Publicado en El Comercio el Miércoles 14 de Julio del 2010
Amenazas de hackers en las compañías
“Su red de seguridad es un desastre —decía el mensaje—, pero podemos ayudarles. Por US$100.000 en efectivo azeguramos k su pekeño hospital no sufra ningun desastre”. “Ridículo —pensó Paul Layman, tras eliminar el e-mail—. ¡Las cosas que pretenden conseguir las personas en Internet!”.
Un viernes por la tarde, Paul, el CEO de Sunnylake Hospital, estaba revisando tranquilamente su buzón de entrada cuando se encontró con este correo electrónico mal escrito enviado por un desconocido. Desde hacía cinco años, su misión había consistido en introducir tecnología de punta en el pequeño hospital.
Paul estaba convencido de que el cambio de los registros médicos en papel a los registros electrónicos mejoraría la calidad de la atención para los pacientes del hospital y había contratado a Jacob Dale como director de Tecnologías de la Información (TI) de Sunnylake. El éxito de la iniciativa de los registros electrónicos había logrado que este centro de salud comunitario común y corriente se convirtiera en un modelo a seguir para pequeños hospitales de todas partes. Ahora, todo el personal médico usaba lectores electrónicos para ver los archivos de los pacientes.
La amenaza implícita en el e-mail no le produjo ansiedad alguna a Paul. Aun cuando sabía que ningún sistema informático era perfecto, tenía confianza en que la red no estaba expuesta a un peligro real y menos de un extorsionador que ni siquiera tenía las habilidades básicas para tipear bien. Durante el fin de semana, ni se acordó del asunto, pero a las ocho de la mañana del lunes recibió otro correo de la misma persona que, en la línea del asunto, solo decía: “Le advertimos”. El día más difícil de la carrera de Paul Layman estaba a punto de comenzar.
ACCESO DENEGADO
“¡Tenemos un paciente que va a cirugía!”“, gritó el médico. “¡Necesito esos registros ahora!”“. La interna a quien le estaba gritando apenas quitó la mirada del aparato que tenía en sus manos. Le quitó el lector de registros electrónicos e introdujo impacientemente su código de acceso. En la pantalla apareció el mensaje: “Acceso denegado”. “¿Qué diablos?”, espetó. “¡Consulté los archivos de este paciente ayer!”.
Resistiéndose al impulso de golpear el aparato contra la mesa, el médico caminó con furia por el pasillo hacia el departamento de TI. A medida que el médico se acercaba, podía ver que cada uno de sus colegas llevaba el aparato mostrando el mismo mensaje: “Acceso denegado”.
Minutos más tarde, Jacob estaba en la oficina de Paul cuando llegó el tercer e-mail. En completo silencio, ambos miraron fijamente la pantalla de la computadora de Paul. “Apostamos a que kieren lo suyo de buelta. probablemente deberian haverlo protejido mejor. por la pequeña suma de US$100.000 aremos que esto termine”, se leía. “¿Qué diablos está sucediendo? —exclamó Paul—. En lugar de asaltar a un par de personas por US$50 cada una, estos tipos están asaltando a la organización completa. Nos piden US$100.000 para la herramienta de descifrado”. El programa que solo permitía ingreso selectivo a los registros había sido alterado para no permitir acceso alguno. Incluso se les impedía el acceso a los administradores del sistema. Paul se dio cuenta en ese terrible instante que el departamento de TI de Sunnylake simplemente no era lo suficientemente grande o sofisticado como para manejar un problema tan devastador. Aunque los registros completos respaldados en la red hacían posible que la información de los pacientes no se perdiera totalmente, en ese momento Sunnylake no tenía cómo entregar estos datos.
Después del último e-mail de los hackers, el departamento de TI había logrado restaurar el sistema dos veces, pero este se había caído minutos después. A pesar de los mejores esfuerzos del departamento, los hackers obtenían acceso nuevamente.
Si le pagaba a los hackers por esta vez, Sunnylake podría hacer que la seguridad fuera la prioridad y garantizar que nunca más ocurriera algo parecido. Paul se dio vuelta, suspirando. ¿Acaso realmente estaba considerando pagar dinero y aceptar la extorsión de estos criminales? ¿Cómo debería Sunnylake lidiar con este ataque? Tres comentaristas ofrecen sus consejos expertos.
Per Gullestrup, presidente y CEO de Clipper Projects A/S en Copenhague. Por desagradable que parezca, yo sugeriría que Sunnylake Hospital pague el rescate exigido por los extorsionadores. Esto supone, por cierto, que la amenaza es real y que existe un riesgo comprobable para la salud de los pacientes. Tal vez esa sea la única forma en que Paul Layman pueda mantener a los pacientes de Sunnylake fuera de peligro.
¿Por qué recomendaría esto? Como CEO, tuve que lidiar con una situación análoga en noviembre del 2008, cuando piratas somalíes en el golfo de Adén atacaron un barco de US$15 millones de propiedad de Clipper Group. Los piratas retuvieron a su tripulación de 13 miembros secuestrados durante 71 días. Yo lideré al equipo de respuesta de emergencia.
