Sistemas de Gestión de la Seguridad de la Información

Desde el principio de la humanidad, las personas siempre han tenido un deseo inherente de recolectar, guardar, procesar y utilizar la información de su alrededor para su beneficio, de acuerdo a esta necesidad hemos ido desarrollando tecnología que permite que estos procesos se hagan de manera más eficiente y rápida, llegando al punto de que todo esto lo podemos hacer en un instante; junto con esto, se ha creado otro grupo de personas con cierto interés en obtener información para sus propios fines de manera ilícita.

La humanidad ha tenido que desarrollar protección para contrarrestar a estos “criminales de la información” creando hardware, software y procesos que permiten darle a la información confidencialidad, integridad y disponibilidad; a pesar de eso, nunca hemos estado 100% seguros pues siempre habrá algún error que pone en riesgo nuestra información.

Los criminales antes mencionados, se benefician de estos errores y han ido evolucionando desde ser una sola persona hasta crear organizaciones complejas, que a su vez se han transformado para abrirse camino de lo ilegal a lo legal, llegando al punto de diluir estas líneas (mercado gris), para mejorar su rendimiento ante el costo- beneficios que obtienen al ejecutar sus “talentos informáticos”.

Los ciberdelincuentes buscan y encuentran o crean vulnerabilidades en programas de software que deberían proteger nuestros datos, estas vulnerabilidades las usan para crearse un modelo de negocios y venderlas a un mercado interesado.

“Luis Isselin (Director General de Tenable México) comentó que una vulnerabilidad puede ser una debilidad en una red derivada de sus sistemas o dispositivos conectados la cual un atacante puede explotar de varias maneras, incluida la ejecución de acciones no autorizadas y/o la obtención de información confidencial” (Cortés, M. 2010)1 

Un mercado de vulnerabilidades se basa prácticamente en que los hackers rentan sus servicios a grandes empresas para encontrar vulnerabilidades y explotarlas en el software creado por las mismas y de esta manera tratar de reducir el riesgo.

A este mercado también podemos introducir  a los gobiernos ya que de igual manera contratan a los hackers para poner a prueba sus propios sistemas de seguridad, hasta aquí todo parecería marchar bien, sin embargo, hay un lado oscuro  en el que se cree que las mismas agencias de exploits venden las vulnerabilidades encontradas a otros particulares de manera ilegal y los gobiernos usan a sus mismos hackers para tratar de de vulnerar la seguridad de otros países y a hasta a sus propios ciudadanos.

Un ejemplo de esto podemos encontrarlo en el  MIT Technology Review donde se menciona que la empresa Hacking Team “vendió a unos 70 clientes, su programa RCS, incluidos gobiernos que le reportaron aprox. unos 40 millones de euros” , el programa RCS es un programa espía que roba información de los dispositivos a través de correos electrónicos comunes (Cox,J. 2015) 2

A este paquete de mercado de vulnerabilidades le podemos agregar la ingeniería social puesto que los hackers aprovechan el poco conocimiento de las personas sobre seguridad informática y las reacciones que tienen ante este, para tratar de vulnerar los sistemas de una empresa

Este mercado se creo en un principio con el fin de reforzar la seguridad informática, encontrando las vulnerabilidades antes que los ciberdelincuentes, de manera que se desalentaran los ataques pues el costo de vulnerar los sistemas se elevaría y esto lo haría menos redituable, sin embargo, con el tiempo se desvirtuó el propósito de este mercado ya que las mismas agencias de exploit que lo estaba apoyando empezaba con las malas prácticas.

El modelo de negocio de las vulnerabilidades, en cuanto a beneficios económicos varía, ya que se paga dependiendo del exploit que se encontró y/o vendió puesto que algunos programas de software son más fáciles de hackear que otros.

...