LOS PRINCIPALES RIESGOS CIBERNETICOS EN LA GESTIÓN DOCUMENTAL

ELECTRÓNICA

Sandra Milena Díaz

Profesional
Grupo de Innovación y Apropiación de tecnologías de la Información Archivística.
sandra.diaz@archivogeneral.gov.co
Diciembre 2018

RESUMEN— La gestión documental se ha opinión de nadie más, tampoco representa la

convertido en un tema de gran importancia y opinión de la empresa para la que trabajo u
transversal para todo tipo de organización ya sea organismos a los que pertenezco.
pública o privada, por lo que uno de los
principales riesgos de todas las etapas de la I. INTRODUCCIÓN
gestión documental electrónica actualmente son
los ciberataques, ya que en los últimos años En la actualidad, la información de una empresa
hemos evidenciado numerosos ataques se encuentra más vulnerable que hace 20 años.
informáticos sofisticados a gran escala y a nivel Si bien los documentos en formato físico corrían
mundial, que han afectado la continuidad del el riesgo de ser destruidos por un desastre
negocio y reputación de entidades y natural o vulnerados por un incidente humano,
organizaciones de diferentes sectores y tamaños. nunca hubo una preocupación real y latente por
Y aunque los sistemas de gestión documental una infiltración en cada momento. Ahora las
electrónica cumplen con algunos criterios de empresas se encuentran en permanente riesgo
seguridad, integridad y disponibilidad, estos no de que un hacker obtenga su información que
son suficientes, ya que así como avanza la son los activos más importantes para estas
tecnología, avanza las diferentes modalidades y organizaciones.
software de los ciberdelincuentes para obtener
datos, información y documentos electrónicos de Aunque los ataques cibernéticos son muy
las entidades u organizaciones. frecuentes y nos muestran lo letales que pueden
ser. En la actualidad todavía hay entidades y
Área de conocimiento organizaciones que no conocen todas las
Tecnología amenazas cibernéticas que existen o los
diferentes tipos de ataques cibernéticos, por lo
Índice de Términos que no solo las entidades o empresas debe tener
Amenazas cibernéticas, documento electrónico, conocimiento en estos temas, sino también los
ciberataques, ciberseguridad y riesgos, usuarios, ya que ellos también son considerados
vulnerabilidades. como un eslabón débil de la seguridad

