El caso México
A diferencia de Estados Unidos y Europa, en México el tema del espionaje industrial dentro de los ambientes corporativos es vago y desinteresado.
“En México, yo conozco sólo una o dos empresas que realmente tienen áreas de contrainteligencia, pero el resto de los negocios, a regañadientes, tienen una buena estrategia de defensa y protección”, explica Juan Carlos Carrillo, experto en seguridad de la información.
Algunos de los análisis más recientes aseguran que en el país, una de cada diez empresas es afectada por el espionaje corporativo, 97% de los casos queda impune, casi 60% tiene una justificación económica, y 80% de las veces son los empleados los responsables del ilícito.
Symantec estima que, en México, los delitos informáticos —entre los que incluyen el robo de propiedad intelectual empresarial— generaron pérdidas durante 2012 por más de 30,000 millones de pesos (mdp) y afectaron a más de 14 millones de mexicanos. Aun así, no existe una medición directa del costo del espionaje corporativo en el país.
Frente a eso, el secreto está en aprender a clasificar la información. “Si voy a compartir planes de expansión, lanzamientos de nuevos productos o estados financieros, simplemente no lo hago a través de correos electrónicos o servicios de mensajería instantánea. Tampoco almaceno esa información en servidores públicos”, recomienda Andrés Velázquez, de MaTTica.
Antes de pensar en programas de contrainteligencia o hackers entrenados, los especialistas recomiendan a las organizaciones tomar en cuenta el elemento humano. Después de todo, Bradley Manning y Edward Snowden no vulneraron el Pentágono ni la NSA, respectivamente, como si fueran hackers ocultos en algún sótano clandestino. Tenían acceso a la información, la copiaron y la entregaron.
En este entorno, los especialistas reconocen que las empresas mexicanas todavía están lejos de pensar en el desarrollo de áreas de contrainteligencia, y coinciden en que los escándalos de espionaje gubernamental podrían ser el inicio de nuevas regulaciones nacionales e internacionales en la materia. “A nivel macro, es evidente que varios países tomarán medidas preventivas y de contrainteligencia a partir de ahora. Sin embargo, en un nivel más micro, creo que no veremos efectos generales hasta dentro de uno o dos años. Es muy pronto para saber si los actos de Snowden cambiaron algo”, explica Carrillo.
Es probable que las filtraciones del ex contratista de la NSA no hayan despertado una nueva conciencia de seguridad y prevención dentro de las organizaciones. Existe la posibilidad de que la mayoría de los gobiernos pronto olviden —e incluso perdonen— el espionaje del que han sido objeto a manos de Estados Unidos.
Sin embargo, Daniel Castro, de ITIF, no se equivoca en señalar que en la era digital existe un elemento que pocas organizaciones están tomando en consideración: “Vivimos en medio de una carrera armamentista cibernética. Sin duda, eso no es bueno para nadie”. Espionaje, un enemigo común en la guerra cibernética
Estados Unidos es señalado como el gran espía del planeta, pero lo cierto es que el espionaje se ha convertido en una práctica común de los gobiernos y también de las empresas. En México, cualquiera es un blanco perfecto.
Por Carlos Fernández de Lara
Hoy para hacer espionaje industrial no se necesita de especialistas ni mucho menos de un equipo de inteligencia avanzado. Con la expansión de Internet, las redes de comunicación, los dispositivos móviles y los sistemas de cómputo, el espionaje dejó de ser exclusivo de unos cuantos grupos selectos con capacidades técnicas, económicas y operativas, para convertirse en una actividad que hasta la persona menos capacitada podría realizar o contratar.
“El tema no debe sorprender a nadie. Las dos actividades más antiguas de las sociedades humanas son la prostitución y el espionaje, y no creo que eso vaya a cambiar”, asegura Andrés Velázquez, presidente de la firma de análisis Digital Forense, MaTTica.
Según el experto, al filtrar información sensible y confidencial de la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés), Edward Snowden provocó que dicho país rompiera la regla de oro de cualquier espía: “Que no te atrapen”, y colocó en el centro del escenario la facilidad que la tecnología ha dado para espiar y comprometer a personas, negocios y países enteros.
De acuerdo con el reporte The Economic Impact of Cyber Espionage, de la firma de seguridad McAfee y el Centro de Estudios y Estrategias Internacionales (CSIS, en inglés), las pérdidas generadas por el robo de propiedad intelectual o información sensible a nivel global, podría acercarse a los 300,000 mdd al año.
“Creo que muchas organizaciones estaban muy conscientes de la existencia del espionaje corporativo mucho antes de que temas como Wikileaks o Prism estallarán. La diferencia es que, en la actualidad, no sólo tienen que protegerse de su competencia, sino también de gobiernos y grupos criminales”, menciona Daniel Castro, analista Senior de la Fundación de Tecnologías de la Información e Innovación (ITIF).
