Por Javier Paniagua
(M&T)-. La ola creciente y creativa de ciberataques pone en alerta a las organizaciones, gobiernos y personas debido al impacto que podría generar una infiltración a los sistemas informáticos. Se sabe que una vez que un hacker ingresó a las computadoras, los daños serán inciertos.
Debido a esto, se torna necesario comprender el impacto que tiene su publicación masiva hace parte de los nuevos retos para un mundo hiper conectado.
Felipe Gomez, LATAM Manager de Fluid Attacks, compañía especializada en realizar pruebas de seguridad tecnología en las empresas, expuso un caso que sucedió recientemente sobre una infiltración cibernética:
“Una persona actualizó la información de su visa a través del portal oficial de la entidad en el país, al hacer este proceso descubrió que podía ver y descargar los datos del documento de otras personas con sólo hacer un pequeño cambio al final de la URL. Ante las consecuencias de lo expuesto y por la divulgación mediática que tuvo el hecho, se hace evidente que las organizaciones necesitan establecer protocolos que protejan la información que se hace pública en diferentes lugares”.
Gómez añadió que, cuando se filtran datos de una organización, y una empresa o un ciudadano los publica en internet, los riesgos aumentan y se abre la posibilidad para que los ciberdelincuentes aprovechen la oportunidad, divulguen y comprometan activos relacionados a las vulnerabilidades halladas de un sistema de TI (Tecnología de la Información).
Fluid Attacks recomendó que cuando una persona o una organización tenga filtraciones de información de este tipo, tenga presente los siguientes aspectos:
Proteger: Acceder a datos sensibles de terceros, así sea de manera involuntaria, es un delito y pone en riesgo la seguridad de personas y organizaciones.
Denunciar: Cuando se detectan este tipo de filtraciones, se debe contactar y denunciar el incidente ante los organismos oficiales en el país, cómo puede la policía, con su unidad especializada en delitos informáticos, además de notificar de manera formal a la entidad comprometida.
Divulgar Responsablemente: Entender el canal y conducto regular para divulgar una brecha de seguridad. Las redes sociales, no son el lugar adecuado para reportar una vulnerabilidad, su exposición es tan grande que resulta imposible saber quién tiene acceso a esta y qué tipo de uso le van a dar. Al final, las consecuencias podrían ser peores que la intención de hacer una denuncia.
La Organización Internacional de Normalización (ISO), que cuenta con la participación de 165 países, en su norma: IEC 29147: 2018, desarrolló una norma que se refiere a los ataques cibernéticos.
ISO explica que como un procedimiento estándar con respecto a la publicación de vulnerabilidades: “El objetivo de su exposición es reducir los riesgos asociados con su divulgación”.
“Las oportunidades de mejora para las organizaciones, surgen cuando las vulnerabilidades se ven expuestas, donde hubo fallas de seguridad técnicas o de metodología. Las empresas requieren prestar una atención especial a la gestión de reportes y la implementación de los estándares, ante cualquier tipo de incidente es fundamental establecer un canal de divulgación coordinado, de fácil acceso para la transmisión segura y transparente en el manejo de la información”, concluye el representante de Fluid Attacks.
Cuando suceden estos incidentes, debería primar el bien común, sobre el personal. El deseo de figurar o tener una exposición mediática no puede estar por encima de la protección de los datos sensibles para una organización o una persona, finalizó.
Commentaires