38 DOSSIER Harvard Deusto Márketing y Ventas

DOSSIER 39

SI QUIERE MEJORAR
LA CIBERSEGURIDAD,
PIENSE COMO
UN ‘HACKER’
Los ciberataques son una amenaza cada vez más habitual y
preocupante. A fin de combatir este riesgo, las empresas
necesitan entender las tácticas que emplean los ‘hackers’
y también su forma de pensar

José Esteves
Profesor adjunto de Sistemas de Información e
Innovación Digital en el IE Business School

Elisabete Ramalho
Jefa de Estrategia para Clientes Programáticos en
Europa, Oriente Medio y África de Google Inc.

Guillermo de Haro
Profesor adjunto de Economía Aplicada en la
Universidad Rey Juan Carlos
 DOSSIER

s
40 Harvard Deusto Márketing y Ventas

i alberga alguna duda sobre

la necesidad de adoptar
una nueva mentalidad en
materia de ciberseguridad
corporativa, las noticias del
día llegan cargadas de
pruebas que invitan a la
reflexión. Recientemente,
Yahoo, que se encontraba inmersa en una tran-
sacción programada para vender sus negocios
principales a Verizon, hizo público que había
sido objeto de dos de las mayores sustracciones
ilegales de datos de la historia, con el robo de
información confidencial de más de mil millo-
nes de cuentas de usuarios en 2013 y de qui-
nientos millones en 2014. Además de sacar a
relucir la vulnerabilidad de Yahoo en materia
de ciberseguridad, los ataques provocaron
también que la adquisición programada por
parte de Verizon sufriera un retraso y que la
Comisión de Bolsa y Valores de Estados Unidos
investigara la difusión pública de las sustrac-
ciones ilegales. Este incidente suscita una va-
riedad de preguntas sobre el modo en que las
ciberamenazas afectan a los tratos de fusión y
adquisición, y podría tener un impacto en las
directrices y reglamentos en torno a la difusión
pública de este tipo de ataques. rridos en estos últimos años hacen tambalear
En años recientes, la lista de organizaciones la confianza de clientes, accionistas y emplea-
cuyos sistemas internos han sido “hackeados” dos. Y ninguna industria parece estar a salvo
ha crecido rápidamente. Además de cientos de de ellos, con independencia de las medidas
pequeñas y medianas empresas, esta lista aho- específicas que cada empresa use para defen-
ra también incluye a compañías tan conocidas derse.
como Target, JPMorgan Chase, Home Depot, En consecuencia, se espera que los gastos en
Sony Pictures, Ashley Madison o la ya mencio- ciberseguridad aumenten rápidamente. Gart-
nada Yahoo. En muchos casos, las brechas de ner Inc., empresa de investigación y asesoría
ciberseguridad se prolongan durante semanas, informática, estimó que el gasto mundial en
o meses, antes de ser descubiertas. El tiempo seguridad de información alcanzaría los 81.000
que se tarda en darles respuesta puede ser un millones de dólares en 2016 y que podría crecer
factor crucial para su atenuación, determina- hasta los 101.000 millones de dólares en 2018,
ción de origen e incluso para los futuros pro- siendo el área relacionada con las pruebas de
blemas legales que se deriven del plazo de di- seguridad donde se produciría el mayor creci-
fusión pública. Además de resultar muy miento. Desgraciadamente, la inversión en
costosos para las empresas, los ataques ocu- medidas de seguridad solo es una parte de la
 ciberseguridad, clave para un márketing excelente
respuesta; las metodologías tradicionales tie-
nen sus límites. Para ser eficaces, los ejecutivos
a cargo de la ciberseguridad deben ajustar su
forma de pensar y volverse tan abiertos y flexi-
bles como les sea posible.
A fin de ayudar a las empresas a responder
a nuevos tipos de amenazas, hemos desarro-
llado un esquema basado en nuestra compren-
sión del proceso que utilizan los hackers para
atacar a una organización. Diseñamos este
esquema en colaboración con ciberdelincuen-
tes versados usando el método Delphi, una
técnica estructurada que se basa en el conoci-
miento y en las opiniones de los expertos. Tam-
bién nos basamos en entrevistas en profundi-
dad a más de veinte hackers experimentados
(ver recuadro “Sobre el estudio”).
DOSSIER 41
LA “MENTALIDAD ‘HACKER’”
Si las organizaciones pretenden reducir el ries-
go de ataques externos de hacking necesitan
comprender la “mentalidad hacker”. Dicho de
otra forma, necesitan comprender bien la ex-
periencia de aquellos ciberdelincuentes de más
éxito a fin de anticiparse y enfrentarse a los
ataques. A modo de ejemplo, algunas compa-
ñías como Facebook Inc. y Microsoft Corp. han
