 10 años se expande con una tendencia que desde hace más de cinco años se viene desarrollando, apalancada en programas zombies que toman control de las máquinas de los usuarios, generalmente fruto de lo que podríamos denominar una pobre higiene informática, haciéndolos vulnerables a las trampas y artilugios de los desadaptados informáticos. Si bien, estas acciones de redes de programas “zombies” denominadas “botnets”, se ha manifestado con importantes ataques a infraestructuras de diferentes partes del mundo, se prevé que estas mismas posibilidades, se extiendan en un concepto semejante al de computación en la nube, generando nuevas posibilidades más profundas y menos rastreables, que podríamos denominar “fraude como servicio”.

Esta nueva tendencia del “fraude como servicio” es una estrategia de la criminalidad organizada que busca ofrecer al mejor postor las redes y posibilidades de interrupción o penetración masiva de infraestructuras o sitios, con el fin de llevar a cabo importantes ataques que muestren las nuevas capacidades de los delincuentes informáticos para ser un brazo armado de la ilegalidad del mundo real, ahora en el mundo virtual, donde las zonas de monitoreo y control son limitadas y donde pocas veces, las naciones llevan sus acciones con alcance trasnacional, pues saben de las barreras y diferencias jurisdiccionales que las restringen.

Complementario al escenario anterior, el fuerte desarrollo de las comunicaciones móviles y el empoderamiento de las personas con mayor capacidad de cómputo en sus manos, nos movemos rápidamente hacia el concepto del “locker digital en la nube”, cuya llave será el dispositivo móvil que podamos tener: iphone, ipad, smart phones, entre otros, lo que hace que los datos y la información personal comience a migrar a sitios diversos en la infraestructura dispuesta en internet, sin un aparente control por parte de sus dueños, retando a los proveedores de servicios para desarrollar buenas prácticas de seguridad y control que permitan aumentar la confianza de sus clientes frente a las amenazas constantes de pérdida de confidencialidad y/o disponibilidad de dicha información.

En consecuencia, una falta de atención a las amenazas de seguridad en un ambiente abierto e interconectado, crea un vector de ataque impredecible, que articulado con una “confianza inusual” de los jóvenes de ciudadanos digitales en los medios informáticos, establece un tejido oculto y desafiante que mimetiza a los atacantes, creando un ecosistema paralelo y dependiente donde los cautivos usuarios serán objeto de acciones indeseadas o en el peor de los casos, actos que atenten contra su integridad física. (COUNCIL OF EUROPE 2007, CANO, J., CAVALLER, V. y SABILLON, R. 2008)

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación (CANO, J. 2009) que trate de llegar a la verdad. Por tanto, construir una visión de seguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

Por tanto, si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información y lucha contra el cibercrimen, debemos entender la brecha entre nuestra realidad y la visión deseada en un ecosistema tecnológico sano, resiliente y autocontrolado, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, descubrir las virtudes de otros y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestros maestros “la inseguridad y el cibercrimen” nos presenten una nueva lección.

Referencias

MATHER, T., KUMARASWAMY, S. y LATIF, S. (2009) Cloud Security and Privacy. O’Reilly.
CANO, J., CAVALLER, V. y SABILLON, R. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes en un contexto global. (2008) Memorias del I Congreso Nacional de Inteligencia. Universidad Rey Juan Carlos. Madrid, España.
COUNCIL OF EUROPE (2007) Cyberterrorism. The use of internet for terrorist purposes. Counter-terrorism Task Force. Council of Europe Publishing.
CANO, J. (2009) Computación Forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

No hay comentarios:

Publicar un comentario