DISCLAIMER De acuerdo con las estadísticas e informes

Las opiniones expresadas aquí son mis propias revelados por las principales compañías de
apreciaciones personales y no representan la seguridad informática, el año 2017 fue el periodo
de los ciberataques más potentes y sofisticados seguridad e investigación de amenazas y
de los últimos tiempos, dejando grandes desarrollo de técnicas de ciberdefensa “Panda
desastres económicos, financieros, políticos y Security”, que en su informe anual 2017 indicó
sociales a nivel global. Así lo expuso una de las que se registraron 285.000 nuevos ejemplares de
compañías más importantes en ciberseguridad malware al día, que el 62% de las brechas de
“Sonicwall” en su informe “Amenazas seguridad se han explotado por técnicas de
cibernéticas” publicado recientemente [1], hacking, donde el 51% de los atacantes han
donde indica que se registraron más de 9.320 utilizado malware y el resto se han valido de
millones de ataques de malware a nivel global en otras herramientas de las que la mayoría de
el año 2017, con un incremento del 18,4% anual organizaciones no están protegidas [2]. El
de ciberataques en todo el mundo en el mismo crecimiento de las ciberamenazas sigue siendo
año y se evidenciaron 12.500 nuevas explosivo, y el costo de proteger a las empresas
vulnerabilidades y exposiciones comunes en el y a los consumidores continúa en aumento.
CVE (Common Vulnerabilities and Exposures - Mientras tanto hay grandes organizaciones que
según la NIST es una lista de vulnerabilidades de están avanzando e implementando nuevas
ciberseguridad a nivel mundial, públicamente estrategias, herramientas y recursos
conocidas, cada vulnerabilidad tiene un número fundamentales para la protección de sus redes,
de identificación, una descripción y al menos una sistemas informáticos y recursos humanos que
referencia pública. La lista CVE se utiliza en mitiguen estos riesgos, dando paso a un nuevo
numerosos productos y servicios de seguridad concepto de ‘ciber-resiliencia’, que consiste en la
cibernética de todo el mundo, incluida la base de administración de las amenazas virtuales de
datos nacional de vulnerabilidades de Estados modo tal que sea posible para las empresas
Unidos). Así mismo, la compañía Sonicwall afirma gestionar de manera efectiva los ataques
que los ataques cibernéticos se están cibernéticos [3]. Esto se refleja en los últimos
convirtiendo en el riesgo empresarial número estudios de Gartner, que indican una creciente
uno [1]. inversión a nivel mundial en productos y servicios
en seguridad informática y un aumento
considerable de la concientización entre los
empresarios sobre el impacto comercial y
devastador de los incidentes de ciberseguridad
[4]. Por otro lado, en Colombia las cifras y
estadísticas son desfavorables, ya que según el
diario ‘Portafolio’ el 59% de las empresas en
Colombia recortarían el presupuesto en las
Fig. 1. Estadística de los ataques de malware
actividades y productos para la seguridad
registrados los últimos tres años, según [1].
informática, o lo mantendrían congelado [5]. Sin
embargo, el gobierno colombiano sigue
Sin embargo, este es un panorama que muestra
trabajando en la inclusión de nuevas políticas,
los ciberataques que tuvieron éxito, infiltrándose
lineamientos y estándares sobre la seguridad
o comprometiendo a las organizaciones. Es
digital, tales como el Conpes 3854 (Consejo
importante enfatizar en las numerosas amenazas
Nacional de Política Económica y Social), que es
que se generan día a día por los
la máxima autoridad nacional de planeación, que
ciberdelincuentes y que son detectadas a tiempo
se desempeña como organismo asesor del
por los diferentes programas y compañías de
gobierno en todos los aspectos relacionados con
ciberseguridad, como por ejemplo la empresa de
el desarrollo económico y social del país y el
Modelo Nacional de Gestión de Riesgos de tiene la capacidad de generar una agresión
Seguridad Digital, el cual se analizará dentro de cibernética contra la población, el territorio y la
este artículo. organización política del estado.
Por otro lado, las principales compañías de 2) Ataque cibernético: Acción organizada y
seguridad a nivel mundial como Cisco, Fortinet, premeditada de una o más personas para causar
Checkpoint y Barracuda. Publican White papers y daño o problemas a un sistema informático a
artículos en sus blogs de los retos que deben través del ciberespacio.
afrontar las empresas en cuanto a ciberseguridad 3) Ciberseguridad: Es el conjunto de recursos,
y de prevención a ciberataques. Estas compañías políticas, conceptos de seguridad, salvaguardas
de ciberseguridad buscan crear especial énfasis de seguridad, directrices, métodos de gestión del
comunicando a las organizaciones sin importar riesgo, acciones, investigación y desarrollo,
su core de negocio que deben tener muy en formación, prácticas idóneas, seguros y
cuenta la preparación de sus usuarios finales y tecnologías que pueden utilizarse buscando la
que es muy importante realizar campañas disponibilidad, integridad, autenticación,
informativas sobre las amenazas a las cuales se confidencialidad y no repudio, con el fin de
encuentra expuesta la información de las proteger a los usuarios y los activos de la
empresas. Según estas publicaciones los organización en el ciberespacio.
