Hoy nos hacemos eco en este blog de un artículo escrito por nuestro compañero Stephen Cobb, Security Evangelist en ESET, porque nos ha llamado poderosamente la atención: no solo por el hecho en sí, sino por sus consecuencias…
El título ya casi lo dice todo: ¿Tratar con crueldad? Pues sí, resulta que la gobernadora de Carolina del Sur ha reaccionado de forma un tanto desmesurada contra el cibercriminal que ha sido capaz de traspasar la seguridad del Departamento de Hacienda de Carolina del Sur (SCDOR) exponiendo públicamente los números de la seguridad social y otra información relativa a 3,6 millones de personas, así como 387.000 números de tarjetas de crédito y débito. Y su gobernadora, Nikki Haley, hablando con la prensa del suceso, ha manifestado en declaraciones públicas: “Quiero a esta persona estampada contra un muro… Quiero tratar con crueldad a este hombre”. Fuerte, ¿verdad?
Volveremos después a esta declaración de la gobernadora Haley en unos momentos, porque si contemplamos este suceso, que ha sido ampliamente descrito en detalle en Computerworld y en WBTV, veremos que la magnitud de la brecha de seguridad ha focalizado, de nuevo, la atención en la ciberseguridad a nivel de estado y de administraciones públicas. Y la situación que vemos no es muy halagüeña.
Las personas que están a cargo de la protección de nuestros datos, su procesamiento y almacenamiento son conocidos como CISOs, es decir, Chief Information Security Officers en inglés (Directores de Seguridad de la Información). Esta gente ha sido encuestada recientemente sobre el tema de ciberseguridad. Cuando les preguntamos si reciben el compromiso apropiado por parte de los ejecutivos así como la financiación o recursos para salvaguardar la seguridad de la información, apenas un 14% contestan afirmativamente. Incluso si tenemos en consideración que cualquiera que esté al cargo de algo normalmente siente que no tiene los recursos necesarios, el número es bastante alarmante. Y sin embargo, la respuesta es consistente con otra pregunta: el 86% de los CISOs que trabajan para los estados identifican “la falta de recursos o financiación suficiente” como una de las barreras clave para poder abordar, de la forma correcta, el problema de la ciberseguridad.
Veamos otra estadística que me ha sorprendido: la mitad de todos los CISOs tienen un equipo de cinco profesionales de la ciberseguridad o menos. Mientras que seguramente estás pensando que este número es bastante pequeño, déjame que te advierta de la fuente de estos datos: la National Association of State Chief Information Officers (NASCIO) y la firma Deloitte, que han trabajado conjuntamente en la elaboración del informe “State goverments at risk: A call for collaboration and compliance” (“Los estados en riesgo: una llamada a la colaboración y al cumplimiento”). El informe también se conoce como 2012 Deloitte-NASCIO Cybersecurity Study y está disponible para su descarga libre en formato PDF.
Creo que cualquiera que esté familiarizado con la contratación de personal en el sector privado coincidirá conmigo que media docena de personas gestionando la seguridad de millones de datos privados de un estado completo es una situación sorprendentemente desproporcionada. De acuerdo, probablemente estas personas no son las únicas que trabajan en proteger los datos –seguro que más de uno tenemos la esperanza de que cada agencia del estado dedica parte de sus recursos humanos a este fin-, pero piensa por un momento en la cantidad de datos que cada estado almacena sobre nosotros: todo tipo de información privada y confidencial de sus habitantes, incluyendo nombre, dirección, fecha de nacimiento, número de la seguridad social, número del permiso de conducir, foto, peso, color de ojos, lista de propiedades, ingresos e impuestos pagados. Casi nada, ¿verdad?
Incluso en los estados menos poblados de Estados Unidos, Wyoming y Vermont, tienen más de medio millón de residentes cada uno. Intenta comparar mentalmente los Estados a compañías hipotéticas cuyos negocios pueden significar el procesar grandes cantidades de datos privados y confidenciales de, al menos, medio millón de clientes, o de cerca de seis millones, que es la población media de los estados de US. Es duro imaginar a estas compañías trabajando en la protección de tal cantidad de datos con solo seis profesionales de la ciberseguridad. Lo que es más, otro 28% de los CISOs solo tienen entre 6 y 15 personas en el equipo. Deloitte, en el informe, señala este dato como preocupante, ya que en una compañía del sector de servicios financieros, lo típico es tener al menos una cantidad cercana a 100 personas para manejar toda la seguridad de los datos. Quizá por todo esto, aquí la noticia no es tanto el hecho en sí que te estamos contando, sino que no haya más violaciones de la seguridad en otros Estados…
Si esto te parece preocupante y quieres saber más, espera a conocer otra perla del estudio bianual de Deloitte-NASCIO, que encontramos en algunas métricas interesantes que comparan datos de 2010 y 2012. Lamentable… Una de las comparativas dice en su edición de 2010 que el 88% de los CISOs que trabajan para las administraciones públicas consideran la falta de recursos como la gran barrera de la seguridad de la información, comparado con el 86% de 2012: es una mejora, evidentemente, pero no mucho si tomamos en consideración que han pasado dos años entre uno y otro estudio.
