Por GEOFFREY A. FOWLER y BEN WORTHEN
Los recientes ataques de piratas informáticos a Sony Corp. y Lockheed Martin Corp. acapararon los titulares. Pero lo que ocurrió el año pasado en City Newsstand Inc. apenas trascendió.
Sin que el dueño, Joe Angelastri, se enterara, ladrones cibernéticos colocaron un software en las cajas registradoras de sus dos tiendas de revistas en Chicago que enviaba a Rusia los números de las tarjetas de crédito de sus clientes. MasterCard Inc. exigió una investigación, a cuenta de Angelastri. El calvario le costó cerca de US$22.000.
Su experiencia pone de relieve una creciente amenaza para las pequeñas empresas de Estados Unidos. Los hackers se están expandiendo más allá de las multinacionales para incluir cualquier tipo de negocio que almacene datos en formato electrónico. Las pequeñas empresas, que están dando sus primeros pasos hacia los sistemas informatizados y archivos digitales, se convirtieron en el blanco principal de los piratas informáticos.
"¿Quién querría meterse con nosotros?", pregunta Angelastri, quien afirma que la intervención redujo sus ingresos anuales a la mitad. "No operamos un banco".
Con limitados presupuestos y pocos expertos técnicos en el equipo, la seguridad de las pequeñas empresas suele ser débil. Los delincuentes cibernéticos tomaron nota de ello. En 2010, el Servicio Secreto de Estados Unidos y la unidad de análisis forense de la telefónica Verizon Communications Inc., que investiga los ataques a redes, respondieron a un total de 761 filtraciones de datos, frente a 141 en 2009. Del total, 482, o 63%, fueron en empresas con 100 empleados o menos. Visa Inc. calcula que alrededor de 95% de las filtraciones de datos de tarjetas de crédito que se detectan cada año ocurre en pequeñas empresas.
La situación no difiere mucho en América Latina, opina Daniel Monatersky, abogado argentino especializado en delitos informáticos y director de Identidad Robada, una organización sin fines de lucro que brinda información y asesoramiento contra la delincuencia informática. Sin embargo, señala que no hay cifras de denuncias ni información oficial consolidada al respecto.
"Es alarmante que no haya datos, porque además de los delitos en sí, sin datos no es posible generar campañas de concientización acerca de la importancia de la seguridad informática", sostiene Monatersky.
En Brasil, la unidad de delitos cibernéticos de la Policía Federal es la que lidia con las invasiones de hackers en los sistemas tanto del gobierno como de empresas privadas. Carlos Eduardo Miguel Sobral, jefe de la unidad, dijo que no tiene registro de ningún ataque exitoso en las bases de datos de cualquier empresa en el país, pero confirmo que las pequeñas empresas son "más vulnerables" cuando se pasan a un sistema informático pero no tienen cómo invertir en seguridad cibernética.
La piratería en pequeñas empresas "es un problema prolífico", asegura Dean Kinsman, un agente especial de la división cibernética de la Oficina Federal de Investigaciones de EE.UU. que cuenta con más de 400 investigaciones activas sobre ese tipo de delitos. "Esto se pondrá mucho peor antes de que mejore".
En el tiempo que lleva intervenir los sistemas de una gran empresa como Citigroup Inc., un hacker puede robar datos de decenas de pequeños negocios y no ser detectado, dice Bryce Case Jr., un ex pirata informático que invadió varios sitios web gubernamentales y corporativos hace una década, y que ahora dirige un foro en línea para hackers llamado Digital Gangster. Ahora que más empresas pequeñas usan computadoras, "el dolor de cabeza vale la pena", dice. "Incluso una pizzería tiene direcciones, nombres y datos de tarjetas de crédito".
El hecho de que haya tantos tipos de amenazas a la seguridad hace que a las pequeñas empresas les resulte difícil protegerse. En abril, el FBI emitió una alerta sobre un tipo de ataque en el que los hackers roban los datos de inicio de sesión de un banco en línea y los utilizan para transferir fondos de la cuenta de la empresa. Eso es lo que le pasó a Lease Duckwall en la tarde del 2 de noviembre, cuando alguien se registró en la cuenta bancaria de su concesionario Green Ford Sales Inc., en Kansas. El hacker añadió nueve empleados a la nómina de la empresa y les transfirió US$63.000.
Duckwall se enteró de las transferencias a las 7:45 de la mañana del día siguiente. Llamó a su banco, que congeló sus fondos en seis casos. Sin embargo, tres pagos ya habían sido retirados por los falsos empleados y el dinero había sido transferido fuera del país.
Los costos de una filtración de datos puede arrastrar a una pequeña empresa a la quiebra. En 2006 y 2007, la caja registradora computarizada del restaurante Burger Me LLC, de Bellingham, fue hackeada. Los delincuentes hicieron un sinnúmero de cargos fraudulentos a las tarjetas de crédito de los clientes.
Tras el incidente, una empresa de tarjetas de crédito cerró la cuenta de Burger Me. A finales de 2008, las multas y pérdidas de ventas por no poder aceptar tarjetas de crédito llevaron a su propietario a endeudarse tanto —US$12.000 sólo en costos de investigación e indemnización—, que tuvo que cerrar su hamburguesería.
El ciberataque "me costó el sueño", dice Rich Griffith, de 47 años. El pirata que robó la información nunca fue identificado.
En general, los ataques por motivos financieros dependen de códigos informáticos que los hackers instalan en las computadoras de las víctimas, a menudo como archivos adjuntos o enlaces en mensajes de correo electrónico enviados a los empleados. Si bien estos programas malintencionados son bien conocidos por los expertos en seguridad, los hackers los reajustan con frecuencia para hacerlos indetectables por los antivirus.
Las empresas más grandes, aunque no son inmunes, hacen un mejor trabajo para protegerse. La telefónica AT&T Inc., por ejemplo, tiene un centro de mando con pantallas gigantes que controlan todo el tráfico de su red. Otras grandes empresas de datos monitorean las señales de advertencia, tomando nota cuando un empleado pasa su tarjeta de identificación en Nueva York para ingresar a la red de California, por ejemplo.
A las empresas más pequeñas les cuesta más entender la amenaza contra la seguridad. Una encuesta de 2010 realizada por la Federación Nacional de Minoristas de EE.UU. y First Data Corp. a minoristas pequeños y medianos reveló que 64% creía que sus negocios no eran vulnerables al robo de información y sólo 49% había evaluado sus sistemas de seguridad.
Angelastri dice que todavía sigue pagando los US$22.000 del costo de las investigaciones y mejoras en su sistema de seguridad. City Newsstand registra cerca de US$1 millón en ventas anuales.
—Matías Maciel, Nonna Fomenko y Di Pinheiro contribuyeron a este artículo.
No hay comentarios:
Publicar un comentario