atacantes cibernéticos tienen como blanco 4) Vulnerabilidad: Es una debilidad, atributo o
preferido los usuarios no técnicos, ya que estos falta de control que permitiría o facilitaría la
son los que presentan mayor vulnerabilidad a actuación de una amenaza contra información
ataques de tipo phishing, spam e ingeniería social clasificada, los servicios y recursos que la
cuando no se encuentran capacitados soportan.
correctamente. También advierten en varias de
sus publicaciones que las empresas pueden B. Tipos de ataques cibernéticos.
invertir grandes cantidades de dinero en
infraestructura de seguridad, pero mientras no Conforme a la anterior definición sobre un
se invierta y capacite correctamente a los ataque cibernético o ciberataque, se debe
usuarios, estas grandes inversiones de capital no precisar en que estos ataques permiten a los
tendrán el efecto esperado. ciberdelincuentes, acceder a sistemas y
computadores de manera no permitida y
II. CONCEPTOS ASOCIADOS descontrolada y su objetivo generalmente es
acceder, cambiar o destruir información sensible,
A. Conceptos de cibernética. extorsionar con dinero a los usuarios o
interrumpir los procesos empresariales
En el desarrollo de este artículo, es importante normales. La compañía de Symantec en sus
precisar en algunos conceptos entorno a la informes de ciberseguridad define los tipos de
ciberseguridad y la cibernética, dado que en ciberataques [8].
muchas ocasiones se interpretan de forma 1) Virus informático: Es un programa informático
inadecuada. En consideración a esto, las malicioso que puede copiarse e infectar un
siguientes definiciones se tomaron del Modelo computador, el término "virus" también se usa
Nacional de Gestión de Riesgos de Seguridad comúnmente pero erróneamente para referirse
Digital de Colombia, como guía en español para a otros tipos de malware, incluidos, entre otros,
evitar las malas interpretaciones [7]. los programas de adware y spyware que no
1) Amenaza cibernética: Aparición de una tienen capacidad reproductiva. Por otra parte,
situación potencial o actual donde un agente un virus verdadero puede propagarse de una
computadora a otra (con algún tipo de función deseable para el usuario pero que en
programa) cuando su host se lleva a la cambio facilita el acceso no autorizado al sistema
computadora de destino. Por ejemplo, porque informático del usuario.
un usuario lo envió a través de una red o lo llevó 7) Phishing: Es el método más utilizado por los
en un medio extraíble, como una unidad usb. ciberdelincuentes y consiste en el envío de
2) Malware: Es un término usado para describir correos electrónicos que, aparentando provenir
software malicioso, incluyendo spyware, de fuentes fiables (por ejemplo, entidades
ransomware, virus y gusanos. El malware infringe bancarias), intentan obtener datos
una red a través de una vulnerabilidad, confidenciales del usuario, que posteriormente
generalmente cuando un usuario hace clic en un son utilizados para la realización de algún tipo de
enlace peligroso o un archivo adjunto de correo fraude. Los principales daños provocados por el
electrónico que luego instala un software phishing son el robo de identidad y datos
arriesgado. Una vez dentro del sistema, el confidenciales de los usuarios (esto puede
malware puede bloquear el acceso a los conllevar a pérdidas económicas para los
componentes clave de la red (ransomware), usuarios o incluso impedirles el acceso a sus
instalar malware o software dañino adicional, propias cuentas), pérdida de productividad y
obtener secretamente información mediante la consumo de recursos de las redes corporativas
transmisión de datos desde el disco duro (ancho de banda, saturación del correo, etc.).
(spyware) e interrumpir ciertos componentes y 8) Ataque de agujero de riego: Es un tipo más
dejar el sistema inoperable complejo de ataque de phishing. En lugar de la
3) Adware: Software respaldado por publicidad, forma habitual de enviar correos electrónicos
es cualquier paquete de software que reproduce, falsificados a los usuarios finales con el fin de
muestra o descarga publicidad en una engañarlos para que revelen información
computadora automáticamente después de confidencial, los atacantes usan un enfoque de
instalar el software o mientras se usa la múltiples etapas para obtener acceso a la
aplicación. Las funciones de publicidad se información específica. En los primeros pasos, el
integran o se incluyen con el software, que a atacante está perfilando a la víctima potencial,
menudo está diseñado para identificar los sitios recabando información sobre sus hábitos de
de internet qué visita el usuario y presentar la internet, historial de sitios web visitados, etc. En
publicidad pertinente a los tipos de productos o el paso siguiente, el atacante usa ese
servicios que allí aparecen. conocimiento para inspeccionar vulnerabilidades
4) Spyware: Software espía, es un tipo de de sitios web públicos legítimos específicos, si
malware que se instala en las computadoras y hay vulnerabilidades, el atacante compromete el
recopila pequeñas porciones de información sitio web con su propio código malicioso, espera
sobre los usuarios sin su conocimiento. La que la víctima objetivo regrese al sitio web
presencia de spyware generalmente está oculta comprometido y luego los infecta con
