Eduardo Godoy, territory manager de Symantec: “Nos falta entender la seguridad como un tema preventivo”

“A nivel de empresas nos sacamos nota azul, porque no debe quedar empresa que no tenga lo mínimo en seguridad digital. En el mundo doméstico estamos al debe, la gente tiende a no usar seguridad, a no tenerla y eso tiene implicancias en la empresa, porque con la movilidad la gente se lleva el computador a la casa. Es como tomar a una persona sana y llevarla a un lugar con enfermos”, explica y agrega, “si queremos ver estos dos ambientes de forma independiente, la gente que trabaja en empresas también son usuarios domésticos. También se da mucho la práctica que la gente toma un archivo Excel que está trabajando en la oficina, se lo envía por correo a su cuenta personal para terminarlo en la casa, termina y se lo envía por correo de vuelta y ahí no sabemos si ese Excel que partió limpio y protegido desde el computador de la empresa vuelve limpio”.

Godoy se refirió al Informe Anual de Riesgos en Internet que emite Symantec y destaca que el estudio reveló que los ciberdelincuentes se han profesionalizado. “Cuando tu te enfrentas con que quienes te quieren atacar son profesionales de esto, ya no te puedes proteger de manera amateur, tienes que profesionalizar tu defensa también y ahí hay nuevas técnicas, nuevos productos que van a la par de este avance. El año pasado se batió el record de más de un millón de malware nuevos por día. Malware se entiende cualquier cosa no sana. Cuando hay más de un millón al día hay que tomárselo en serio”.

Hoy los ciberdelincuentes tienen objetivos diferentes a los de hace unas décadas, cuando buscaban principalmente dañar un computador o hacerse famosos. “Los ataques son de una forma distinta, ahora buscan ganar dinero”, explica Godoy quien es tajante al señalar, “todavía nos falta avanzar, tomárselo más en serio. Aún somos reactivos en Chile, las empresas se acuerdan de nosotros cuando han tenido un problema y no se trata, precisamente, de un hackeo en el que te botan la página web, sino en el que se hacen pasar por otro cliente, le sacan dinero a tus clientes, te secuestran computadores, te roban información sensible. Estamos siendo reactivos, nos falta entender la seguridad como un tema preventivo”.

Actualmente existen dos técnicas que han causado grandes dolores de cabeza a las empresas, se trata de Phishing(1) y Spoofing(2). Para hacer frente a estas prácticas Eduardo Godoy explica algunas consideraciones necesarias. “Moverse en el mundo digital no es distinto a moverse en el mundo real. La gente debe recordar aquellas reglas básicas que nos daban cuando éramos niños, no converses con extraños, no subas al auto de un extraño, no entregues información personal y eso trasladarlo al mundo digital, no abras correos de gente que no conoces, no abras el adjunto de un correo desconocido, etc. Todavía hay gente que sufre consecuencias porque abrió el correo del banco de Nigeria porque ganó la herencia del Príncipe, incluso hay gente que los responde. Si te llega un email de tu banco en el que te pide que le des tu clave secreta, no hay que hacerlo. Es sentido común y pasa por algunas barreras, hay que educar, porque es básico”, señala.

Estas buenas prácticas pueden ser reforzadas con un sistema que ofrece Symantec para que las empresas se hagan auto phishing con el fin de detectar las debilidades de los trabajadores. “Podemos crear un template con los logos de la empresa o con otros conocidos para los trabajadores. La empresa determina a quienes les enviamos el correo, por ejemplo, a toda la plana ejecutiva. El email dice ‘su perfil está en el top ten de los más visitados, pinche aquí’. Lo que uno debería hacer es colocar el mouse sobre la dirección para leerla, generalmente en la parte inferior de la pantalla, y si no es una dirección de Linkedin no debería pinchar, pero si lo haces te manda a hacer un curso de ciberconducta, porque con eso se pone en riesgo a la empresa y no sabemos que consecuencias puede tener, pero podemos ayudar a educar a los empleados a través de estos procesos”.

