Recientemente hemos sido testigos de cómo una empresa que invirtió más de 40 millones de dólares en la película "La Entrevista", ha decidido no estrenarla producto de un ataque a sus redes, donde fue comprometida junto con el guión, información confidencial de sus empleados, incluyendo su número de identificación (Seguro Social) y remuneraciones. No olvidemos que esta misma compañía fue atacada el año 2011, ocasión en que se revelaron datos de cuentas de usuarios de la consola Play Station
El año 2014 ha sido intenso en ataques a diferentes industrias, entre ellas podemos destacar los ataques con compromiso de información a Home Depot, Banco Central de Europa, JP Morgan, icloud de Apple, Dropbox y el virus Oso Energético que afectó a más de ochenta compañías de las industria petrolera y de gas en Europa. Probablemente este malware fue un importante descubrimiento en relación al ciberespionaje de infraestructura crítica de Europa, muy similar en su funcionamiento al malware Stuxnet, descubierto en el año 2010, que afectaba a equipos Windows espiando y reprogramando sistemas SCADA. Pero, ¿qué diferencia a los ataques mencionados anteriormente con el sufrido por Sony?
Hay una consecuencia de este tipo de ataque que lo hace distinto a los anteriores, pues vemos que una organización debe cambiar sus planes de negocio, como es suspender el estreno de una película por miedo a las amenazas recibidas. Esto deja en evidencia que por lo menos este año los hackers están ganando la Ciberguerra. Las empresas no han sido capaces de proveer las medidas de seguridad adecuadas que permitan no tan sólo prevenir este tipo de ataques, sino que tener respuestas de crisis satisfactorias que permitan mitigar el riesgo de ataques, administrar las vulnerabilidades y proteger su reputación.
Las lecciones que nos deja el año que se nos va, en relación a la Ciberseguridad, apuntan a la necesidad de avanzar en el entendimiento de estas amenazas y exposición a los ciberriesgos. A esto debemos sumar diversos mecanismos de privacidad de la información, administración de crisis y mecanismos de investigación ciberforense, que permitan cuantificar el impacto y mitigar los riesgos.
Probablemente, necesitemos avanzar en la regulación local relacionada a temas de confidencialidad de la información, y contar con una política de ciberdefensa a nivel país, que permita proteger nuestra infraestructura crítica.