llegado a contratar a hackers.
Para pensar como lo haría uno de ellos de-
bemos conocer los rasgos que caracterizan a
los más competentes y avanzados. Los cibera-
tacantes tienden a ser muy hábiles e inteligen-
tes y disfrutan asumiendo riesgos. Suelen tener
formación como informáticos y llevar muchos
años siendo tildados de geeks. Los que tienen
más éxito poseen buenas habilidades sociales
Los ciberatacantes
tienden a ser muy hábiles
e inteligentes y disfrutan
asumiendo riesgos
y comunicativas, que les permiten manipular
a las personas para que les revelen información
esencial o lleven a cabo acciones cruciales.
Muchos hackers se sienten atraídos por la
posibilidad de ganar miles o, posiblemente,
millones de dólares. Están acostumbrados a
operar en el mercado negro y a cometer críme-
nes muy lejos de donde viven. En general, dis-
frutan de la descarga de adrenalina que reciben
al asumir grandes riesgos. De hecho, muchos
hackers poseen nervios de acero y casi nada les
asusta. Aunque en el pasado era habitual que
trabajaran de forma independiente, pocos de
ellos operan solos en la actualidad. A menudo
forman parte de un grupo de hacking organi-
zado, donde son miembros de un equipo que
proporciona servicios ilegales especia- ➤ ➤ ➤
42 DOSSIER Harvard Deusto Márketing y Ventas
Las compañías pueden ayudar a su propia
protección adoptando un proceso iterativo y
adaptativo y llevando a cabo regularmente un
‘footprint’ de alto nivel de sus sistemas
➤ ➤ ➤ lizados, como el fraude de tarjetas de
crédito o de préstamos, el robo de propiedad
intelectual o de información de identificación
personal, el robo de identidad o la falsificación
de documentos.
Proteger por completo los datos de una em-
presa no es tarea fácil. Dan Chenok, antiguo
presidente del Consejo Asesor sobre Seguridad
y Privacidad de Información del Instituto Na-
cional de Normas y Tecnología de Estados Uni-
dos, afirmaba que “la única forma de proteger-
se de los ataques al 100% es apagar los
ordenadores”. Sin embargo, aprender a pensar
como un hacker puede ayudar a que nuestra
organización sepa de antemano qué es lo que
podría hacer un pirata informático y tome me-
didas para reducir este tipo de riesgos. Así pues,
¿qué es una “mentalidad de hacking” y cómo
debería influir en la forma de enfocar la ciber-
seguridad por parte de las organizaciones?
Hemos descubierto que los hackers poseen,
de hecho, dos mentalidades diferentes duran-
te las distintas fases de un ataque: explorado-
ra y explotadora (ver figura). En las fases ini-
ciales de un ataque suelen usar una
“mentalidad de exploración”, que combina un
pensamiento reflexivo e intuitivo y que se ba-
sa en la experimentación intensiva. Por ejem-
plo, un hacker experimentado no atacará un
nuevo sistema que acaba de ser activado por
la empresa. Preferirá esperar y seguirá bus-
cando el eslabón más débil (como un provee-
dor, un nuevo empleado o una situación que
no cumpla los estándares de seguridad de la
organización). Una vez han logrado acceder al
sistema, pasan a una “mentalidad de explota-
ción” para alcanzar sus objetivos (por ejemplo,
adquirir la mayor cantidad posible de infor-
mación que luego puedan revender de forma
lucrativa). Esta estrategia de exploración se-
guida de la de explotación suele comprender
cuatro pasos; los dos primeros se centran en
la exploración, mientras que el tercero y el
cuarto enfatizan la explotación:
1
Paso 1: identificar
vulnerabilidades
Los hackers son pacientes, estudiosos y listos.
Si creen que nuestra empresa vale la pena ser
atacada, la examinarán en profundidad bus-
cando puntos vulnerables, inspeccionando la
información de red, la información organiza-
tiva y las políticas de seguridad. Este proceso
de recogida de información se conoce entre los
hackers como footprinting. También es posible
que estudien a nuestros proveedores y a otros
contratistas con quienes trabaja nuestra em-
presa, además de nuestras filiales. Antes de
lanzar un ciberataque, trazan un mapa de la
red y de los sistemas objeto del ataque y toman
nota de todos los agujeros y vulnerabilidades,
de puntos de entrada potenciales y de cualquier
mecanismo de seguridad que pueda ser un es-
collo. En esta fase, la información referente a
los nombres de los servidores, las direcciones
IP y las cuentas de usuario puede ayudarles a
preparar el ataque. Como ya se ha señalado, los
 ciberseguridad, clave para un márketing excelente
DOSSIER 43

