sábado, 25 de octubre de 2014

La correcta definición del riesgo informático

La Wikipedia define el riesgo como la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades. Cuanto mayor es la vulnerabilidad, mayor es el riesgo, pero cuanto más factible es el perjuicio o daño, mayor es el peligro. La Real Academia Española de la Lengua habla del riesgo como aquella contingencia o proximidad de un daño.


Cualquiera de las dos puede aplicarse al riesgo informático, una disciplina hija de la seguridad cuya buena gestión mantiene nuestro sociedad en pie. Tanto Heartbleed, como Shellshock como POODLE son ejemplos de vulnerabilidades que han puesto en riesgo nuestros sistemas informáticos. Y todas aparecieron este mismo año, lo que podría llevar a pensar que el 2014 es por alguna razón la fecha más prolífica de la historia para la aparición de fallos críticos de seguridad. Lo cierto es que no es así, y de hecho si lo comparamos con años anteriores, se ha reducido considerablemente el número. El cambio, por tanto, viene de *una redefinición de cómo comunicar un fallo de seguridad, que ha pasado de una nomeclatura técnica (CVE-2014-4148, por ejemplo), a una más humana, más comercial, como en su momento pasara con el malware*. Ese pequeño cambio de filosofía, unido al paulativo aumento de interés por parte del usuario sobre los peligros digitales (y por tanto, a la proliferación de medios de comunicación que se suben al carro), conforman el caldo de cultivo perfecto para maximizar y amplificar el eco de estos descubrimientos, aunque no sean ni más peligrosos ni más que los de otras épocas pasadas.

Otro riesgo, esta vez que afecta al propio sistema financiero, viene de la mano de las identidades falsas, generadas de forma artificial como si fueran individuos reales, y que son utilizadas por las mafias para distintos fines. Desde el tráfico y blanqueo de dinero, pasando por la suplantación de identidades y la ofuscación del camino seguido por los ciberdelincuentes con el botín de cuentas bancarias extorsionadas. Una técnica que de nuevo, no es que haya aumentado en cantidad, sino en efectividad.

Troyanos bancarios los hay de muchos tipos, pero la manera que tienen de hacerse con el control de los sistemas de la víctima no suele ser muy diferente. Los webinject son uno de los vectores de ataque más comunes, y desde ESET, están intentando definir si existe un patrón base que serviría a los investigadores para generar en el laboratorio diferentes evoluciones del mismo y adelantarse en la medida de lo posible a las continuas nuevas versiones que aparecen en la red.

Y como estamos a Sábado, y el objetivo del fin de semana es el de relajarse, qué mejor que plantearse si nos interesa comenzar el MOOC en español sobre riesgo en la ciberseguridad industrial. Desde la plataforma de INTECO lanzan un curso dividido en siete unidades donde se analizarán los fundamentos y características de los sistemas de control industrial, así como diferentes aspectos de la ciberseguridad de los mismos.

Una buena oportunidad para dar un empujoncito al perfil profesional, o para especializarse más si cabe en esas materias que tanto nos gustan.

0 comentarios:

Publicar un comentario