Castro, explica que el nuevo escenario del espionaje cibernético incrementará la inversión en los programas de seguridad y contrainteligencia dentro de las organizaciones durante los próximos cinco años. Y según datos de la firma de consultoría Gartner, en 2013, la industria de seguridad y protección de información registrará ventas por más de 67,000 mdd, y se espera que para 2016 el mercado tenga una facturación superior a los 86,000 mdd.
Tom Scholtz, vicepresidente de Investigación de Gartner, explica que, en 2020, seis de cada diez dólares del presupuesto de seguridad de las organizaciones será para el desarrollo de estructuras de contrainteligencia para detectar y responder a incidentes de espionaje y ciberataques.
En pocas palabras, el espionaje de empresarios, organizaciones y gobiernos se ha convertido en una de las actividades más costosas y rentables de siglo xxi.
Hackers
En 2009, cuando Dell recién había contratado a Edward Snowden para trabajar como contratista privado para la NSA, se lanzó una ola de ciberataques contra diversas empresas estadounidenses como Google, Cisco, Yahoo, Juniper Networks y Adobe Systems.
El fenómeno, bautizado por McAfee como “Operación Aurora”, era el trabajo de espionaje industrial a escala global más avanzado y conocido hasta ese momento. Las investigaciones revelaron que los ataques provenían de China.
Durante los siguientes cuatro años, Estados Unidos acusaría constantemente al gobierno chino de una serie de ataques cibernéticos contra su infraestructura nacional, la Casa Blanca, empresas de energía, medios de comunicación y firmas de tecnología. Las tensiones políticas escalaron al grado de que Estados Unidos recomendó a las organizaciones de su país no trabajar con la firma de telecomunicaciones y redes china Huawei, por su supuesta cercanía con la potencia asiática.
Fue durante ese periodo que Kevin Mandia, uno de los forenses digitales más reconocidos de Estados Unidos, vio cómo su empresa se transformó de una compañía mediana a una firma de ciberseguridad y contrainteligencia global. Mandiant comenzó a atraer clientes al ofrecer servicios de respuesta y contraofensiva a los intentos de ciberespionaje corporativo.
En 2011, la firma recibió una inyección de capital de Kleiner Perkins Caufield & Byers por más de 70 mdd, que le permitió expandir sus líneas de negocio y talento humano. Como resultado de esto, las ventas de Mandiant crecieron 76% en poco más de 12 meses, al rebasar los 100 mdd.
Sin embargo, contratar a un equipo de hackers listos para responder y reaccionar ante cualquier amenaza no es un servicio que cualquier organización pueda costear. Algunas firmas de contrainteligencia y ofensiva cibernética llegan a cobrar entre 300 y 650 dólares por hora de consultoría.
A principios de julio de 2013, Forbes informó que una serie de organizaciones comenzaron a migrar su información corporativa de servicios estadounidenses como Amazon y Azure de Microsoft, a centros de datos en Suiza, particularmente con Artmotion, el proveedor de hospedaje más grande del país.
Mateo Meier, director de la compañía, menciona que en los últimos meses la firma registró un aumento en sus ingresos de 50% como respuesta a la llegada de nuevos clientes en busca de opciones para almacenar datos sensibles fuera de Estados Unidos.
Algo similar ocurrió con el proveedor de cifrado InfoGuard, que en octubre pasado reportó un incremento de 20% en sus ventas. Thomas Meier, CEO de la organización, aseguró que “más de la mitad de los clientes” mencionaron el programa de espionaje de la NSA, PRISM, como el principal motivo para buscar el cifrado de su información.
El caso México
A diferencia de Estados Unidos y Europa, en México el tema del espionaje industrial dentro de los ambientes corporativos es vago y desinteresado.
“En México, yo conozco sólo una o dos empresas que realmente tienen áreas de contrainteligencia, pero el resto de los negocios, a regañadientes, tienen una buena estrategia de defensa y protección”, explica Juan Carlos Carrillo, experto en seguridad de la información.
Algunos de los análisis más recientes aseguran que en el país, una de cada diez empresas es afectada por el espionaje corporativo, 97% de los casos queda impune, casi 60% tiene una justificación económica, y 80% de las veces son los empleados los responsables del ilícito.
Symantec estima que, en México, los delitos informáticos —entre los que incluyen el robo de propiedad intelectual empresarial— generaron pérdidas durante 2012 por más de 30,000 millones de pesos (mdp) y afectaron a más de 14 millones de mexicanos. Aun así, no existe una medición directa del costo del espionaje corporativo en el país.
