La escuela de ciberseguridad de IBM en Cambridge, Massachusetts

Cuando Robert Mueller dirigió el FBI acuñó una frase que se ha vuelto un mantra en la ciberseguridad global: “Solo hay dos tipos de empresas: las que ya fueron hackeadas y las que lo van a ser. Pero incluso esas categorías se están fusionando en una sola: las compañías que ya fueron hackeadas y que lo serán otra vez”.

La ciberseguridad no es un juego ni se limita a riesgos terroristas ni ataques a los sistemas democráticos o de infraestructura crítica, tipo Rusia vs. Estados Unidos. Tampoco es algo que ocurre sólo en series de televisión como Black Mirror o en países extranjeros, de preferencia de Europa del Este. La ciberseguridad es la nueva realidad en una economía global y digital y abarca a ciudadanos, gobiernos y compañías.

Tuve la oportunidad de visitar el X-Force Cyber Range de IBM, la escuela de ciberseguridad de la compañía en Cambridge, Massachusetts. En estas oficinas de Kendall Square se diseñan productos comerciales y se ofrece capacitación corporativa para enfrentar riesgos cibernéticos. Esta escuela trabaja sobre escenarios catastróficos, con la intención de preparar a todas las áreas de una compañía —tecnologías de la información, recursos humanos, administración, jurídico, comunicación pública— para afrontar situaciones de urgencia cibernética. Ahí conocí el ejercicio que paso a relatar.

¿Qué es lo peor que podría pasarle a tu negocio en materia de seguridad cibernética? Pensemos la siguiente situación. Uno de tus empleados de tecnología hizo mal las cosas y dejó expuesta la base de datos de tus clientes en un servidor de Amazon. La base incluye nombres completos, direcciones, números de tarjetas de crédito y sus códigos de seguridad. Los datos han comenzado a circular en internet y los periodistas piden explicaciones. ¿Cómo debes reaccionar? ¿Avisas primero a los clientes o a las autoridades? ¿Metes la cabeza en un hoyo y esperas que todo sea un mal sueño? Veamos otro caso. Tu firma en México está a punto de comprar otra compañía fuera del país, dedicada a los servicios de salud. Un grupo de hackers vulnera tus sistemas informáticos y roba documentos confidenciales que podrían poner en riesgo la transacción y meterte en problemas con los reguladores. ¿Cómo se protege la información? ¿Es posible minimizar el daño? Una última situación: un grupo de hackers se interna en los sistemas tecnológicos de tu edificio corporativo y secuestra el funcionamiento de los elevadores. Tu edificio en la Ciudad de México tiene 30 pisos. Los hackers exigen una recompensa en bitcoins para liberar los elevadores. ¿Pagas el rescate? ¿Esperas a que los hackers se aburran y te regresen el control de tu infraestructura? Ahora imagina que todo ocurre al mismo tiempo.

Las situaciones descritas han ocurrido y volverán a ocurrir. En el X-Force Cyber Range de IBM aseguran que trabajan con casos reales de todo el mundo, México incluido. ¿Bases de datos mal protegidas? Recordemos las recientes filtraciones de Hova Health, con 2.37 millones de expedientes clínicos disponibles para cualquiera en la nube de Amazon, o de Enconta, con los estados de cuenta de sus clientes expuestos en línea. ¿Sistemas comprometidos y en poder de cibercriminales? Las vulneraciones al sistema financiero mexicano, a través de la tecnología de pagos electrónicos SPEI, son otra confirmación. Hablamos de situaciones cada vez más frecuentes. La red social Facebook, el servicio de transporte privado Uber, el servicio de buró de crédito Equifax y la consultora Deloitte son otros casos que he analizado aquí.

Pareciera que la única manera de entender la importancia de la ciberseguridad está siendo a patadas, a partir de las consecuencias de hackeos o de malas prácticas de protección cibernética. Los ataques al SPEI, por ejemplo, son “un antes y un después” en materia de seguridad cibernética en México, dijo Francisco García, líder Seguridad de IBM México. Esta vulneración a la columna vertebral del sistema bancario despertó la conciencia en el sector sobre la ciberseguridad, dijo García.

En la seguridad cibernética ocurre lo que a los motociclistas: están los que ya se cayeron y los que se van a caer. Se recomienda llevar casco y conducir con mucha precaución.

• Conocí el X-Force Cyber Range de IBM por invitación de IBM México, que pagó mi vuelo de ida y vuelta desde Ciudad de México y mi hospedaje en Massachusetts.
• Este artículo originalmente se publicó en El Economista el 21 de octubre de 2018.

Comentarios