El delito informtico: un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica

Centro para Soluciones de Seguridad y Privacidad

Contenidos

3 5 7 8 10 11 12 14 15

Introduccin Actualizacin de delitos informticos Visin de Deloitte de la escena del crimen ciberntico Interpretacin de Deloitte acerca de los resultados de la encuesta El enfoque oscurece la vista Cambiar el enfoque principal El desarrollo de una inteligencia accionable contra la amenaza ciberntica Beneficios de un enfoque basado en riesgos Recapitulando el dilema de la ciberdelincuencia

Introduccin

Las amenazas de delitos cibernticos hacia las organizaciones han aumentado ms rpidamente que las posibles vctimas, o el tiempo que les toma a los profesionales de seguridad ciberntica - hacerles frente, colocando a las organizaciones como blancos en una situacin de riesgo significativo. Esta es la conclusin clave de la revisin de Deloitte acerca de los resultados de la encuesta del 2010 de Monitoreo de Seguridad ciberntica, patrocinado por Deloitte que se llev a cabo en colaboracin con la revista OSC Magazine, el Servicio Secreto de los Estados Unidos, y el Centro de Coordinacin CERT en Carnegie Mellon (ver recuadro en pgina 4). Este artculo informa sobre varios resultados clave de esta encuesta y la interpretacin de Deloitte sobre los resultados ms relevantes del estudio. Por su naturaleza, la interpretacin va ms all de la informacin de los resultados (lo que no es nuestro objetivo aqu) y puede inducir a desacuerdos o an alguna controversia. Sin embargo Deloitte cree que muchos de los hallazgos sealan incongruencias importantes entre las opiniones de los encuestados y la realidad actual en cuanto a la delincuencia ciberntica. Tomando en cuenta que los encuestados son principalmente ejecutivos y profesionales responsables de la seguridad de los entornos de TI de las organizaciones, entonces vale la pena examinar esas incongruencias. Nuestra opinin es que el crecimiento de la amenaza de la delincuencia ciberntica ha superado con creces las otras amenazas de la seguridad ciberntica. Desde nuestro punto de vista, la encuesta de monitoreo de seguridad ciberntica CSO del 2010, vista a la luz de nuestra experiencia, indica que el delito ciberntico constituye una amenaza comn significativamente mayor a lo que los encuestados reconocen. De hecho, la innovacin y tcnicas del crimen ciberntico han superado los modelos de seguridad tradicionales y muchas de las tecnologas actuales de deteccin de firmas, impulsado por la posibilidad de ganancias significativas.

Los delincuentes cibernticos de hoy en da ganan cada vez ms adeptos a obtener acceso sin ser detectados y mantener un perfil bajo persistente con presencia a largo plazo en los entornos de TI. Mientras tanto, muchas organizaciones pueden resultar vulnerables por s mismos a la delincuencia ciberntica basado en un falso sentido de seguridad, inclusive con complacencia, impulsado por herramientas y procesos de seguridad poco giles. Muchos fallan en reconocer los delitos cibernticos en sus ambientes de TI y distribuyen errneamente, recursos limitados a amenazas menores. Por ejemplo, muchas organizaciones se centran en gran medida en frustrar a los hackers y bloquear pornografa, mientras que el verdadero potencial real de los delitos cibernticos pasa inadvertido sin que se le d tratamiento adecuado. Esto genera una exposicin de riesgo significativa, incluyendo la exposicin a prdidas financieras, asuntos de reglamentacin, responsabilidad por filtracin de datos, daos a la marca, la prdida de la confianza de los clientes y el pblico.

El delito informtico (ciber-crimen): un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica

Las tcnicas de ocultacin permiten que los criminales cibernticos acten sin miedo alguno a ser detectados a tiempo, y menos an a ser capturados y enjuiciados exitosamente. Este crimen est entre algunos de los ms insidiosos y rentables, que puede llevarse a cabo desde una estacin de trabajo bien equipada, inclusive dentro de su propia organizacin.
Las principales amenazas y riesgos a los datos, informacin, activos, y transacciones estn en constante evolucin, y los enfoques tpicos de seguridad ciberntica no logran ir a la par. Los modelos de seguridad actual son muy poco eficaces contra los delincuentes cibernticos y las organizaciones siguen sin estar conscientes de este hecho. Los delincuentes cibernticos parecen estar reinviertiendo una parte significativa de su rentabilidad en el desarrollo de nuevas capacidades para eludir las tecnologas de seguridad de hoy en da. De hecho, inclusive los principales proveedores de antivirus tienen dificultades para mantenerse al da con la cantidad tan grande de nuevo malware que est creciendo en forma silvestre. Los delicuentes cibernticos explotan en forma rutinaria las vulnerabilidades resultantes. Ms an, ahora pueden poner la mira sobre el enlace ms dbil en la mayora de

los modelos de seguridad el usuario final - a travs de la Internet por medio de las tcnicas de ingeniera social. (Esto ltimo se refiere a las estafas y artimaas que usan los delincuentes para hacer que un usuario crea que son compaeros de trabajo, clientes u otras partes legtimas.) Las tcnicas de ocultacin permiten que los delincuentes cibernticos acten sin temor a ser detectados a tiempo, y menos an a ser capturados y enjuiciados exitosamente. Este crimen se encuentra entre algunos de los ms insidiosos y rentables, y puede realizarse desde una estacin de trabajo bien equipada, inclusive dentro de su propia organizacin. Este artculo muestra la forma en que difiere la visin de Deloitte acerca de la amenaza de los delitos cibernticos con respecto a las percepciones indicadas por las respuestas dadas en la encuesta de monitoreo de seguridad ciberntica del 2010. Se analizan las formas en que han cambiado las amenazas de seguridad ciberntica y los riesgos en los ltimos aos, la forma ms precisa de cmo se podran evaluar, y cmo luchar ms eficazmente contra ellos. En trminos ms generales, este documento est diseado para: Sonar una alarma en relacin con nuevas prioridades de seguridad ciberntica Describir la forma y la magnitud de las amenazas que plantean el delito ciberntico Sugerir respuestas tiles para mitigar estas amenazas Este documento est dirigido a lderes de alto rango, incluyendo CIOs, CSOs, CROs, gerentes de riesgo operativo, profesionales de agencias de gobierno de presupuesto y proveedura, y otros ejecutivos y profesionales con puestos en toma de decisiones en el entorno de TI y de los activos dentro de ese entorno.