Frente a eso, el secreto está en aprender a clasificar la información. “Si voy a compartir planes de expansión, lanzamientos de nuevos productos o estados financieros, simplemente no lo hago a través de correos electrónicos o servicios de mensajería instantánea. Tampoco almaceno esa información en servidores públicos”, recomienda Andrés Velázquez, de MaTTica.
Antes de pensar en programas de contrainteligencia o hackers entrenados, los especialistas recomiendan a las organizaciones tomar en cuenta el elemento humano. Después de todo, Bradley Manning y Edward Snowden no vulneraron el Pentágono ni la NSA, respectivamente, como si fueran hackers ocultos en algún sótano clandestino. Tenían acceso a la información, la copiaron y la entregaron.
En este entorno, los especialistas reconocen que las empresas mexicanas todavía están lejos de pensar en el desarrollo de áreas de contrainteligencia, y coinciden en que los escándalos de espionaje gubernamental podrían ser el inicio de nuevas regulaciones nacionales e internacionales en la materia. “A nivel macro, es evidente que varios países tomarán medidas preventivas y de contrainteligencia a partir de ahora. Sin embargo, en un nivel más micro, creo que no veremos efectos generales hasta dentro de uno o dos años. Es muy pronto para saber si los actos de Snowden cambiaron algo”, explica Carrillo.
Es probable que las filtraciones del ex contratista de la NSA no hayan despertado una nueva conciencia de seguridad y prevención dentro de las organizaciones. Existe la posibilidad de que la mayoría de los gobiernos pronto olviden —e incluso perdonen— el espionaje del que han sido objeto a manos de Estados Unidos.
Sin embargo, Daniel Castro, de ITIF, no se equivoca en señalar que en la era digital existe un elemento que pocas organizaciones están tomando en consideración: “Vivimos en medio de una carrera armamentista cibernética. Sin duda, eso no es bueno para nadie”.
El caso México
A diferencia de Estados Unidos y Europa, en México el tema del espionaje industrial dentro de los ambientes corporativos es vago y desinteresado.
“En México, yo conozco sólo una o dos empresas que realmente tienen áreas de contrainteligencia, pero el resto de los negocios, a regañadientes, tienen una buena estrategia de defensa y protección”, explica Juan Carlos Carrillo, experto en seguridad de la información.
Algunos de los análisis más recientes aseguran que en el país, una de cada diez empresas es afectada por el espionaje corporativo, 97% de los casos queda impune, casi 60% tiene una justificación económica, y 80% de las veces son los empleados los responsables del ilícito.
Symantec estima que, en México, los delitos informáticos —entre los que incluyen el robo de propiedad intelectual empresarial— generaron pérdidas durante 2012 por más de 30,000 millones de pesos (mdp) y afectaron a más de 14 millones de mexicanos. Aun así, no existe una medición directa del costo del espionaje corporativo en el país.
Frente a eso, el secreto está en aprender a clasificar la información. “Si voy a compartir planes de expansión, lanzamientos de nuevos productos o estados financieros, simplemente no lo hago a través de correos electrónicos o servicios de mensajería instantánea. Tampoco almaceno esa información en servidores públicos”, recomienda Andrés Velázquez, de MaTTica.
Antes de pensar en programas de contrainteligencia o hackers entrenados, los especialistas recomiendan a las organizaciones tomar en cuenta el elemento humano. Después de todo, Bradley Manning y Edward Snowden no vulneraron el Pentágono ni la NSA, respectivamente, como si fueran hackers ocultos en algún sótano clandestino. Tenían acceso a la información, la copiaron y la entregaron.
En este entorno, los especialistas reconocen que las empresas mexicanas todavía están lejos de pensar en el desarrollo de áreas de contrainteligencia, y coinciden en que los escándalos de espionaje gubernamental podrían ser el inicio de nuevas regulaciones nacionales e internacionales en la materia. “A nivel macro, es evidente que varios países tomarán medidas preventivas y de contrainteligencia a partir de ahora. Sin embargo, en un nivel más micro, creo que no veremos efectos generales hasta dentro de uno o dos años. Es muy pronto para saber si los actos de Snowden cambiaron algo”, explica Carrillo.
Es probable que las filtraciones del ex contratista de la NSA no hayan despertado una nueva conciencia de seguridad y prevención dentro de las organizaciones. Existe la posibilidad de que la mayoría de los gobiernos pronto olviden —e incluso perdonen— el espionaje del que han sido objeto a manos de Estados Unidos.
Sin embargo, Daniel Castro, de ITIF, no se equivoca en señalar que en la era digital existe un elemento que pocas organizaciones están tomando en consideración: “Vivimos en medio de una carrera armamentista cibernética. Sin duda, eso no es bueno para nadie”. 