Lidiar con la extorsión no es parte de la descripción del puesto de un CEO. En nuestro caso, los criminales tenían todas las de ganar. Ningún CEO puede resistir indefinidamente frente a las constantes y duras críticas de parientes desesperados, una prensa ansiosa y políticos exigentes; simplemente no es sostenible. Al final, no tuvimos otra opción que pagar los millones de dólares exigidos por los piratas (los seguros cubrieron el costo).
En el caso de Paul, el primer paso y el más importante debería ser contratar a un buen negociador, emocionalmente neutral, quien pueda abrir un diálogo con los hackers y mantenerlos conversando, de modo que sea poco probable que causen más daños. A medida que el proceso avanza, el negociador puede pasar información entre las dos partes, mientras el equipo de TI de Jacob Dale trabaja para lograr que el sistema opere nuevamente y luego refuerce los planes de seguridad y emergencia que debió haber tenido desde el inicio. Mientras tanto, la policía y los especialistas forenses pueden tratar de dar con los criminales y detener su negocio. Una vez que las negociaciones están en marcha, todo se convierte en un juego de ajedrez.
Richard L. Nolan, del Foster School of Business de la University of Washington. Este caso muestra lo vulnerables que son todas las organizaciones, grandes o pequeñas, ante esta clase de ataque. Todas las organizaciones dependen de la tecnología; ninguna está inmune a los millones de personas alrededor del mundo que buscan trastocar sus operaciones; a veces solo por diversión y con frecuencia por razones malévolas o en beneficio personal. Esto significa que el CEO y el consejo de administración son responsables de mostrar buen juicio en los negocios para protegerse contra la amenaza.
El primer error de Paul fue eliminar el e-mail original. Todas las amenazas deberían ser tomadas en serio; de haber estado más atento, le habría informado a Jacob Dale inmediatamente.
Además, las organizaciones necesitan contar con un plan cuando no tienen seguridad del grado de compromiso de sus sistemas. Sunnylake debería haber contado con un sistema de respaldo viable y completamente probado para asegurar un servicio ininterrumpido de atención a los pacientes y proteger a todos los afectados.
Cuando los hospitales del CareGroup, un equipo de profesionales de atención de salud al este de Massachusetts, experimentaron una situación similar en el 2002, el CEO, el director de informática, los médicos, enfermeras y el personal de apoyo operaron igual a como lo habían hecho en la década de los 70, antes de que el sistema informático fuera instalado. Los profesionales que recuerdan cómo era, le hicieron “coaching” a aquellos que solo dependían de las computadoras. Como le dijo el director de informática, John Halamka, al consejo de administración: “La buena noticia es que la atención a los clientes no se resintió”.
Peter R. Stephenson, presidente del Departamento de Computación y director de Seguridad de la Información de Norwich University en Northfield, Vermont. Si usted ha adornado las ventanas y puertas de su red con ajo, ha colgado espejos y crucifijos y por todas partes ha aplicado cortafuegos, antivirus y otras cosas, como si fueran agua bendita, seguramente estará protegido de los vampiros, ya sea un hacker o software malicioso (malware). Pero en este caso, no se estuvo preparado para una brecha de seguridad y algún despistado, posiblemente alguien que compró on line desde una computadora conectada a la red, pudo haber dejado entrar al vampiro. Lamentablemente, la seguridad de la información no es un tema prioritario en muchos hospitales.
Hace poco pasé frente al área de informaciones de un hospital, la que se supone debe ser atendida por un empleado. La computadora y la pantalla estaban encendidas, pero no había nadie cerca, lo que viola la ley estadounidense de protección a la privacidad de los pacientes.
En Sunnylake, el sistema siguió cayéndose porque los atacantes encontraban una nueva forma de entrar cada vez que se solucionaba el problema. Esto pudo deberse a que el malware, el programa malicioso que abrió la brecha, transmitió un mensaje de vuelta a los hackers, que permitía que estos supieran lo que hacían Jacob y su equipo. Si Paul hubiera dejado que la gente de TI supiera de las amenazas la primera vez que llegaron, se podría haber sacado el sistema de Internet, lo que hubiera impedido que un programa intruso relacionado con el ataque ingresara desde afuera.
¿Y qué pasa con los extorsionadores? Los e-mail ofrecen algunas pistas sobre sus identidades. El uso de la letra “k” como abreviación de “que” sugiere que se trata de un joven, quizás extranjero por las faltas de ortografía o un amateur que descargó el programa de ataque desde Internet. Pero también puede que los malhechores sean muy inteligentes. En todo caso, siempre es más seguro sobreestimar sus capacidades.
Incluso, puede que ni siquiera sean personas de afuera. Un empleado o paciente vengativo que pasa por una estación de trabajo encendida y desocupada puede causar mucho daño. Antes de volver a conectarse a Internet, Sunnylake debería observar qué pasa durante las 24 horas. Si los atacantes son personas internas que retuvieron el acceso al sistema, es probable que intenten ingresar nuevamente. Aun si Paul contrata a un consultor en seguridad, cosa que recomendaría, es poco probable que el hospital encuentre a los atacantes. A pesar de ello, el consultor puede ayudar a construir el perfil de los atacantes, mejorar la seguridad y capacitar al personal clave, de modo que Sunnylake pueda protegerse a sí misma en el futuro.
No hay comentarios:
Publicar un comentario