Acerca de la encuesta del 2010 de monitoreo de seguridad ciberntica La encuesta del 2010 de seguridad ciberntica fue patrocinada por Deloitte y realizada en el 2009 en colaboracin con la revista CSO Magazine, el Servicio Secreto de los Estados Unidos, y el Centro de Coordinacin CERT de la Universidad Carnegie Mellon. Los encuestados contribuyeron con un conjunto amplio y valioso de perspectivas diferentes. Los 523 encuestados incluan principalmente a los directores o gerentes de TI o de seguridad (33 por ciento), y ejecutivos de clase C, tales como directores generales, directores financieros, directores de sistemas, y vicepresidentes ejecutivos (32 por ciento). Tambin se incluy profesionales de aplicacin de la ley (11 por ciento), empleados diversos (13 por ciento), y los consultores (8 por ciento). Un 69 por ciento de los encuestados provenan del sector privado y 31 por ciento del sector pblico. Entre los del sector privado el 86 por ciento provenan de empresas con fines de lucro y el 14 por ciento procedan de organizaciones no lucrativas. Entre los encuestados del sector pblico, el 29 por ciento era del gobierno federal y el 79 por ciento del estado y gobierno local.

Actualizacin del ciber-crimen

Un nmero creciente de delincuentes y empresas con mentalidad delictiva han contratado, comprado o adquirido de alguna u otra forma la capacidad para infiltrarse en los sistemas con nuevas tcnicas de infiltracin mientras que desarrollan una red delictiva de comercio electrnico. Al mismo tiempo, un nmero cada vez mayor de piratas informticos (hackers) se han profesionalizado an ms. Muchos de estos que atacaron alguna vez sistemas de TI como un reto intelectual y poder lograr (o agravar) el ingenio de otros en su campo, han descubierto que la delincuencia en lnea puede brindarles valiosas recompensas financieras. Tendencias que demandan una respuesta audaz Adicionalmente, han surgido las siguientes tendencias clave de delincuencia ciberntica, lo que demanda una respuesta fuerte y audaz, a corto plazo: Los ataques cibernticos y fisuras de seguridad se estn incrementando en frecuencia y sofisticacin, y por lo general el descubrimiento se produce despus de que se ha dado el hecho, en casi todos los casos. Los ciberdelincuentes han puesto en la mira a organizaciones y personas fsicas utilizando tcnicas de malware y anonimato que pueden evadir los controles de seguridad actuales. El permetro actual de deteccin de intrusos, deteccin basada en la firma de malware y soluciones de anti-virus estn aportando muy poco a la defensa y rpidamente se convierten en obsoletas por ejemplo, los criminales cibernticos utilizan actualmente la tecnologa de encriptacin para evitar la deteccin. Los criminales cibernticos estn aprovechando la innovacin a un ritmo tal, que las organizaciones que estn en la mira y muchos de los proveedores de seguridad no van a lograr alcanzarlos de igual manera. Muchos profesionales no tienen acceso ni conocen todava medidas eficaces para impedir la delincuencia ciberntica, y la gran mayora subestima el alcance y la gravedad del problema. Es posible que exista un nexo entre la delincuencia ciberntica y otras amenazas como el terrorismo, el espionaje industrial, y los servicios de inteligencia extranjeros. Indicadores futuros Esta es la verdadera causa de alarma: la mayora de los indicadores apuntan hacia futuros ataques de delincuencia ciberntica ms graves, ms complejos, y ms difciles de prevenir, detectar, y de tratar que los que existen actualmente, que ya son lo suficientemente dainos. Una

Las tendencias actuales del delito ciberntico exigen una respuesta firme y audaz en el cercano plazo.
economa oculta se ha estado desarrollando en torno al robo, el empaque, y la reventa de la informacin. Los autores de malware y otros delincuentes cibernticos son contratados, y proporcionan habilidades, capacidades, productos, y servicios externos "outsourcing" para los delincuentes cibernticos. Entre estos se incluye la adquisicin de datos y el almacenamiento, el acceso a los sistemas furtivos, la recoleccin de identidad y el robo, la malversacin de las comunicaciones, identificacin de la combinacin de teclas presionadas, la autenticacin de la identificacin de identidad, y botnets o redes zombis, entre otros. Mientras tanto, el modelo de seguridad actual es principalmente "reactivo", y los ciberdelincuentes siguen explotando esta debilidad. Como resultado de estos desarrollos, han ocurrido muchas violaciones de datos en muchas organizaciones que parecen haber desplegado controles y procesos de seguridad tradicionales, y las principales arquitecturas de la prctica, incluyendo los siguientes instancias representativas en el 2008 y en el 2009: En uno de los principales proveedores de servicios en lnea, ms de medio milln de cuentas de tarjetas de crdito estuvieron en riesgo por el malware, que se descubri cuatro meses despus. En uno de los principales facilitadores de pago en lnea, ms de cien millones de cuentas de tarjetas de crdito estuvieron en riesgo por el malware durante un perodo desconocido antes de su descubrimiento. El malware en un sistema de reserva en lnea puso en riesgo alrededor de ocho millones de registros personales. El software malicioso en las terminales de cajas registradoras en una cadena de restaurantes regionales comprometi a miles de cuentas de tarjetas de crdito y dbito, y de forma separada en una importante cadena de supermercados, a ms de cuatro millones de cuentas de tarjeta de crdito. Las intrusiones en pginas web han comprometido decenas de miles de registros de clientes en una cadena de reparacin de automviles.