figura 1 CÓMO ENFOCAN UN ATAQUE LOS ‘HACKERS’

Para protegerse, las empresas necesitan comprender cómo trabajan los hackers. Nuestro estudio sugiere que los ataques
de estos ciberdelincuentes suelen conllevar cuatro pasos: identificar vulnerabilidades, escanear y poner a prueba,
obtener acceso y mantener el acceso. Los dos primeros enfatizan especialmente una “mentalidad de exploración” en los
hackers, mientras que el tercero y el cuarto conllevan “explotar” de forma eficiente el acceso obtenido de forma ilícita.

EXPLORACIÓN EXPLOTACIÓN

1. 2. 4.
3.
Identificar Escanear Mantener
Obtener
vulnerabili- y poner a el acceso
Fases del prueba
acceso
dades
ataque

Diseño del ataque • Experimental • Procedimental

Rol del conocimiento • Obtener conocimientos prácticos • Usar los conocimientos prácticos

Objetivo de la acción • Eficacia • Eficiencia

Competencias • Creatividad • Resolución de problemas

requeridas • Tenacidad • Adaptabilidad
• Persistencia • Concentración en los resultados
• Curiosidad • Planeamiento y organización
• Observación • Análisis
• Pensamiento crítico

hackers también intentan interactuar con
miembros de la empresa que puedan estar en
posesión de información crítica que resultaría
difícil de obtener en circunstancias normales
y que puede ayudarles a obtener acceso a los
sistemas de la organización.
En esta fase, las características más impor-
tantes del hacker son la curiosidad, la paciencia
y las habilidades comunicativas y sociales. Re-
conociendo esto, debemos hacer que estas ca-
racterísticas jueguen a favor de la empresa:
necesitamos sentir curiosidad por nuestros
sistemas y el modo en que estos se relacionan
con cualquier vulnerabilidad. En 2014 se infor-
mó de que JPMorgan Chase & Co., uno de los
mayores bancos de Estados Unidos, había su-
frido un ciberataque que comprometía los da-
tos de 76 millones de hogares y de 7 millones
de pequeños negocios. Si bien la información
de acceso, las contraseñas, las identidades de
los usuarios, sus fechas de nacimiento y sus
números de Seguridad Social no se vieron com-
prometidos en este ciberataque, sí se vio ex-
puesta información que podría ser usada para
el robo de identidad, como nombres, direccio-
nes de correo electrónico, direcciones postales
y números de teléfono. ¿Cómo pudo pasar algo
así? La mayoría de bancos usan una autentifi-
cación bifactorial, que combina contraseñas
estáticas con códigos generados de ➤ ➤ ➤
44 DOSSIER Harvard Deusto Márketing y Ventas
➤ ➤ ➤ forma dinámica por dispositivos físi-
cos. Por desgracia, el equipo de seguridad in-
formática de JPMorgan no actualizó uno de los
servidores de red que aplicaban la autentifica-
ción bifactorial, lo que convirtió al banco en
vulnerable. Los hackers se sirvieron de esta
vulnerabilidad, además de las credenciales
robadas de un empleado del banco, para acce-
der a unos noventa servidores dentro de la em-
presa.
Las compañías pueden ayudar a su propia
protección adoptando un proceso iterativo y
adaptativo y llevando a cabo regularmente un
footprint de alto nivel de sus sistemas. También
necesitan asegurarse de que sus empleados
estén bien informados sobre las políticas acer-
ca de compartir información, y debería ofre-
cérseles recordatorios periódicos sobre la va-
riedad de formas de obtener información que
conocen los hackers. Por ejemplo, si un desco-
2
nocido empieza a interactuar amistosamente
con el empleado de un banco, quizá su propó-
sito no sea tan amistoso.
Paso 2: escanear
y poner a prueba
Después de que un hacker haya entrado en
nuestra red, las vulnerabilidades de las aplica-
ciones que se ejecutan en nuestros sistemas
