Sin importar el tamaño que tenga una empresa, ni el nivel de ingresos que maneje, o si pertenece a la industria automotriz, al retail o al sector salud, hoy cualquier compañía, organización o persona que almacene información sensible puede ser blanco de un ciberataque.
Hace algunos meses se dio a conocer el ciberataque de al menos cuatro empresas, no porque no hubiesen existido más, sino porque se trató de compañías públicas con una gran cantidad de usuarios y clientes, y que desearon informar, pues a diferencia de
Estados Unidos y Europa, aquí no es obligatorio.
El 9 de agosto la aseguradora Quálitas de Joaquín Brockman Lozano, informaba a la BMV que había sufrido un ‘incidente de ciberseguridad’, el cual identificó gracias a los protocolos que tiene en sus sistemas. Desde el 14 de agosto los clientes de El Palacio de Hierro, de Alejandro Baillères Jr., informaron a través de diversas redes sociales la imposibilidad que tenían para pagar sus tarjetas y consultar sus estados de cuenta en los canales digitales. Días más tarde, la empresa informó que se trataba de un ‘proceso de actualización de sus sistemas’, aunque especialistas dijeron que por la tardanza del incidente era probable que hubiese sido un ciberataque. Y cómo no recordar el caso de Coppel. En abril pasado, la empresa de Agustín Coppel Luken reportó fallas en su sistema debido a un ciberataque que lo llevó a ver vulneradas sus operaciones electrónicas, el pago de tarjetas y compras online de sus clientes.
Aparte de El Palacio de Hierro, otra de las empresas de la familia Baillères, es decir de Grupo Bal, Industrias Peñoles y su subsidiaria Fresnillo PLC también fueron víctimas de un hackeo que afectó sus operaciones, y aunque según Peñoles no se presentó ningún efecto material adverso, sí fueron comprometidos parte de sus sistemas por corto tiempo.
Estos son sólo algunos ejemplos recientes de cómo la falta de protocolos en materia de ciberseguridad, de gestión y management de sistemas, ponen al mundo corporativo frente a grandes desafíos no sólo para controlar routers, redes de acceso, switches, herramientas de autenticación o copias de seguridad, sino también para contar con una política de ingeniería social y capacitación continua de sus usuarios.
México se encuentra en una gran encrucijada a medida que la digitalización avanza en innumerables sectores públicos y privados, como grandes y pequeñas empresas, pero también a nivel personal. Y no es para menos.
A nivel Latinoamérica, el año pasado México fue el país que mayor número de intentos de ataques de ciberseguridad registró, al registrar, según el laboratorio de análisis e inteligencia de amenazas Fortinet, 94,000 millones de los 200,000 millones que hubo en la región.
Aunque a nivel global se ha observado una baja en la cantidad de ataques, la sofisticación y enfoque de los mismos va en aumento. Fortinet alerta que, pese a que esta tendencia se refleja en un menor número de intentos, éstos ya están diseñados para objetivos específicos y son cada vez más difíciles de detectar y frenar, por lo que urge que las organizaciones tengan una política de ciberseguridad integrada, automatizada y actualizada.
Nazly Borrero Vázquez, maestra en el tema de ciberseguridad y ciberdefensa, advierte que este desafío no es nuevo. “Llevamos más de dos décadas sufriendo este tipo de incidencias. Sin embargo, en los últimos 10 o siete años, dada la evolución que ha tenido la tecnología y la necesidad de tener acceso a ella, es que los problemas han aumentado”.
La pandemia no sólo evidenció la falta de protocolos y eficiencia en infraestructura médica a nivel local y global, sino también en el tema de ciberseguridad.
“En ese momento se develó cómo los protocolos de seguridad que las empresas tenían eran mínimos, pues a pesar de que contaban con redes blindadas, muchos usuarios no trabajaban con los equipos de las organizaciones, sino con los suyos que no tenían licencias actualizadas, lo que puso en riesgo la extranet de innumerables compañías, es decir, su red privada, y así fue como se registró un boom en las amenazas cibernéticas”, explica la también auditora forense digital.
Empezaron a presentarse variantes de software maliciosos, es decir, malwares y nuevas técnicas de robo y ‘secuestro’ de información, a través de los ransomware.
No sólo había ‘raptos’ y robos digitales, sino hasta homicidios y muertes cibernéticas a manos de estos delincuentes. Aunque no fue público, durante la época en que la mayoría de los países estaba en cuarentena, dos naciones registraron al menos el mismo número de homicidios cibernéticos. Se involucró a dos hospitales, donde a un ciberdelincuente se le pagó para hacer una intromisión en los registros e historias clínicas electrónicas de dos personas, y se les suministraron medicamentos a los que eran alérgicos, y así se perpetró este delito, sin que nadie pudiera detectarlo a tiempo.
“Por ello es necesario no sólo tener los programas, sino toda una gestión adecuada en el uso de datos e información. La salud es una estructura crítica al igual que un banco, el sector judicial, gubernamental, hidroeléctricas y transportes”, destaca Borrero.
Urge saber gestionar, no sólo desarrollar
La falta de un gobierno corporativo bien estructurado con políticas de seguridad que permitan actuar con gobernanza, la inexistencia de licencias activas, y de una concientización y capacitaciones de los recursos humanos, han hecho que la evolución de las amenazas avance a la par y a la misma velocidad que el desarrollo y la innovación tecnológica.