El delito informtico (ciber-crimen): un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica

Los ciberdelincuentes operan ahora sin ser detectados dentro de los muros walls que se establecen para mantener fuera a los hackers. Sus tecnologas incluyen dispositivos no-autorizados conectados a redes corporativas, virus polimrficos, y registradores de teclas keyloggers que capturan credenciales y dan acceso privilegiado, mientras que los delincuentes eluden la deteccin. Estas tecnologas son una de las razones por las cuales se detectan tantas infiltraciones tan slo despus de que se ha dado una exposicin significativa de violaciones. Un nmero desconocido de esos casos probablemente nunca sean detectados, sobre todo cuando un cibercriminal quita unos cuantos centavos a millones o decenas de millones de transacciones o se hace una exfiltracin de datos ocultndose en medio de un trfico de salida legtimo.

Algunos desarrollos adicionales han aumentado la ola actual de delitos cibernticos: Las redes sociales y la constante comunicacin en lnea y la proliferacin de dispositivos de comunicacin, redes, y los usuarios - han generado vulnerabilidades nuevas que le dan mayores oportunidades a la delincuencia ciberntica. La banca en lnea, la inversin, el comercio minorista y mayorista, y la distribucin de la propiedad intelectual presentan innumerables oportunidades para el robo, fraude, malversacin, apropiacin indebida, y otros delitos cibernticos. Los gobiernos extranjeros corruptos, las organizaciones terroristas, y otros actores relacionados han explotado muchas veces las vulnerabilidades cibernticas para ayudar a financiar su espionaje, la guerra, y las campaas de terror. La delincuencia organizada ha extendido su alcance en el ciberespacio, aadiendo al delito ciberntico en su cartera de "negocios". Las dificultades econmicas generadas por la recesin del 2008-09 podran generar resentimiento y motivaciones financieras que conduzcan a partes internas o ex empleados a delinquir. Este es un panorama desarrollado durante los ltimos aos de trabajar con una cartera de diferentes clientes en una amplia gama de gestin de riesgos y de seguridad. Nos basamos en la experiencia adquirida al revisar las respuestas de la encuesta del 2010 CSO de monitoreo para la seguridad ciberntica, y desarrollar una interpretacin que condujo a lo que puede considerarse como contrario a la intuicin o bien conclusiones contradictorias acerca del status actual del crimen y las organizaciones.

Punto de Vista de Deloitte acerca de la escena del crimen

Estar alerta o complaciente Deloitte cree que las respuestas de la encuesta revelan una falta grave de conciencia y un cierto grado de complacencia por parte de las organizaciones de TI, y tal vez los oficiales de seguridad, para encarar la amenaza de la delincuencia ciberntica. Gran parte de esta creencia se basa en la nocin de que las tecnologas y tcnicas de la delincuencia ciberntica son muy eficaces en eludir la deteccin por lo que el alcance real del problema puede ser subestimado. Aunque no se puede cuantificar el impacto financiero de la actividad de los criminales cibernticos, nos gustara destacar un comentario del ao pasado para ayudar a establecer algunas estadsticas potenciales. El ao pasado, la Casa Blanca emiti la Poltica de Revisin de la Seguridad ciberntica, que perfila la prdida sistmica de valor econmico por propiedad intelectual y el robo de datos en el 2008, casi alcanzando el monto de $1 trilln.1 En esta seccin, primero se har un resumen de nuestra opinin, y luego se van a examinar las reas de divergencia con respuestas seleccionadas de la encuesta. Algunos de nuestros puntos de vista no van a sorprender a profesionales de TI y a la seguridad en industrias caracterizadas por una alta vulnerabilidad u organizaciones que han experimentado cierto grado de delincuencia ciberntica. Otros lectores podran sorprenderse de nuestro punto de vista acerca de la gravedad de los delitos cibernticos. Nuestro propsito aqu es ofrecer una versin actualizada, amplia, pero con un punto de vista bien fundamentado acerca de las amenazas de la delincuencia ciberntica, que percibimos como muy graves y buscar formas potencialmente ms eficaces para hacer frente a estas amenazas. Esencialmente, nuestra opinin es que: 1. La ciberdelincuencia de ahora es muy es seria, amplia, agresiva, est creciendo, y cada vez es ms sofisticada, y expone implicaciones importantes para la seguridad nacional y econmica. 2. Muchas industrias e instituciones y organizaciones pblicas y del sector privado (en particular aquellas que se encuentran dentro de la infraestructura crtica) se encuentran en un riesgo significativo. 3. Relativamente pocas organizaciones han reconocido las redes de delitos cibernticos organizadas, en lugar de los piratas informticos, como su mayor potencial de amenaza a la seguridad ciberntica; y an menos estn preparados para hacer frente a esta amenaza. 4. Las organizaciones tienden a emplear la seguridad basada en "muros-y enfoques de fortaleza" para hacer frente a las amenazas de delitos cibernticos, pero esto no es suficiente para mitigar el riesgo. 5. Los enfoques basados en riesgo y aquellos que se centran en lo que sale del entorno de TI, as como en lo que entra en el mismo-tienen un valor de seguridad potencialmente mayor que los sistemas de seguridad tradicionales basados en los enfoques de "el muro y la fortaleza". 6. Las organizaciones deben entender la forma en que son visualizados por los criminales cibernticos en trminos de los vectores de ataque, sistemas de inters, y las vulnerabilidades de proceso, para que puedan protegerse mejor a s mismos de los ataques.

Teniendo en cuenta este punto de vista, Deloitte sugiere que la mayora de las organizaciones debera considerar un enfoque basado en el riesgo continuo en la seguridad ciberntica, junto con un nfasis renovado en un anlisis ms profundo del trfico de entrada y salida a su red. Este enfoque incorpora el potencial de vulnerabilidad y las repercusiones de los delitos cibernticos, junto con otros, los riesgos tal vez ms familiares y de riesgo medible, como el comercio no autorizado y el riesgo de la moneda extranjera. En este documento le sugerimos ms adelante, mtodos especficos para la deteccin y persecucin de la delincuencia ciberntica.