pueden convertirse en futuras vías de acceso
no autorizado. Una vez han accedido, suelen
usar herramientas para escanear las aplicacio-
nes ejecutadas en el sistema de una empresa.
De forma acumulativa, las pequeñas vulnera-
bilidades en materia de seguridad y las defi-
ciencias de diseño pueden llevar a graves agu-
jeros de seguridad. Para proteger nuestra
empresa, deberíamos identificar las vulnera-
bilidades potenciales después de haber creado
un footprint de nuestros sistemas. Es necesario
 ciberseguridad, clave para un márketing excelente
examinar cada elemento (hardware, software y
protocolos) de la red de la empresa. A la hora de
poner a prueba la seguridad de nuestra red, de-
bemos evaluar los casos de uso y de mal uso des-
de tantos ángulos como sea posible y llevar a
cabo pruebas de penetración en nuestras aplica-
ciones asumiendo el rol de usuarios expertos (o,
mejor aún, de hackers) y no de usuarios medios.
No llevar a cabo este tipo de medidas podría
exponernos a un ciberataque. Esto es lo que le
ocurrió en octubre de 2015 a TalkTalk Telecom
Group PLC, uno de los mayores proveedores de
servicios telefónicos y de banda ancha del Rei-
no Unido. La sustracción ilegal de datos expu-
so los registros de más de ciento cincuenta mil
clientes. Tras el accidente, la empresa perdió
clientes y recibió una multa de 400.000 libras
por parte del gobierno del Reino Unido, que
criticó que TalkTalk no hubiera aplicado me-
didas básicas en materia de ciberseguridad,
3
tales como actualizaciones de software y mo-
nitorización regular de los sistemas, lo que
facilitó el acceso a los hackers.
Paso 3: obtener acceso
Entre los factores que influyen en la probabili-
dad de que un hacker obtenga acceso no auto-
rizado a un sistema concreto, se cuentan la
arquitectura y configuración del sistema, el
nivel de habilidad del hacker y el nivel inicial
de acceso que este pueda obtener. Por ejemplo,
los hackers, a menudo, contactan con las orga-
nizaciones usando el teléfono, mediante una
campaña de phishing por e-mail, a través de un
mensaje de correo electrónico falso o sirvién-
dose de mensajes instantáneos, en los cuales
le piden a un individuo sus credenciales de ac-
ceso y contraseñas, normalmente fingiendo
ser alguien que posea credibilidad (un directi-
vo de la empresa o un técnico del servicio de
asistencia). En Target Corp., empresa minoris-
ta con sede en Minneapolis, los hackers acce-
dieron a la red corporativa usando credencia-
les robadas a un proveedor externo que había
ofrecido servicios de aire acondicionado. Lue-
go instalaron software malicioso (comúnmen-
te llamado malware) para desviar información
sobre clientes desde las redes de la empresa y
desde el sistema de puntos de venta de más de
mil ochocientas tiendas físicas en Estados Uni-
dos. El malware que usaron se encuentra dis-
ponible en los foros de cibercrímenes por unos
dos mil dólares. Los hackers habían explorado
DOSSIER 45
una variedad de formas de acceder al sistema
de Target antes de identificar la vía de entrada
a través del proveedor. Una vez dentro de la red
de Target, obtuvieron acceso a las cajas de las
tiendas.
Las tácticas de los ciberdelincuentes de Tar-
get eran poco habituales. En 1995, en Anthem
Inc., una de las mayores aseguradoras médicas
de Estados Unidos, los hackers utilizaron una
contraseña y datos de acceso robados para
sustraer ilegalmente hasta 80 millones de re-
gistros con información personal sobre clientes
y empleados, incluyendo al CEO de la empresa.
Una vez dentro de la red, obtuvieron informa-
Los cargos más altos
deben transmitir
el mensaje de que