para el usuario y puede ser difícil de detectar. vulnerabilidades (a menudo vulnerabilidades de
Normalmente el spyware se instala día cero) o malware.
secretamente en el computador personal del 9) Web Defacement: La desfiguración del sitio
usuario y algunas veces los spyware como web, es un ataque a un sitio web que cambia la
Keyloggers son instalados por el propietario de apariencia visual del sitio. Básicamente los
un computador compartido a propósito, para ciberdelincuentes entran en un servidor web y
monitorizar en secreto a otros usuarios. reemplazan el sitio web alojado con uno propio.
6) Troyano / (Caballo de Troya): Es un malware Lo más probable es que este tipo de ataques se
no autoreplicante que parece realizar una hagan intencionalmente para arruinar la
reputación de la compañía que ha alojado este ambas partes: las víctimas de la comunicación y
sitio web. el atacante, este ataque se materializa cuando el
10) Buffer Overflow: Desbordamiento de búffer, atacante intercepta toda la comunicación,
es una anomalía en la que un proceso almacena modifica su contenido y la envía de vuelta como
datos en un búffer fuera de la memoria que el respuestas legítimas. Las dos partes que
programador reservó para ello. Los datos hablaron no son conscientes de la presencia del
adicionales sobrescriben la memoria adyacente, atacante y creen que las respuestas que reciben
que puede contener otros datos, incluidas son legítimas. Para que este ataque tenga éxito,
variables de programa y datos de control de flujo el ciberdelincuente debe suplantar con éxito al
del programa. Esto puede provocar errores de menos uno de los puntos finales; este puede ser
acceso a la memoria, resultados incorrectos, el caso si no hay protocolos establecidos que
finalización del programa o una violación de la aseguren la autenticación mutua o el cifrado
seguridad del sistema. Esta vulnerabilidad es durante el proceso de comunicación [8].
completamente un error del programador. Ingeniería social:
11) Ataque de denegación de servicio (DoS) y
14) Ingeniería social: Es el ataque más peligroso
ataque distribuido de denegación de servicio
y es al que la mayoría de las empresas se
(DDoS): Son ataques diseñados para causar una
encuentran expuestas, este tipo de ataques no
interrupción o suspensión de servicios de un host
distingue el tamaño de la compañía e inversiones
o servidor específico, inundándose con grandes
en infraestructura de seguridad que se hayan
cantidades de tráfico inútil o solicitudes de
realizado. Consiste en manipulación psicológica a
comunicación externa. Cuando el ataque DoS
los usuarios con el objetivo de que proporcionen
tiene éxito, el servidor ya no puede responder ni
información sobre procesos internos o
siquiera a solicitudes legítimas; esto se puede
contraseñas que el atacante utilizará más
observar de varias maneras: respuesta lenta del
adelante para fines ilícitos. Otra definición que
servidor, rendimiento lento de la red, falta de
encontramos de ingeniería social es la que nos
disponibilidad de software o página web,
exponen en el blog de seguridad de la compañía
incapacidad para acceder a los datos, sitio web u
Kaspersky la cual se describe a continuación. La
otros recursos. El ataque de denegación de
ingeniería social, la ciencia y arte de hackear a
servicio distribuido (DDoS) ocurre cuando
seres humanos, ha aumentado su popularidad en
múltiples sistemas comprometidos o infectados
los últimos años gracias al crecimiento de las
inundan un host particular con tráfico
redes sociales, los correos electrónicos y demás
simultáneamente.
formas de comunicación online. En el sector de la
12) Botnet: Es una red de dispositivos infectados
seguridad TI, este término se utiliza para hacer
por un ciberdelincuente, que se utiliza para llevar
referencia a una serie de técnicas que usan los
a cabo, por ejemplo, los ataques DDoS y difundir
criminales para manipular a sus víctimas con el
mensajes de correo electrónico con spam.
fin de obtener información confidencial o para
Prácticamente cualquier dispositivo conectado a
convencerlos de realizar algún tipo de acción que
internet, incluyendo routers residenciales, puede
comprometa su sistema. La ingeniería social no
ser infectado e incluso en una botnet sin que su
es una amenaza nueva, ha existido desde el
propietario tenga conocimiento.
origen de las computadoras. Gracias a hackers
13) Ataque Man-in-the-middle: Este ataque es
tan populares como Kevin Mitnick o Frank
una forma de monitoreo activo o escucha de las
Abagnale, reconocidos por su labor en el campo
conexiones de las víctimas y la comunicación
de la seguridad, sabemos que un cibercriminal
entre los hosts de las víctimas. Esta forma de
puede dejar el lado oscuro para combatir en
ataque incluye también la interacción entre
nombre del bien. Frank Abagnale, por ejemplo, [3] Colombia Digital, “Ciber-resiliencia: una
fue uno de los hackers más famosos con sus estrategia de seguridad para las empresas”,
múltiples identidades y engañando a los usuarios Corporación Colombia Digital, Colombia, febrero
para que le revelaran información. 2015 in [Online]
https://colombiadigital.net/actualidad/noticias/i
tem/8144ciber-resiliencia-una-estrategia-de-
VI. CONCLUSIONES seguridad-para-las-empresas.html.