Poltica de revisin ciberntica de la Casa Blanca: "Asegurar una infraestructura de comunicaciones e informacin confiable y resistente", 29 de mayo del 2009, http://www.whitehouse.gov/cyberreview/
El delito informtico (ciber-crimen): un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica 7

Interpretacin de Deloitte de los datos arrojados por la encuesta

Un gran nmero de respuestas de la encuesta de monitoreo de seguridad ciberntica SCO del 2010 tienden a contradecir la experiencia de Deloitte en este campo, y apuntan a un posible mal entendimiento de las amenazas y riesgos y de los enfoques ptimos para la seguridad ciberntica. Concretamente, se interpretan los resultados a continuacin de las siguientes maneras: Preparacin: La gran mayora de los encuestados ms del 75 por ciento inform de que las prdidas monetarias por eventos de seguridad informtica o bien seguan siendo el mismo (en comparacin con el ao anterior) o no estaban seguros. Adems, ms del 70 por ciento de los encuestados inform que su organizacin no fue especficamente blanco de los delincuentes cibernticos o de otros actores, y slo fueron impactados por ataques adicionales "no especficos o incidentales." Segn nuestra opinin, los encuestados parecen subestimar las amenazas y tener relativamente poco conocimiento de la situacin, sin embargo el 58 por ciento se calificaron a s mismos como ms preparados para hacer frente a dichas amenazas. Esto refleja la falta de conocimiento sobre el tipo de infiltracin y el dao que se est produciendo dentro del entorno. Tpicamente, hay una correlacin inversa entre el conocimiento de la situacin y la percepcin de la preparacin, y de esta desconexin se aprovechan los ciberdelincuentes. Implicacin: Las organizaciones que no estn preparadas o estn poco preparadas a menudo no reconocen este hecho. Un cambio de perspectiva, alejados del muro-y-la fortaleza, y un enfoque orientado en la autorizacin hacia uno que se centre en lo que sale del ambiente interno - y lo que le sucede despus de que sale-podra ayudar a remediar esta situacin.

Conciencia de la situacin: los hackers fueron categorizados como la mayor amenaza ciberntica, sobre informacin privilegiada, muy por encima de las organizaciones criminales y entidades extranjeras. Esto es muy comprensible, teniendo en cuenta que el 69 por ciento de los encuestados fueron del sector privado. Sin embargo, el crimen organizado y las entidades extranjeras fueron categorizadas muy por debajo de los indicadores de evaluacin de Deloitte que realmente deberan ser. Esto podra darse por una falta de comprensin de la operacin externa y los ambientes de amenaza. Es posible que las organizaciones se centren ms en ataques sofisticados de hackers porque son los ms ruidosos y ms fciles de detectar. Sin embargo, ese enfoque puede pasar por alto los ataques furtivos que son los que pueden producir impactos sistmicos y monetarios mucho ms graves. Los atacantes de sindicatos del crimen organizado o estados de naciones lanzan sofisticadas tcnicas que pueden accionarse sin ser descubiertas. Implicacin: Las organizaciones pueden desarrollar una alerta de la situacin en diversas maneras, y por lo tanto detectar y reconocer las amenazas y los daos que ahora podrn actuar sin ser detectados ni reconocidos. Es indispensable prestar atencin a los indicadores de conducta que estn vinculados con actividades fraudulentas.

Realizar gastos no es sinnimo de seguridad: Un gran nmero de los encuestados (47%) indicaron haber realizado un nivel significativo de gastos en seguridad durante el ao pasado ($ 100.000 o ms). Un gasto mayor no conduce necesariamente a un mayor grado de seguridad. Hemos notado que muchas organizaciones asignan importantes recursos para medidas de seguridad tecnolgica, pero hay negligencia en lo simple, medidas de bajo costo tales como la administracin de parches, anlisis de registros, restricciones del privilegio, caducidad de la contrasea, y la terminacin de acceso a empleados antiguos a travs de un proceso robusto de des -aprovisionamiento. Implicacin: Muchas organizaciones podran implementarse de manera fcil y barata, pero a menudo se pasan por alto soluciones que aumentaran la seguridad. A menudo, estas medidas pueden ayudar a mitigar las amenazas potenciales con consecuencias graves. Sin embargo, estas medidas en forma aislada podran no ser suficientes para mejorar significativamente la seguridad contra la amenaza de la delincuencia informtica en constante evolucin. Mtodos tales como los enfoques basados en el riesgo se sugieren a continuacin y es probable que sean necesarios para la mayora de las organizaciones.

monitoreo de la Seguridad ciberntica arroj que de las organizaciones que experimentaron eventos de seguridad informtica que causaron prdidas o costos financieros durante los ltimos 12 meses, slo el 28 por ciento consideraba que los actos se referan a ellos especficamente. Esto est ms arriba que el 22 por ciento en la encuesta anterior (2007), pero todava nos parece baja. Pensamos que un porcentaje sustancial mayor de los incidentes pueden estar dirigidos intencionalmente hacia las organizaciones, en particular, si ocasionan costos y prdidas financieras. Estas estadsticas reflejan la naturaleza insidiosa de los ataques de la delincuencia ciberntica, en los que las vctimas a menudo no se dan cuenta de que fueron las vctimas que estaban en la mira. En la encuesta del 2009, slo el 6 por ciento de los encuestados mencionaron el crimen organizado como la mayor amenaza de seguridad a sus organizaciones. Esto apenas supera ligeramente el porcentaje de los que creen que la mayor amenaza proviene de entidades extranjeras (5 por ciento), los proveedores de servicio actuales y los contratistas (4 por ciento), los clientes (3 por ciento), y los competidores (3 por ciento). Sin embargo, esta categorizacin est muy por debajo del porcentaje que consideran que la mayor amenaza viene de los piratas informticos hackers (26 por ciento) y los empleados actuales (19 por ciento). La definicin de hacker y de crimen organizado vara mucho de encuestado a encuestado. Los piratas informticos hackers pueden verse como delincuentes, organizados o no. Asimismo, crimen organizado no se limita a muchas definiciones de personas acerca del trmino, que a menudo incluye slo los carteles de la droga y otras operaciones que se tratan regularmente en los medios de comunicacin. Y qu se puede decir de los millares de siglas y grupos de hackers especializados que pueden establecer alianzas informales con organizaciones terroristas extranjeras, los servicios de inteligencia, e incluso entidades del crimen organizado tradicional, con el fin de vender sus servicios? El problema puede ser incluso peor de lo que se imagina.