“nosotros”, como
empresa, debemos ser
más seguros, para
aumentar así la
probabilidad de que
la plantilla se involucre
ción personal referente a números de Seguri-
dad Social, fechas de cumpleaños, direcciones
postales, direcciones de correo electrónico e
información relacionada con el empleo (inclu-
yendo datos sobre los ingresos). Toda esta in-
formación puede llegar a ser bastante valiosa
en el mercado negro porque puede ser usada
en el robo de identidades.
A fin de proteger nuestra empresa, necesi-
tamos pensar en cómo podría un hacker obte-
ner acceso a los sistemas de nuestra organiza-
ción, basándonos en la información recopilada
en los dos primeros pasos. Mientras que ambos
fueron diseñados para identificar vulnerabili-
dades en materia de seguridad, este tercero va
dirigido a explotarlas o a lo que en el mundo de
los hackers se conoce como owning the system,
o apropiarse del sistema.
El 5 de febrero de 2016, unos hackers envia-
ron e-mails con enlaces de malware a emplea-
dos del Centro Médico Presbiteriano de Ho-
llywood en Los Ángeles. Cuando un empleado
hizo clic en uno de ellos, el sistema se ➤ ➤ ➤
46 DOSSIER Harvard Deusto Márketing y Ventas
➤ ➤ ➤ bloqueó y desactivó la comunicación
electrónica del hospital. Durante más de una
semana, los hackers tuvieron acceso ilimitado
a los datos del centro médico (aunque se comu-
nicó que no se habían sustraído datos). La pe-
sadilla solo terminó después de que el hospital
pagase un rescate de 40 bitcoins, que en ese
momento tenían un valor de 17.000 dólares,
tras lo cual enviaron a su “víctima” una clave
digital de desencriptación para desbloquear el
sistema.
Los hackers tienden a servirse tanto de cono-
cimientos técnicos avanzados como de habili-
dades comunicativas para burlar la seguridad
de la empresa. Si nuestro nivel de conocimiento
sobre las tácticas habituales de los hackers es
igual de avanzado, podemos montar una defen-
sa eficaz. Un elemento crucial de esta defensa
debería ser una campaña de concienciación que
alerte a nuestros empleados, contratistas y
usuarios externos sobre las estrategias habitua-
les de los ciberatacantes.
4
Paso 4:
mantener el acceso
Los hackers intentan mantener la apropiación
del sistema y conservar su acceso para ataques
futuros sin ser detectados. A veces “aseguran”
el sistema frente al personal de seguridad (o,
incluso, frente a otros hackers) garantizando su
acceso exclusivo y subiendo un trozo de código,
conocido como backdoor, o puerta trasera.
Cuando los hackers se han “apropiado” de un
sistema, pueden usarlo como campo base para
lanzar nuevos ciberataques. Un sistema apro-
piado a menudo se denomina “sistema zombi”.
En las fases finales de un ataque, los hackers
suelen cubrir sus huellas para evitar ser detec-
tados por el personal de seguridad y eliminan
las pruebas del “hackeo” para evitar consecuen-
cias jurídicas. Los más expertos usan en bene-
ficio propio sus conocimientos técnicos sobre
el modo en que los sistemas detectan la activi-
dad ilícita. Así pues, resulta crucial que las or-
ganizaciones estén atentas ante cualquier ac-
 ciberseguridad, clave para un márketing excelente
tividad sospechosa en los registros del sistema
y se aseguren de que los sistemas de monitori-
zación estén siempre actualizados.
PONER A TRABAJAR LA
MENTALIDAD ‘HACKER’
Después de familiarizarse con los requisitos
básicos, ¿qué deberían hacer las empresas pa-
ra proteger a su organización de los ciberata-
ques? Creemos que deben aplicarse prácticas
eficaces en materia de ciberseguridad desde
los cargos más altos hasta los más bajos. A fin
de apoyar esta estrategia, hemos elaborado
