(inseguro es una columna semanal que profundiza en el tema de la ciberseguridad, en rápida escalada.
Contenido
- El problema
- Todo lleva de nuevo al phishing
Al igual que la seguridad del hogar, la gente a menudo prefiere no pensar en la ciberseguridad una vez que han pagado por ella. Prefieren pagar y rezar.
Pero, ¿cómo saber si el software de una empresa de seguridad está funcionando? Con todos los miles de millones de dólares invertidos en protegernos a nosotros mismos y a nuestras empresas en línea, ¿por qué los ataques parecen estar aumentando en regularidad y daños?
Hablamos con Oren J. Falkowitz, un ex empleado de alto nivel de la NSA y del Comando Cibernético de los Estados Unidos, que tiene una idea radical de cómo deberían ganar dinero las empresas de ciberseguridad.
El problema
Nuestro fiasco moderno en materia de ciberseguridad tiene muchas causas. Tal vez sea una falta de financiación y regulación gubernamental. Tal vez sean las grandes corporaciones tecnológicas las que no se preocupan lo suficiente por la privacidad. Tal vez sea sólo una cuestión de educar al público y explicar en términos sencillos lo que está en juego.
“Las empresas gastan alrededor de 93 mil millones de dólares en ciberseguridad, y no se vislumbra un final…”
Falkowitz tiene una opinión diferente. Él cree que el verdadero problema es que las ganancias de la ciberseguridad no están ligadas al desempeño. "Para nosotros, significa ciberseguridad basada en el desempeño y pagar por resultados, no un fracaso", dijo a Digital Trends. "Las empresas deberían pagar por la ciberseguridad sólo si funciona según lo diseñado".
Así no es como funciona hoy. Los expertos en ciberseguridad, las empresas y el software antivirus se presentan y compran como un plan de seguro. Pagas mensualmente y esperas que no pase nada malo. Si es así, le ayudarán a recoger los pedazos y tal vez intentarán venderle más seguridad.
Área 1 Seguridad, la propia empresa de ciberseguridad de Falkowitz, adopta el enfoque opuesto. El Área 1 destaca el hecho de que la gente “se compromete a firmar contratos de seguridad con una duración de tres a cinco años y gastar seis o siete cifras. Pero todavía no obtienen lo que pagaron”. Falkowitz cree que los clientes deberían pagar sólo por los intentos de delito que se detengan. Es una idea similar a los programas de recompensas por errores, que alientan a los piratas informáticos a encontrar (y luego revelar) vulnerabilidades.
Siempre es phishing
"Las empresas gastan alrededor de 93.000 millones de dólares en ciberseguridad, sin que se vislumbre un final y, lo que es peor, sin un final para la gravedad o la frecuencia de los ciberataques", dijo Falkowitz. "La ciberseguridad responsable y basada en el rendimiento garantizará que los resultados sean los que impulsen las innovaciones futuras y los resultados exitosos en los modelos de negocio".
Quizás se pregunte cómo podría una empresa mantenerse en el negocio si tuviera que demostrar constantemente a los clientes que se están deteniendo los ataques. Area 1 Security lo hace funcionar centrando sus esfuerzos en un aspecto particular de la ciberseguridad: el phishing.
Todo lleva de nuevo al phishing
"El phishing es el ataque que inicia el ataque, es la causa fundamental de un asombroso 95 por ciento de todos los daños", dijo Falkowitz. "La clave para la ciberseguridad basada en el rendimiento es detener el phishing".
"El phishing es un ataque de ingeniería social que se basa en la autenticidad para evadir la detección".
El phishing se ha convertido en la pesadilla de Internet. Desde malware hasta datos robados, el phishing suele ser el punto de entrada de los peores ciberataques que hemos visto. Por lo general, toma la forma de un correo electrónico fraudulento, enviado a una víctima desprevenida bajo la apariencia de una empresa u organización oficial.
Luego, el correo electrónico solicitará al lector que haga clic en un enlace y, una vez que lo haga, se activará la trampa del atacante. Aunque simple, los piratas informáticos han utilizado el phishing para todo, desde Debacle de los correos electrónicos de la campaña de Clinton a lo devastador Ataque de ransomware WannaCry de 2017.
"El phishing es un ataque de ingeniería social que se basa en la autenticidad para evadir la detección", explicó Falkowitz. “¡Está diseñado para que nadie lo atrape! Por eso funciona tan bien. Además de ser eficaz, también es increíblemente económico. Ésa es en parte la razón por la que es tan bueno económicamente ser un tipo malo en Internet. Si eres un atacante y tienes algo que funciona y contra lo que la mayoría de las empresas no pueden defenderse, ¿por qué no seguir usándolo?”
El sistema de Area 1 Security afirma detener el 99,99 por ciento de todos los ataques de phishing, lo que les permite mantener un registro de los ataques que están previniendo. Su filosofía no es perseguir a los delincuentes en Internet, sino detener a los que ya están llamando a nuestras puertas.
"Hasta que no quitemos el phishing como arma de las manos de los atacantes, continuaremos en esta trayectoria cada vez más peligrosa y costosa".
Tal vez sea hora de que empecemos a pedir más a las empresas que dicen protegernos. Después de todo, desarmar a los malos parece un plan mucho mejor que esperar a que ataquen.
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.