Las organizaciones tambin haran bien en entender las prioridades de seguridad y los sistemas de sus principales proveedores, las empresas asociadas y proveedores, y compartir esa informacin acerca de sus organizaciones con estas partes. La seguridad ciberntica se refuerza normalmente por un enfoque de equipo multilateral. De hecho, algunas organizaciones pueden estar malinterpretando la naturaleza de las violaciones que experimentan. La encuesta del 2010 de la OSC de

El delito informtico (ciber-crimen): un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica

El enfoque oscurece la vista

Este es el tipo de actividad que debe ser detectada, prevenida, y abordada. Por supuesto que deben seguir vigentes y permanecer en su lugar, las prcticas destinadas para la seguridad del ambiente y de los datos para detectar las infracciones tradicionales. Pero criminales cibernticos ms sofisticados han estudiado ya los mtodos que utilizan las organizaciones, tanto para quitar los muros wall off como para permitir el acceso a sus redes y datos. Esto permite a los delincuentes llevar a cabo actividades durante meses sin ser detectados, o cometer un solo delito de gran magnitud que sea extremadamente rentable y perjudicial, tal como fraudes de transferencias bancarias. En muchos casos los delincuentes cibernticos obtienen las credenciales y los sistemas de acceso como si fueran empleados y clientes reales. Por lo tanto, la integridad del extremo al que se concede el acceso a los sistemas y datos de la organizacin debe ser una preocupacin prioritaria. El sector pblico est tan expuesto como lo est el sector privado. Ha habido casos en los que se establece que agencias gubernamentales a nivel estatal en los Estados Unidos han perdido sumas considerables de dinero. Por ejemplo, el 2 de julio del 2009 en el titular del Washington Post, el blog del reportero Brian Krebs seal que los ciber delincuentes de Ucrania haban robado 415.000 dlares de un condado por medio de transferencias bancarias no autorizadas por el banco del condado. Los delincuentes fueron ayudados por ms de dos docenas de cmplices en los Estados Unidos. Krebs inform de que su fuente, un investigador en el caso, seal que los delincuentes utilizan ", una variante personalizada de un registro de pulsaciones Troyano ", que rpidamente envi credenciales robadas a los atacantes por medio de mensajera instantnea. Este software malicioso malware tambin permiti a los atacantes acceder a la cuenta bancaria de la vctima mediante una conexin a Internet propiedad de la vctima. De forma similar, se robaron 480.000 dlares de una cuenta bancaria de la Autoridad de Reurbanizacin de un condado por medio de malware troyano. Las amenazas de la delincuencia ciberntica en las agencias federales podran extenderse a los asuntos de seguridad nacional.

Los usuarios como mulas La mayora de la seguridad ciberntica se centra en la prevencin de ataques y el uso no autorizado. Es este mismo enfoque el que puede permitir e incluso habilitar a los delincuentes cibernticos a emplear usuarios legtimos como cmplices involuntarios. Los usuarios autorizados pueden acceder y viajar a travs de un sistema, quitar o cambiar los datos en el sistema, y realizar transacciones. Cuando los delincuentes cibernticos emplean a los usuarios, en forma de cmplices involuntarios o "mulas de dinero", ellos pueden operar como si fueran los usuarios legtimos. Pueden adquirir la misma o incluso mayor capacidad para navegar por todas las vas, copiar datos, ejecutar transacciones y vigilar las pulsaciones de teclado.

10

Cambiando hacia el enfoque clave

Uno de los mtodos ms fructferos a considerar para enfrentar la amenaza de la delincuencia ciberntica implica pasar de un enfoque de seguridad basado en privilegios a un enfoque de seguridad basado en el riesgo. El bloqueo de lo que se acerca al ambiente y la fuerza del enfoque que se basa en la seguridad -es til y necesario. Sin embargo, a menudo esto se puede lograr a un menor costo y siendo tal vez ms selectivo. Cambiar de enfoque para incluir la vigilancia y la identificacin de los datos que salen del ambiente puede detectar actividades, habilitada por tcnicas y tecnologas que imitan, explotan, o se aprovechan de este acceso de los usuarios autorizados. Los temas pertinentes pueden incluir las credenciales del usuario, la informacin de identificacin personalizada, datos financieros, y detalles de la vulnerabilidad. El muro de seguridad actual, el control de acceso, y los mtodos de autenticacin de la identidad no suelen identificar actividades criminales orientadas a la captacin de los datos y la informacin. Con sus mtodos actuales, los criminales cibernticos, incluso podran infiltrarse en los sistemas de las organizaciones que contratan " hackers de sombrero blanco" para probar sus defensas. Los delincuentes cibernticos visualizan un sistema desde la perspectiva de proceso, con el objetivo de ganar el acceso como un usuario real lo hara. Se centran entonces en el acceso y la adquisicin de herramientas de autenticacin que un usuario real tendra. Una vez dentro del sistema, los criminales cibernticos lo utilizan de formas en las que la organizacin no lo hara, y no se logra anticipar o defenderse. Mientras el personal de seguridad est observando atentamente las pantallas del administrador de seguridad de la informacin, los ciberdelincuentes ya estn dentro. Un enfoque basado en riesgos a la seguridad ciberntica Un enfoque basado en riesgos puede empezar asumiendo que un usuario no autorizado puede acceder al sistema, y luego, disear la respuesta basada en el valor de los datos que podran verse comprometidos. Esto exige dar prioridad a los datos y a informacin basada en el valor a la organizacin u otros criterios de utilidad. La organizacin puede entonces decidir en cules datos focalizarse, en qu recursos, cunto gastar, y qu herramientas utilizar para proteger los datos. Este enfoque puede ayudar a la transicin de la empresa fuera de la construccin de una "Gran Muralla" contra todas las amenazas, hacia la identificacin y tratamiento de los ms significativos. Esto conlleva riesgos de priorizacin, sobre la base de su probabilidad, impacto, y las posibles interacciones con otros riesgos, despus, la asignacin de recursos en forma consecuente. Se requiere de esfuerzo, gasto, capacitacin, y recursos para desarrollar un sistema de clasificacin por valor y dar seguimiento de los datos despus de salir de la organizacin, pero vale la pena por su eficiencia y eficacia. Tambin es posible categorizar el riesgo de datos segn el tipo, valor, e impacto si estuviera en peligro. Relativamente pocas organizaciones han desarrollado categoras basadas sobre el valor o el riesgo. Sin embargo, determinar qu datos son los ms y los menos valiosos, permitira a los profesionales de seguridad ciberntica poder centrarse en las ms altas prioridades. Los datos ms valiosos, tales como formulaciones del producto y la informacin financiera y jurdica sensibles, pueden ser marcados y controlados para que la organizacin sepa en donde est, adnde va, adonde ha ido, y bajo qu autoridad. Los recursos pueden ser desplazados de menor cantidad de datos valiosos, tales como actividad del sitio web y la rutina del contenido del correo electrnico, que puede ser tratado adecuadamente.