cinco recomendaciones:
1 INVOLUCRAR A LOS ALTOS DIREC-
TIVOS. Un apoyo continuado por parte
de la Alta Dirección resulta crucial a la hora de
garantizar que existan planes de acción para
reducir el riesgo de ciberataques. Los cargos
más altos deben transmitir el mensaje de que
“nosotros”, como empresa, debemos ser más
DOSSIER 47
seguros, aumentando así la probabilidad de que
la plantilla se involucre. Por muy competente
que sea el Departamento Informático a nivel
técnico, no puede cambiar la visión de la em-
presa. Los altos directivos son quienes deben
pedir un compromiso absoluto, llevar a cabo
reuniones periódicas con los responsables téc-
nicos y transmitir el mensaje desde arriba.
Para conseguir que los responsables de to-
mar decisiones a nivel ejecutivo se involucren,
es importante subrayar el papel de la ciberse-
guridad a la hora de abordar los riesgos y las
necesidades del mercado, la privacidad, la
tecnología y la normativa. Para lograrlo, los
directivos quizá deban explicar que la estra-
Es importante
crear alianzas con
otras empresas y
con las agencias
gubernamentales.
El sector privado y el
público necesitan unirse
para abordar el desafío
de la ciberseguridad
tegia de ciberseguridad posibilita los objeti-
vos y las iniciativas empresariales, y tal vez
deban subrayar que una gestión eficaz en
materia de seguridad puede beneficiar los
intereses de todas las partes interesadas
(clientes, unidades de negocio, empleados y
auditores) de un modo rentable.
También resulta crucial mostrar que la ren-
tabilidad de la empresa a largo plazo y su resi-
liencia están supeditadas a su seguridad. Las
empresas deberían crear un plan de comunica-
ción sobre seguridad para toda la organización
que incluyese contenido especialmente dirigido
a los ejecutivos y que se actualizase con regu-
laridad. En el material deberían incluirse direc-
trices y procesos para gestionar y comunicar
las brechas de seguridad que puedan surgir.
2 DISEÑAR UNA ESTRATEGIA DE
SEGURIDAD. Como ya hemos señala-
do, la tecnología por sí sola no basta. Las em-
presas deben abordar la ciberseguri- ➤ ➤ ➤
48 DOSSIER Harvard Deusto Márketing y Ventas
➤ ➤ ➤ dad tanto desde una perspectiva
tecnológica como desde una perspectiva no
tecnológica. En muchas organizaciones, el
factor humano de la ciberseguridad es uno de
sus eslabones más débiles. Los expertos en la
materia recomiendan un modelo operativo de
seguridad “centrado en las amenazas” que
aborde la seguridad desde la perspectiva del
hacker. Esto exige examinar la ciberseguridad
desde dentro: comprender qué hacen los em-
pleados, los socios empresariales estratégicos
y los proveedores externos dentro de sus orga-
nizaciones, así como el modo en que estos in-
teractúan con activos de gran valor, como los
sistemas, las instalaciones y los datos. Tam-
bién exige examinar la ciberseguridad desde
fuera: considerar qué es lo que podría ver un
enemigo al buscar vulnerabilidades desde el
exterior. Esto último suele llamarse “darle la
vuelta al mapa”, y su objetivo es garantizar una
estrategia integral para la planificación de la
misión y ayudar a la empresa a prepararse pa-
ra las acciones que pueda llevar a cabo un ene-
migo en el futuro.
Los ejecutivos y los gestores de información
deberían examinar el modo en que se gestio-
nan en la actualidad los sistemas de informa-
ción para poder evaluar su nivel de cibersegu-
ridad. Asimismo, deberían determinar el
Sobre el estudio
Llevamos a cabo un estudio a través de Internet que consistió en realizar dos
rondas de encuestas a 23 hackers experimentados mediante un proceso anónimo