Otra de las soluciones tiene que ver con el análisis de información que entra y sale de la empresa. Se trata de Protección Avanzada de Ataque o ATP, que consiste en que un sistema analiza archivos sospechosos, basándose en que Symantec es la red no militar más grande del mundo en temas de seguridad. “Tenemos más de 57 millones de sensores distribuidos por el mundo captando mensajes, correos, analizando. Más del 30% de los mensajes corporativos del mundo pasa por nuestros filtros, entonces tenemos mucha información global y cuando nos llega un correo y pasa por nuestros filtros nos dice: ‘esto es un PDF que el antivirus no lo reconoce como infectado, pero tenemos antecedentes que hubo un ataque con un archivo que era un PDF que pesaba 410 KB, este pesa 410 KB’. Lo que hacemos es meterlo en un sandbox simulando ser el usuario y abro el correo y abro el adjunto, y luego reviso el computador para ver si hubo algún movimiento sospechoso. Al percatarme de esto le aviso al antivirus para que revise el computador para saber si entró algún malware. Son formas nuevas, la defensa dejó de ser genérica”, destaca Godoy.

A esto se suma la importancia que ha adquirido la certificación, ya que implica una forma de garantizar el origen de la información que recibimos. Sin embargo, el territory manager de Symantec explica, “hay mecanismos para saber que el dominio de origen es correcto, que el usuario existe, pero así y todo la educación está por sobre todo esto. Te podemos montar el mejor sistema de protección, pero la tecnología sin un nivel de educación termina siendo mal entendida. Symantec está muy preocupada de que la seguridad no signifique dificultades al momento de querer trabajar”.

Por estos días la Unión Europea discute una nueva ley de protección de datos, la cual ha sido calificada como restrictiva por algunos grupos de interés. Al respecto, Eduardo Godoy señala, “en el caso de Europa ha sido de mucho ruido que la información, en el caso de atentados, ha fluido a través de las redes sociales, que se ha filtrado información sensible. Por lo tanto, hay una tendencia a una ley más restrictiva.
Como en todos estos procesos, yo creo que hay una dialéctica en el que pasamos de un extremos a otro hasta que se va afinando”.

Godoy señala que en el caso de Chile es necesaria una ley de protección de datos, sin embargo destaca que la ley actual significa un gran avance pero aún no se han definido algunos puntos importantes.

“Debe existir una ley de protección de la data personal, pero lo que hay que discutir es ¿qué entendemos y qué queremos por data personal?, ¿mi cuenta bancaria como narcotraficante debe ser protegida? “¿Mis exámenes de sangre también lo son? Hoy son requeridos porque los compran para campañas de marketing, laboratorios, la gente quiere saber de que estoy enfermo porque eso genera dinero y no solo para venderme el remedio, también para analizar cómo se comporta la tasa de morbilidad(3) en ciertos sectores y puedo hacer mucho dinero si manejo bien esa información”.

La discusión es qué entendemos como sociedad qué es del ámbito de lo privado y qué es del ámbito de lo público”, señala y agrega que, “Chile tiene una oportunidad muy buena de generar una legislación, la tecnología hoy día está disponible y los legisladores y la gente deben involucrarse en la conversación de qué entendemos por lo privado”.

Finalmente, Eduardo Godoy se refirió a la compra de Blue Coat por parte de Symantec, luego de la venta de Veritas. “Es una señal potente al mercado. Hace un año vendimos Veritas bajo el discurso de que nos vamos a enfocar en ser una empresa netamente de seguridad. Blue Coat viene a complementar nuestro portfolio con soluciones que no teníamos. Lo que ganamos con la venta de Veritas lo estamos invirtiendo en seguridad. Entendemos que en esa especialización hay un valor agregado, nos reposiciona como la empresa de seguridad número uno a nivel mundial”, puntualiza Godoy.

—

(1) Phishing: Suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

(2) Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación.

(3) morbilidad: Proporción de personas que enferman en un lugar y tiempo determinado.