... se supone que se debe priorizar los riesgos sobre la base de su probabilidad, impacto, y las posibles interacciones con otros riesgos, luego, se debe dar una asignacin de recursos acorde. Esto requiere esfuerzo, gasto, capacitacin, y recursos para desarrollar un sistema de clasificacin por valor y dar seguimiento de los datos despus de salir de la organizacin...
El delito informtico (ciber-crimen): un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica 11

Desarrollando una inteligencia "accionable" ante amenazas cibernticas

La lucha contra la ciberdelincuencia requiere de un compromiso de alto nivel entre los ejecutivos y miembros de la junta. S, sus platos estn llenos. Sin embargo, frente a la delincuencia ciberntica se inscribe el riesgo de la administracin, un punto que ya est en su plato. Es mejor abordar la ciberdelincuencia bajo el contexto del enfoque global de administracin de riesgos. De esta manera, se convierte en un elemento para TI, la seguridad, los presupuestos de la administracin del riesgo, la agenda administrativa y las reuniones del Comit. Una vez hecho este compromiso, varias medidas concretas pueden mejorar la seguridad ciberntica y, de paso, la proteccin contra las otras amenazas. Estos pasos dentro de este enfoque de Deloitte se centra primero en la recopilacin de inteligencia y anlisis, que luego se evala. El proceso general se resume en la figura 1. En la prctica, este proceso se aplica mejor a determinadas reas actividades, bases de datos, canales de distribucin y los aspectos de la infraestructura de TI. La identificacin de estas reas requiere de tiempo y recursos, pero pueden ser identificados en el contexto de un sistema de administracin de riesgo global. Si se ha realizado una evaluacin detallada de riesgo a una empresa, todava sera mejor. Dicha evaluacin ha de haber identificado procesos crticos, actividades, datos, canales de distribucin, y otros recursos, que se pueden emplear en este esfuerzo.

Figura 1. Anlisis y adquisicin de ciber inteligencia

Proceso de aceptacin del riesgo

Fuentes comerciales Aplicacin de la ley Asociaciones con la Industria Investigadores en Seguridad Foros de metro Bases de datos Hash Datos GEOIP

Provisin de inteligencia para amenazas cibernticas externas

Proceso de evaluacin de riesgo

Mitigar el riesgo

Investigaciones de Fraude Sucesos de seguridad de datos Abuso de informacin del buzn Datos de vulnerabilidad Las cajas de arena La inteligencia humana

Provisin de inteligencias para amenazas internas

Coleccin de Investigacin de inteligencia para amenazas cibernticas, y Proceso de anlisis

Remediar el riesgo Urgente control de actualizaciones de seguridad

Lnea de equipos de negocios Equipos de seguridad, fraude y riesgo operacional Terceras partes, subsidiarios

Honeynets Malware Forense Seguimiento de marcas Monitoreo de P2P Monitoreo de DNS Monitoreo de la lista de vigilancia

Supervisin proactiva

Reporte de inteligencia de amenazas

Infraestructura de los registros

Implementacin de los registros

Tecnologa para la conguracin de datos

12

Recopilacin de inteligencia La recopilacin de inteligencia es una actividad continua. Para nuestros propsitos, se trata de la eleccin de "cabos" desde los cuales se puede explorar el entorno externo y controlar la ambiente interno. Otra forma de pensar en ellos es verlos como "canales" (similar a canales de radio o de televisin) a travs del cual usted se puede monitorear estos ambientes. Los cabos o canales son los que constituyen el alimento de la inteligencia contra las amenazas cibernticas externas e internas, como se indica en la figura 2. Figura 2. Fuentes de amenazas cibernticas
Fuentes de alimentacin de inteligencia externa Publicaciones Recursos para reforzar el cumplimiento de la ley Asociaciones con la industria Proveedores de seguridad Foros de metro Bases de datos hash Datos GEOIP Fuentes de alimentacin de inteligencia externa Investigaciones de fraude Datos de eventos de seguridad Informacin sobre abuso del buzn de correo Vulnerabilidad de los datos Cajas de arena Inteligencia humana

