Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno

REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

Mientras estamos trabajando en nuestras oficinas, y durante un respiro en nuestro trabajo cotidiano, de repente mirando nuestro Ordenador, Smartphone/ Tablet o IPad/ IPod nos aparece un mensaje de actualización, un pedido de algún software de vinculación (Google +, Picassa, Hotmail; iTunes, Msn, etc), y como está de moda tener lo último sin meditarlo damos el ok. Aparecen varias pantallas - entre 600 y 10.000 caracteres - en las cuales tenemos kilométricos contratos con cláusulas de indemnidad, que al final solicitan “aceptar / rechazar”. Cansados de esperar, sin meditar las potenciales consecuencias y con sumo fastidio, damos el “OK, ACEPTAR”.

¿Qué ocurre entonces? Nuestros datos (edad, sexo, email, usuario de redes sociales, número telefónico, sistema con el cual opera) migran a miles de kilómetros, convirtiéndonos en un objeto pasible de ser identificado y, a partir de nuestro comportamiento (utilización de nuestro Smartphone, historial de navegación, etc.), dejamos el cyber-anomimato para ser un objetivo de ventas de miles de compañías.

Reconocemos hoy día que las empresas necesitan saber más de sus clientes, por ello la captura del metadato y la proliferación de nuevos análisis por intermedio de la big data son moda, lo que implica vulnerar permanentemente nuestra intimidad virtual. Estas prácticas cotidianas implican no sólo riesgos para nosotros, usuarios de sistemas informáticos, sino también para la totalidad de las compañías que confluyen en el éter del ciberespacio y sus diversos ecosistemas.

Para poder comprender mejor esta problemática, repasemos cuatro casos de actualidad, el Caso Cabarnak, el Celebrity Gate de Apple, el ciberataque a Home Depot y los manifestantes de Hong Kong y el troyano “Xsser m Rat”.

En el caso Cabarnak http://www.cnet.com/es/noticias/la-banda-carbanak-esta-detras-del-robo-digital-mas-grande-en-la-historia/ unos hackers, para infiltrarse en la intranet de unos Bancos, usaron correos electrónicos con phishing, atrayendo a los usuarios para abrirlos e infectar los ordenadores con malware. Después, instalaban una puerta trasera en el ordenador de la víctima basada en el código malicioso Carberp que, a su vez, dio nombre a la campaña, Carbanak. Tras hacerse con el control de la máquina comprometida, los cibercriminales la utilizaron como punto de acceso; sondearon la intranet del banco e infectaron otros ordenadores para averiguar cuál de ellos podría ser utilizado para acceder a los sistemas financieros críticos. Por intermedio de estos esquemas defraudatorios obtuvieron entre U$S 300 millones y mil millones de dólares.

En el celebrity gate de Apple (http://www.elpais.com.uy/vida-actual/se-filtro-video-jennifer-lawrence.html) se capturó la información disponible en el Icloud de los millones de usuarios, y parte de esa información, preferentemente selfies de atletas y modelos, fueron vendidas a diferentes medios del mundo. Cuando el usuario tomó nota del problema, una vez que aparecieron la fotos, el daño estaba hecho y su reparación, imposible, puesto que para ello firmamos los acuerdos de servicio que sólo protegen a las compañías (y no a los usuarios). Luego del hecho, ¿qué ocurre? Simplemente se procesa una actualización del sistema IOs 7 a 8.0.0 /1 y luego a 2. Cerramos una puerta que fue abierta, pero desconocemos cuántas otras se encuentran en idénticas condiciones.

En el ciberataque a Home Depot realizado en el invierno del 2013 (http://dinero.univision.com/economia-y-negocios/noticias-economicas/article/2014-09-18/the-home-depot-estima-que-el-ciberataque-que-sufrio-afecto-a-56-millones-de-tarjetas) fueron robados datos de 56 millones de tarjetas, lo que produjo un daño de alrededor de U$S 400 millones de dólares de diversa índole.

Por último, las protestas en Hong Kong y sus manifestantes hackeados (http://elcomercio.pe/mundo/asia/hackers-chinos-atacan-manifestantes-hong-kong-noticia-1760836 ), que impidió al resto de la población ver online las imágenes de las protestas realizadas.

Para resumir, la única defensa que poseemos ante estas problemáticas es la educación de cómo funcionan nuestros sistemas operativos y el ecosistema que los rodea, y la conciencia de que nuestros datos son valiosos y debemos preservarlos.

En el intercambio de información sensible entre organizaciones o personas con entidades gubernamentales o corporativas, los ciberdelincuentes focalizan en las deficiencias de los sistemas de defensa informática, si los tuvieran, los primeros eslabones de la cadena, que carecen de defensas ante ataques de este tipo y logran vulnerar la información en tránsito para luego utilizarla en beneficio propio.

En la actualidad la seguridad informática es un tema primordial que debería ser considerado tanto por las organizaciones como por las personas. “Tomar conciencia de que todos pueden convertirse en blanco de hackers permite prever los resguardos necesarios para evitar ser las próximas víctimas.

Como moraleja, nuestra imprudencia nos puede llegar a costar muy caro en tiempos de la tecnología de la información. Primero debemos pensar y luego actuar. El prevenir estas cuestiones e informarse permanentemente nos ayudará a mantenernos sanos y alertas ante cualquier amenaza. 

(*) El autor es Contador Público (UBA) posee una Maestría en Inteligencia y Estrategia (Universidad Nacional de la Plata-Escuela Nacional de Inteligencia), es CIA - Certified Internal Auditor (Instituto de Auditores Internos; IIA); CRMA - Certified Risk Manager  Assesment (Instituto de Auditores Internos; IIA) es QAR Quality Assurance Reviewer (Instituto de Auditores Internos; IIA) y tiene un Postgrado en Reglas Internacionales contra la Corrupción (Universidad Católica Argentina). Es auditor/ asesor de COPE BENEFICIOS MOVILES www.copebeneficios.com ; es Chief Technical Officer de Santa Fe Associates International y como Consultor Independiente es contratado por varios proyectos de fortalecimiento institucional en Latino América, financiados por USAID; BID y BM.  ExGerente de Auditoría Interna IBGSA., Ex Gerente Senior de IFPC-IGI, Ex Consultor Senior de KPMG entre otros, lleva más de 25 años en la Actividad de Auditoría Interna, Evaluación de Controles y Riesgos. Su email es

Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/

 


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2