Conforme a los riesgos cibernéticos asociados a [4] S. Moore, “Gartner Says Worldwide
la gestión documental y las estadísticas Information Security Spending Will Grow 7
expuestas en este artículo, es evidente que gran Percent to Reach $86.4 Billion in 2017”, Gartner,
parte de las organizaciones no están preparadas Australia, in
para mitigar ni gestionar estos riesgos, ya que no [Online]https://www.gartner.com/newsroom/id
conocen las vulnerabilidades reales expuestas en /3784965.
su arquitectura y sistemas de información. Es
[5] J. Cano, Diario el Portafolio, “El 59% de las
importante que se dé a conocer a la alta gerencia
empresas locales recortaría gastos en
y su equipo de seguridad informática, sus
ciberseguridad”, Colombia, enero 2017, in
falencias y vulnerabilidades asociadas y así
[Online]
mismo tomar medidas correctivas para la
http://www.portafolio.co/negocios/empresas/e
protección contra estos ciberataques o controlar
mpresaslocales-recortaria-gastos-en-
estos riesgos, como por ejemplo, aplicando la
ciberseguridad-502771.
normalización, estándares y políticas
relacionadas a estos riesgos, que pueden guiar a [6] Norma técnica colombiana: sistemas de
pequeñas, medianas y grandes organizaciones a gestión de la seguridad para la cadena de
mitigar estos riesgos del ciberespacio. Por suministro, NTC-ISO 28000, 2008.
último, aunque en Colombia la inversión hacia la
[7] Modelo nacional de gestión de riesgos de
seguridad informática disminuyó
seguridad digital, para ser aprobado por MINTIC
considerablemente, es importante dar a conocer
Colombia 2017.
la norma nacional donde guía a las
organizaciones a gestionar y mitigar los riesgos [8] Sebastian Z, Symantec, “Part 3 - Various types
expuestos en la cadena de suministro. of network attacks” Symantec Corporation, USA,
Diciembre 2018 in [Online]
https://www.symantec.com/connect/articles/se
REFERENCIAS curity-11-part-3various-types-network-attacks.

[1] Conner, “Threat Intelligence, Industry [9] J. Boyens, “Integrating Cybersecurity into
Analysis and Cybersecurity Guidance for the Supply Chain Risk Management” in RSA
Global Cyber Arms Race”, SonicWall Inc., Conference 2016, San Francisco, 2016.
Milpitas, California, Cyber threat report, 2018.
[2] L. Corrons, “Informe anual PandaLabs 2017”,
Panda Security, Bilbao España, Informe annual,
Nov 2017. [Online] Available:
https://www.pandasecurity.com/spain/mediace
nter/pandalabs/informe -anual-y-predicciones-
2018.