Intranet: portales de intranet, herramientas de colaboracin, los sistemas de autenticacin Telefona: unidades de respuesta de voz, telfonos VoIP y PBX, buzn de voz Administracin de identidad y autenticacin: log-on, cdigo de contrasea de usuario, y otras tecnologas de IdM Otra posible fuente de la inteligencia seran los recursos que utilicen los adversarios potenciales. Una vez ms, el objetivo debe ser centrarse en los dispositivos y aplicaciones que exponen a los datos de ms valor de la organizacin, procesos, actividades, y la infraestructura a los mayores riesgos. Una vez que se adquiera una combinacin rica de inteligencia, se debe dirigir los esfuerzos al anlisis. Anlisis de la inteligencia La cantidad de datos que se derivan de la reunin de una base amplia de inteligencia puede ser asombrosa. Por lo tanto, el anlisis incluye tcnicas estadsticas para el desglose analtico, la normalizacin y la correlacin de los hallazgos, as como la revisin humana. Hay seis preguntas que deben conducir este anlisis: Cmo podemos mejorar nuestra visibilidad en el medio ambiente? Qu nuevas tecnologas tenemos que vigilar y monitorear? Disponemos de tecnologas y datos vulnerables? Hasta qu punto nos protegen nuestros controles existentes? A qu sectores estn dirigidos los delincuentes cibernticos y que tcnicas estn utilizando o estn planeando usar? Cmo podemos identificar informacin accionable? Este anlisis debe realizarse dentro de un proceso de administracin de riesgo en torno a una identificacin, prevencin, deteccin, comunicacin, y actividades de mitigacin del riesgo. No vamos a delinear el proceso aqu, porque la mayora de los lectores estarn familiarizados con ella. Un proceso de administracin de riesgo ciberntico da prioridad a las amenazas, analiza las amenazas, detecta una amenaza, antes, durante o despus de la ocurrencia real, y especifica la respuesta adecuada. Esta ltima puede consistir en reparacin, control de cambios, proveedor o socio de notificacin, o de otras acciones. El anlisis, como por ejemplo el modo de fallas y los efectos de anlisis, proporciona un mecanismo de retroalimentacin, como las lecciones aprendidas, para mejorar constantemente la eficacia de los anlisis que se realicen.

Si bien vale la pena lanzar una red amplia, siempre existe el factor de costo y el peligro de sacrificar la profundidad por la amplitud. Por lo tanto seleccione y elija su "fuente de alimentacin" dada la industria, sus necesidades, y capacidades. No todas las fuentes sern tiles a todas las organizaciones, y algunas sern ms tiles que otros segn las empresas dadas. Debe haber rondas de vigilancia proactiva en el esfuerzo de la recopilacin de la inteligencia. Aqu se incluyen recursos como trampa de redes honeynets, el malware forense, monitoreo de la marca, monitoreo P2P (pares a pares), control de DNS, y la lista de vigilancia de alertas. Entre algunas de las tecnologas especficas en las que se centra la investigacin de las amenazas se incluyen las siguientes: Aplicaciones de Internet: las transacciones en lnea, los sistemas de recursos humanos, los sistemas de cable, sitios Web La informtica mvil: Blackberries, telfonos inteligentes, celulares de redes, servicios de mensajera de texto Computadores personales: sistemas operativos de terceros, aplicaciones, dispositivos de almacenamiento USB Los dispositivos de Bancos: cajeros automticos ATMs, kioscos, tarjetas inteligentes RFID

El delito informtico (ciber-crimen): un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica

13

Beneficios de un enfoque basado en riesgos

Identificar los clientes, proveedores, prestadores de servicios, y otras partes que han podido comprometer los dispositivos dentro de sus redes. Monitoreo de transacciones para identificar aquellas que se realizaron desde dispositivos peligrosos. Dar un seguimiento de informacin comprometida que ha salido o est saliendo de la organizacin. Comprender la susceptibilidad de la organizacin a accesos persistentes sostenidos por los delincuentes cibernticos. Dada la sofisticacin, la complejidad y la evolucin de las tecnologas y tcnicas de la delincuencia ciberntica, ninguna organizacin podra planificar y ejecutar las respuestas necesarias de forma aislada. CIOs, OSC, CRO, y profesionales de la seguridad ciberntica deben compartir informacin, tcnicas, y tecnologas en su batalla contra la delincuencia ciberntica. Esto puede hacerse sin necesidad de revelar informacin corporativa sensible o sobre la competencia, y lo mejor es hacerlo. En general, los esfuerzos de seguridad ciberntica que sean eficaces van a requerir de perspectivas y conocimientos ms all de los que residen en la organizacin. De esa forma, consideramos la encuesta del 2010 de vigilancia de seguridad ciberntica decepcionante-y lo ms sorprendente fue que slo el 21 por ciento de los encuestados indic haber participado en su industria con el Centro para compartir informacin y Anlisis (IT-ISAC). Estas comunidades de especialistas en seguridad cuentan con el apoyo del liderazgo federal, pero an queda mucho trabajo por hacer si de veras quieren convertirse en colaboradores del sector privado como se haba previsto originalmente. Sin duda alguna se requerir el apoyo de la comunidad de seguridad informtica para que puedan tener xito.

A la luz de los riesgos potenciales de la delincuencia ciberntica, la empresa Deloitte recomienda adquirir un enfoque basado en el riesgo, como se indica ms arriba. Esto contrasta con - pero tambin complementa- los enfoques basados en la seguridad orientados a amurallar el entorno de TI. Los beneficios de un enfoque basado en riesgos incluyen la posibilidad de: Definir el valor y la importancia de riesgos relacionados con las categoras de de datos, para priorizarlos y en consecuencia protegerlos. Identificar y mitigar dispositivos dentro de la red de la organizacin que pueden estar siendo utilizados para apoyar actividades de criminales cibernticos.