Volviendo a Carolina del Sur, la gobernadora Haley ha revelado que sabe perfectamente de dónde proviene el ataque, pero que no lo ha compartido con su equipo de gobierno. Sin embargo, sí está dando algunas pistas, sobre todo sobre el género del atacante al afirmar: “Quiero tratar con crueldad a este hombre”. No sé si el trato con crueldad es legal en Carolina del Sur, pero sí sé que el impacto de esta brecha de seguridad en los presupuestos del Estado puede ser brutal. Tomemos de referencia y con cuidado el cálculo realizado por Larry Ponemon acerca del coste que supone cada dato personal hackeado: unos 200 dólares. Si lo multiplicamos por los 3,6 millones de registros a los que el atacante ha tenido acceso, nos encontramos con la bonita cifra de 720,000,000 millones de dólares. Para ponerlo en perspectiva: es mucho más que las partidas presupuestarias destinadas a universidades y colegios de Carolina del Sur, que fue de 568,870,814 millones de dólares para el año fiscal 2010-2011.
Por mucho que la Hacienda de Carolina del Sur diga que buena parte de la información que ha sido filtrada estaba cifrada, este hecho, por sí mismo, no les exime de los costes de notificación y de solución. Los datos robados afectan a personas que no residen ya en Carolina del Sur, pero que han estado pagando sus impuestos entre 1998 y 2012. Y esto también significa en este caso que probablemente habrá otras leyes de otros Estados que también se tengan que aplicar. Teóricamente se supone que el cifrado de la información pudiera ralentizar el proceso de convertir los datos en dinero contante y sonante mediante la suplantación de identidad o el acceso fraudulento a cuentas bancarias y similares, pero el que esto sea una realidad depende de la fortaleza del cifrado.
Es curioso: esta brecha de seguridad en la hacienda pública llega menos de diez semanas antes del comienzo del nuevo año fiscal, que entra en vigor el próximo 1 de enero de 2013. Este es el momento en el que los americanos empiezan a rellenar y a entregar sus declaraciones, muchos de ellos solicitando la devolución de los impuestos pagados de más durante el año. Así que muchas de las peticiones de devolución fiscal solicitadas electrónicamente podrían crearse con números de la seguridad social robados, lo que podría suponer un gran problema para las arcas del Estado.
Para los criminales no sería nada complicado presentar versiones falsas de declaraciones de la renta utilizando los populares formularios W-2 y simular que el empleado en cuestión ha estado pagando más impuestos de la cuenta. Muchos empleados no suelen hacer su declaración de la renta hasta varios meses después de que haya comenzado el nuevo año. Y sorprendentemente, el organismo competente (Internal Revenue Service, IRS, el equivalente a nuestro Departamento de Hacienda) no suele verificar los datos aportados a los formularios W-2 recibidos hasta que la devolución no ha sido satisfecha. En otras palabras: primero devuelven el dinero y luego lo revisan. Y si hablamos de locuras… el servicio de Hacienda podría, bajo demanda, reintegrar el dinero a una tarjeta de débito pudiendo perder, de esta manera, el rastro de los datos. De hecho, esta es la receta para el fraude, lo que está costando al Departamento del Tesoro de Estados Unidos pérdidas de millones de dólares al año. Curioso, precisamente el mismo tipo de estafa que se puede cometer con los datos robados en Carolina del Sur.
Ya, ya sé qué estás pensando: nos pilla muy lejos, es Estados Unidos… Bueno, miedo me da preguntar al Gobierno español cuánta gente trabaja en la seguridad de la información salvaguardando nuestros datos. Si tienes el dato, compártelo. Ojalá estemos en este punto mucho mejor preparados que en el otro continente.
Solo te dejo unos apuntes para que juzgues por ti mismo: el Gobierno español ha publicado en 2011 un documento titulado «Estrategia Española de Seguridad«. El documento es público y libre para la descarga. Si echas un vistazo al índice, verás que se habla de las ciberamenazas en la página 65: apenas cuatro páginas donde, después de describir los diferentes organismos que tenemos en nuestro país encargados de este tema, pasa a relatar una serie de buenos deseos donde encontramos expresiones como «Mejorar la ciberseguridad pasa por fortalecer la legislación…», «Además, hay que concienciar a las Administraciones Públicas, empresas y ciudadanos sobre el riesgo…», «(…) debemos, a nivel nacional, crear más medios y coordinarnos mejor»…
Da la sensación de que queda todo por hacer, ¿verdad? Espero que sea solo una sensación y que no tengamos disgustos por el camino…