Octubre fue un buen mes en Estados Unidos, huracanes aparte. Las hojas de los árboles tornaron de color. Las temperaturas se suavizaron. Celebramos el día de Colón, reconvertido por algunos en el día de los pueblos indígenas, Halloween, medio mes de la Hispanidad y el National Cybersecurity Awareness Month, el Mes de la Conciencia en Ciberseguridad Nacional.
La vuelta al colegio fue interesante para el Distrito Escolar Unificado de Los Angeles, responsable de la educación de más de 600,000 estudiantes. Es el segundo distrito escolar más grande de Estados Unidos, después del de la ciudad de Nueva York, víctima también de un ciberataque a uno de sus proveedores de servicios informáticos educativos en enero del 2022. A principios de septiembre un ataque de ransomware atribuido a Vice Society, la Sociedad del Vicio, empañaba el comienzo del año escolar. Semanas después, los responsables del distrito no han pagado el rescate, siguiendo los consejos emitidos por varias agencias federales. Las clases continúan, aunque varios sistemas fueron desconectados por precaución. Los cibercriminales amenazaron con publicar los datos confidenciales robados de estudiantes y empleados. Y lo cumplieron pasado la fecha del ultimátum. Mientras tanto en Costa Rica… meses después del ataque cibernético tras el cual se declaró una emergencia nacional, el gobierno ha hecho una declaración clara: no pagará el rescate. Entre otras muchas consecuencias adversas, el ataque afectó a las nóminas e incorporaciones de profesores del sistema nacional de educación.
Truhanes, timadores y otros estafadores. En las universidades de Estados Unidos cientos de estudiantes son víctimas de estafas cibernéticas cada año. Entre las más comunes están las falsas ofertas de empleo. Los estudiantes reciben un mensaje con una oferta de trabajo. Responden. Incluso se entrevistan con los malhechores. Reciben entonces la buena noticia de haber sido seleccionados. Proporcionan sus datos personales y bancarios, datos que los ciber criminales pueden usar para suplantar sus identidades y pedir préstamos o devoluciones de impuestos en su nombre. Después se les informa de que deben comprar un ordenador y un teléfono y para ello enviar dinero rápidamente mediante una aplicación, últimamente Cash App. Los timadores envían un cheque para que el estudiante lo deposite en su cuenta. Unos días después de depositarlo el banco informa al incauto de que el cheque es falso. Ya es demasiado tarde. La víctima ha perdido su dinero y debe congelar su cuenta bancaria y su historial crediticio para evitar males mayores.
¿Quién regula la ciberseguridad en Estados Unidos? Es una pregunta excelente de dudosa respuesta. La regulación de la ciberseguridad en Estados Unidos es sectorial y confusa. La Securities and Exchange Commission supervisa el comportamiento de los mercados de valores y la cotización de empresas en ellos, la Federal Trade Commission regula los servicios a los consumidores, Health and Human Services vela por la información médica y de salud, el Department of Education protege los datos educativos, el Department of Defense vigila los contratos de suministro armamentístico. Éstas y otras son algunas de las entidades públicas que emiten regulaciones parciales y limitadas para las organizaciones que gestionan datos confidenciales.
Frente a la ausencia de regulaciones específicas, las aseguradoras ofrecen ciber seguros a cambio de que las organizaciones cumplan condiciones estrictas: autentificación multifactorial, gestión de identidades, encriptación de datos, formación continua de empleados, filtros de correo, verificación de servicios de correo electrónico, y un largo y variable compendio de requisitos onerosos.
Con legislación y regulación todavía incipientes, los tribunales a veces sorprenden con sus sentencias. Un jurado federal condenó recientemente a Joseph Sullivan, ex Chief Security Officer de Uber, por obstrucción en la investigación de la Federal Trade Commission y por no alertar a las autoridades de un delito serio. El ex CSO de Uber podría ser condenado a ocho años de prisión, cinco por el primer delito y tres por el segundo, a resultas de dos filtraciones de datos diferentes en el 2014 y el 2016.
Lo cierto es que la mejor defensa contra las estafas por correo electrónico, página web, aplicaciones de mensajería, llamadas telefónicas o videollamadas es una tecnología antigua que conocemos bien en España: NEOTLQR. No Es Oro Todo Lo Que Reluce. El pensamiento crítico es la primera y última línea de defensa que todos debemos practicar. Si algo parece demasiado bueno para ser cierto, probablemente no lo sea: bueno o cierto. Este principio es especialmente importante para los empleados que custodian la información confidencial de sus empresas. Cuando los ciber criminales suplantan la identidad de un supervisor para solicitar fondos o información, los empleados tienen la obligación de verificar que la solicitud es legítima. De hecho, el FBI recomienda que las organizaciones, tanto públicas como privadas, publiquen políticas de recursos humanos con este requisito. Cuando al famoso criminal Willie Sutton le preguntaron por qué robaba bancos, su respuesta fue simple: porque es donde está el dinero. Nuestra información es dinero, es la moneda de internet, y por eso los cibercriminales intentan robarla.
El Dr. Pablo Molina es el VicePresidente Asociado y Chief Information Security Officer de Drexel University en Philadelphia. Es profesor en Georgetown University de ética y gestión tecnológica y de seguridad informática en la Universidad Rey Juan Carlos. Es Director Ejecutivo de la Asociación Internacional de Etica y Tecnología Aplicada. Es miembro del consejo directivo del Centro de Política Digital de Inteligencia Artificial. De joven, fundó una empresa de tecnología en Madrid, donde fue editor jefe de revistas informáticas, escribió varios libros sobre tecnología, y fue profesor de la Escuela de Hacienda Pública.
Debe estar conectado para enviar un comentario.