14

Recapitulando el dilema de la ciberdelincuencia

Los datos son ms valiosos que el dinero. Una vez que el dinero se utiliza, el dinero se va, pero los datos pueden ser utilizados y reutilizados para producir ms dinero. La capacidad de reutilizar los datos para acceder a aplicaciones de la banca en lnea, autorizar y activar las tarjetas de crdito, o las redes de acceso a organizaciones han permitido a los delincuentes cibernticos crear un amplio archivo de datos para dar curso a actividades ilcitas. El mundo no ha cambiado mucho desde principios de los aos 1900, cuando a Willie Sutton se le pregunt por qu le rob a los bancos. l dijo: Ah es donde est el dinero. Hoy en da, los ciberdelincuentes se dirigen hacia los datos porque les da acceso repetitivo al dinero, est donde est. Es de suponer que los delitos cibernticos van a colocar amenazas potencialmente ms dainas en contra de las actividades relacionadas a la TI, las transacciones y los activos. Hemos notado que esta amenaza es poco reconocida y menospreciada entre los riesgos que enfrentan las organizaciones, y por eso creemos que muchas organizaciones no estn preparadas para detectar, tratar, o protegerse de estas amenazas. Una economa vigorosa y encubierta est creciendo rpidamente para apoyar las actividades de la ciberdelincuencia. Esa economa incluye el crimen organizado, los hackers por contratacin, ex empleados recientes y descontentos, otros intrusos (personas mal intencionadas que tienen o han tenido acceso autorizado), y los terroristas con sus partidarios. Los delitos cibernticos incluyen robo, fraude, malversacin de comunicacin, robo de identidad, el robo de derechos de propiedad intelectual, el espionaje empresarial, el sabotaje del sistema, la destruccin de datos, el lavado de dinero y el terrorismo, entre otros. Varias organizaciones carecen de ramas de preparacin fuera de su enfoque tradicional de "pared-y- fortaleza" para amenazas cibernticas. Estos enfoques se concentran en el control de acceso y de tecnologas y tcnicas de autorizacin. Sin embargo, los criminales cibernticos ahora no slo pueden burlar muchos de estos enfoques, sino que los utilizan para obtener el acceso que disfrutara cualquier usuario autorizado. Los ciberdelincuentes tambin tienen tecnologas que les permite tomar ventaja de ese acceso en solo cuestin de segundos. Las organizaciones deben tomar varias medidas para protegerse a s mismos. El primer paso es comprender la gravedad de las amenazas del delito ciberntico sobre sus datos valiosos, los procesos, y los activos. El segundo paso es pasar de un enfoque basado en la seguridad a

Los datos son ms valiosos que el dinero. Una vez que el dinero se utiliza, el dinero se va, pero los datos pueden ser utilizados y reutilizados para producir ms dinero. La capacidad de reutilizar los datos para acceder a aplicaciones de la banca en lnea, autorizar y activar las tarjetas de crdito, o las redes de acceso a organizaciones han permitido a los delincuentes cibernticos crear un amplio archivo de datos para dar curso a actividades ilcitas.
un enfoque ms en funcin del riesgo de la seguridad ciberntica. Utilice su presupuesto y aplique los recursos necesarios para mitigar los riesgos de mayor rango de su empresa. El tercer paso es derribar los muros asociados con los enfoques encasillados para tratar con las ciberamenazas. Se debe compartir y combinar los datos a travs de la organizacin, por ejemplo, en el caso de fraude, la prdida de la prevencin, la seguridad de la informacin y los recursos humanos, mientras que se mezcla con fuentes externas, se fortalece la capacidad de realizar un anlisis de valor aadido. En ese momento, la organizacin puede establecer prioridades de riesgos, incorporarlas en la toma de decisiones empresariales y los procesos, para luego administrarlos adecuadamente, asignando los recursos de una forma ms eficiente y eficaz. Los esfuerzos entonces se deben dirigir hacia la recopilacin de informacin y anlisis, con la mira puesta en la identificacin de los mtodos utilizados por la delincuencia ciberntica y las amenazas, y brindando un monitoreo de los activos conforme estos son accesados y cuando ellos salen fuera y despus de salir del entorno de TI. No sugerimos que los profesionales en seguridad ciberntica consideren a la ligera un cambio de enfoque y las tareas adicionales. Sin embargo, s sugerimos que las organizaciones consideren su exposicin frente a la delincuencia ciberntica y su deteccin en curso, prevencin, y capacidad de mitigacin. Dada las condiciones actuales y las utilidades, la delincuencia ciberntica puede acercarse en cualquier momento a su vecindario, si es que no lo ha hecho ya. Todava ms importante, cmo puede usted saberlo?

El delito informtico (ciber-crimen): un delito claro y presente Combatiendo la amenaza de ms rpido crecimiento contra la seguridad ciberntica

15

Costa Rica Barrio Dent, San Pedro Tel.: (506) 2246 5000 Fax: (506) 2246 5100 Honduras Colonia Florencia Norte, Edificio Plaza Amrica, 5to. Piso Tel.: (504) 231 3131 Fax: (504) 232 3709 Nicaragua Los Robles No. 29 Tel.: (505) 2278 6004 Tel.: (505) 2278 6068 Fax: (505) 2270 3669 Repblica Dominicana Pedro Henrquez Urea No. 150 Edificio Diandy XIX, 2do piso Tel.: 001 (809) 563 5151 Fax: 001 (809) 563 8585

Si desea informacin adicional, por favor, visite www.deloitte.com/cr Deloitte presta servicios profesionales en auditora, impuestos, consultora y asesoramiento financiero a organizaciones pblicas y privadas de diversas industrias. Con una red global de firmas miembro en 140 pases, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a sus clientes a alcanzar el xito desde cualquier lugar del mundo en el que stos operen. Los 169.000 profesionales de la firma estn comprometidos con la visin de ser modelo de excelencia; estn unidos por una cultura de cooperacin basada en la integridad y el valor excepcional a los clientes y mercados, en el compromiso mutuo y en la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje continuo, experiencias retadoras y oportunidades de lograr una carrera en Deloitte. Sus profesionales estn dedicados al fortalecimiento de la responsabilidad empresarial, a la construccin de la confianza y al logro de un impacto positivo en sus comunidades. Deloitte se refiere a Deloitte Touche Tohmatsu (Swiss Verein) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripcin detallada de la estructura legal de Deloitte Touche Tohmatsu y sus firmas miembro. 2010 Deloitte & Touche, S.A. Member of Deloitte Touche Tohmatsu. Todos los derechos reservados. El contenido de esta publicacin no puede ser total ni parcialmente reproducido, transmitido ni registrado por ningn sistema de recuperacin de informacin, de ninguna forma ni a travs de ningn medio o soporte, sin el previo consentimiento por escrito de los titulares del copyright. Deloitte no se hace responsable del uso que de esta informacin puedan hacer terceras personas. Nadie puede hacer uso de este material salvo autorizacin expresa por parte de Deloitte. Diseado por el Departamento de Comunicacin & Mercadeo, Deloitte Costa Rica.