de construcción de consenso. La lista de hackers se obtuvo usando variedad de
métodos: monitorización de hackers que ofrecían sus servicios de hacking y de
ciberseguridad en Internet, personas que habían sido mencionadas por los medios
de comunicación, contactos a través de otros hackers, recomendaciones por parte
de directores de Seguridad que conocían a hackers e individuos conocidos por el
equipo de investigación. Pedimos a los participantes que etiquetaran y priorizaran
los pasos para realizar con éxito un ciberataque. Posteriormente llevamos a cabo
17 entrevistas en profundidad a expertos de paneles para conocer en mayor detalle
las diferentes fases de los ciberataques. El artículo está basado en los conocimien-
tos obtenidos a partir de nuestro estudio, a partir de las entrevistas y a partir de
nuestra propia experiencia en materia de ciberseguridad y de tecnología digital y de
información. A la hora de llevarlo a cabo, usamos el método Delphi, utilizado desde
los años 50 del siglo pasado para poner a prueba hipótesis u obtener conocimientos
del mundo real, que se basa en exponer a expertos a varias rondas iterativas de
cuestionarios. Nos servimos de esta estrategia para descubrir los métodos usados
por los hackers y para definir en qué debería consistir una estrategia adaptativa
de ciberseguridad.
grado de seguridad con el que debería contar
cada activo. Necesitan evaluar si poseen las
competencias adecuadas y si tienen el diseño
organizativo adecuado para anticiparse y res-
ponder a potenciales amenazas para la ciber-
seguridad.
A la hora de desarrollar estrategias, las em-
presas deben decidir entre desarrollar capaci-
dades internas plenas en materia de seguridad,
confiar en expertos externos o adoptar una
estrategia híbrida. Según Stephan Somogyi,
director de Productos de Seguridad y Privaci-
dad de Google Inc., “ninguna empresa puede
hacerlo todo bien”. Para muchas organizacio-
nes, Somogyi recomienda recurrir a contratis-
tas externos, de modo que la empresa pueda
“centrarse en sus competencias básicas al tiem-
po que aprovecha la escala y las capacidades
de quienes se especializan en la seguridad de
la información”.
3 DESARROLLAR UNA CONCIENCIA
EN MATERIA DE SEGURIDAD. Una
formación eficaz para concienciar sobre la se-
guridad es algo esencial. Incrementar la sensi-
bilización en esta materia resulta crucial, y
cada parte de la organización debería familia-
rizarse con las buenas prácticas en dicho ám-
bito. Todos los empleados que tengan acceso a
información confidencial, pertenezcan estos
a los departamentos de Ventas, Márketing,
Recursos Humanos, Finanzas o a la Alta Direc-
ción –incluso el personal temporal–, deberían
recibir formación de concienciación sobre ci-
berseguridad. Las empresas deberían fomentar
conductas y procesos que integren la seguridad
de la información en las rutinas diarias. Y de-
berían asegurarse de explicar por qué esto es
importante. Algunas organizaciones están
abordando la formación en materia de ciber-
seguridad de un modo parecido a la formación
ética y a la formación sobre el cumplimiento
de las normativas. Unas pocas, como Salesfor-
ce.com, están intentando mejorar la conducta
vinculada a la seguridad con programas de
gamificación. Según Patrick Heim, director del
área de Confianza de la empresa, los empleados
que participaron en su programa de gamifica-
ción en materia de seguridad “tenían un 50%
menos de probabilidades de hacer clic en un
vínculo de phishing y un 82% más de probabi-
lidades de denunciar un correo electrónico de
phishing”.
 ciberseguridad, clave para un márketing excelente
DOSSIER 49

4 CREAR ALIANZAS. Las recientes sus-

tracciones ilegales de datos demuestran
que los hackers expertos pueden replicar los
ataques que han tenido éxito. Después de iden-
tificar una amenaza para la seguridad y explo-
tarla, a veces vuelven a usar esa metodología
para atacar a otro objetivo. Dada esta posibili-
dad, es importante que el personal de seguri-
dad informática se coordine y comparta infor-
mación dentro de su organización, dentro de
su industria e, incluso, con sus competidores.
Por lo tanto, es importante crear alianzas con
otras empresas y con las agencias guberna-
mentales. El sector privado y el público nece-
sitan unirse para abordar el desafío de la ciber-
seguridad. La Organización del Tratado del
Atlántico Norte (OTAN) ha hecho un llama-
miento a sus miembros para que establezcan
alianzas para combatir el cibercrimen. Si se
unen, las empresas privadas podrán desarro-
llar más estrategias de ciberseguridad integra-
les de forma más económica.

5 ESTAR AL DÍA DE LAS BUENAS

PRÁCTICAS Y SEGUIRLAS. Muchas
de las recientes sustracciones ilegales de datos
demuestran que las políticas en materia de
seguridad carecen de sentido, a menos que las
empresas cuenten con una forma rigurosa y
continuada de monitorizar su cumplimiento.
Las amenazas para la ciberseguridad evolucio-
nan al mismo tiempo que se identifican nuevas
vulnerabilidades en materia de seguridad y se
crean nuevos tipos de malware. A veces, inclu-
so, antiguas amenazas que se creían bajo con-
trol vuelven a asomar con más fuerza. La única
forma de afrontar los riesgos es mantener ac-
tualizados los procesos de defensa, formar
continuamente al personal, estar al corriente
del estado en que se encuentra la seguridad de
la información y usar herramientas de control
para detectar, analizar y responder proactiva-
mente a los incidentes.
Si bien los hackers siempre buscan nuevas
formas de obtener acceso ilícito, las organiza-
ciones también están mejorando continua-
mente en el ámbito de “conocer a sus enemi-
gos”. Algunas llegan al extremo de invitar a los
hackers a identificar vulnerabilidades. En mar-
zo de 2016, por ejemplo, el Departamento de
Defensa de Estados Unidos lanzó un programa
de búsqueda de errores informáticos de cuatro
semanas de duración en el que se pedía a los
participantes que usaran sus competencias en
materia de hacking para acceder a algunas pá-
ginas web públicas seleccionadas, pertenecien-
tes a dicho departamento, a cambio de premios
y de reconocimiento. Más de doscientos cin-
cuenta participantes presentaron, como míni-
mo, un informe de vulnerabilidad, y más de la
mitad de estas vulnerabilidades fueron “legí-
timas, únicas y con derecho a una recompensa”,
en palabras del entonces secretario de Defensa
Ashton B. Carter. Otras organizaciones, inclu-
yendo al MIT, también otorgan recompensas
por encontrar errores informáticos.
No hay duda de que nuevas estrategias –y “Si quiere mejorar la
ciberseguridad, piense como
nuevas amenazas– seguirán evolucionando. un ‘hacker’”. © Massachusetts
La ciberseguridad es como el juego del gato Institute of Technology, 2017.
Todos los derechos reservados.
y del ratón, en el que el gato siempre hace el Distribuido por Tribune Content
primer movimiento. Sin embargo, cuanto Agency, LLC. Este artículo ha
sido publicado anteriormente
mayor sea nuestra capacidad de pensar como en MIT Sloan Management
Review con el título “To
hackers, mejor podremos proteger a nuestra Improve Cybersecurity, Think
organización. ■ Like a Hacker”.