“El ransomware o ‘secuestro’ de información no es nuevo, existe desde los años 80. Sin embargo, ante la falta de evolución y creación de los protocolos de seguridad, estos software han cobrado fuerza”, advierte Borrero.
En la región de América Latina tanto el ransonware como el malware, programas diseñados para obtener y robar información, se han ubicado como las principales amenazas, con mayor efectividad y especificación, al estar más dirigidos.
Para la experta, el problema no es que existan estos riesgos para las empresas, sino que los corporativos aún ejerzan resistencia para la contratación de personal especializado, pues no sólo se requiere software o ciertas aplicaciones, sino todo un esquema de ingeniería técnica y social que involucre la concientización. “Sólo así se estará realmente blindado”.
“La mayoría de las empresas, como sabemos, ven a esto como un gasto en lugar de una inversión. Contar con sistemas y personas que los protejan no está dentro de su presupuesto, ni en su mindset. Los argumentos son muchos y la mayoría se cuestiona: ¿para qué implementar o contratar especialistas en ciberseguridad, si tengo al departamento de TI? Sin embargo, muchas veces estas áreas no tienen idea de cómo crear una política de ciberseguridad o implementar un sistema de gestión de seguridad de información”, agrega la especialista.
Esos departamentos dentro de las empresas no saben manejar la ingeniería social, que es el arma más poderosa contra los cibercriminales.
Y es que es tan fácil como el recibir, a través de la propia intranet, un correo que pareciera ser de un compañero que solicita alguna información confidencial; o el ofrecimiento de dinero; o un mail con una voz amenazante, para que un usuario sea presa de un ataque cibernético.
"Es por ello que las empresas y sus áreas tecnológicas deben conocer la ingeniería social, pues ésta implica la manipulación psicológica que aprovecha el error o la debilidad humana”, destaca el Informe de State of Cybersecurity 2022 de ISACA, enlace externo de IBM.
Los ciberdelincuentes utilizan tácticas de ingeniería social para obtener datos personales o corporativos, información financiera, credenciales de acceso, números de tarjetas y de cuentas bancarias, entre otros.
De forma errónea creemos que las acciones de los ciberdelincuentes para atacar tienen que ver con hackeos a sistemas de hardware y sí, pero también éstos involucran mucho más que eso, como es una intromisión cuya base tiene que ver con la persuasión, la manipulación y la motivación humana.
“Hoy no hay una cultura de seguridad, no miran el activo invaluable de la empresa que es la información, como algo que deben cuidar y proteger. Si no hay empoderamiento de los empleados, una concientización de cumplir la normatividad, menos veremos que se interesen por la ingeniería social”, destaca Borrero.
El estudio de IBM advierte que se ha demostrado que esta vulneración tiene que ver con cómo se hace que las personas tomen medidas o acciones que no son beneficiosas.
Así la mayoría de los ataques de ingeniería social emplean técnicas como: hacerse pasar por una marca confiable, por una autoridad o agencia gubernamental, apelan a la buena voluntad o curiosidad del internauta, o inducen miedo, sensación de urgencia o codicia.
Por ello, la especialista, dice no es sólo tener software y hardware que impidan la intromisión, sino crear conciencia.
“Las empresas creen que en los miles de fabricantes con programas o hardware de seguridad encontrarán la solución. No señores, no es suficiente, no van a estar 100% seguros, si aparte no crean una política de gestión y de seguridad informática o de información; si no cumplen con la Ley de Protección de Datos Personales; si no diseñan una política de gestión ante incidentes; si no capacitan a los colaboradores de toda la organización y hacen campañas de concientización; sino todo esto, seguiremos siendo el eslabón más débil en la ciberseguridad”, advierte.
De nada sirve que las empresas inviertan o destinen presupuesto a comprar programas, si las personas no están capacitadas o no hay una conciencia. La amenaza, asegura, seguirá dentro de la organización, manejada por el exterior.
La legislación, ayuda poco
Adicional a la falta de una ingeniería social, existe la falta de una legislación y normas que subsanen los vacíos legales.
La nueva iniciativa de Ley Federal de Ciberseguridad y Confianza Digital, que apenas fue presentada el 14 de agosto en el Senado por la legisladora Alejandra Lagunes, del Partido Verde Ecologista de México (PVEM), pretende crear un marco legal para garantizar la protección de los usuarios de internet en el país,
La senadora ha dicho que esta Ley busca diseñar una estrategia nacional de prevención y contención de crímenes, en la que deben participar tanto el gobierno, como las empresas y la sociedad en general, para así poder proteger la infraestructura crítica y la economía, y principalmente “el derecho fundamental de las personas para interactuar en el ciberespacio.
Establece la creación de un Sistema Nacional de Seguridad Cibernética y un Instituto Nacional de Innovación y Formación en
Tecnologías Digitales y Ciberseguridad.
Sin embargo, algunos expertos advierten que, aunque sí especifica multas y penas de prisión, no profundiza en problemas de ciberseguridad y cibercrimen de forma detallada.
Víctor Ruiz, CEO de la empresa de ciberseguridad SILIKN, ha dicho que una ley que no se pueda ejecutar eficientemente tiende a volverse ineficaz, creando vacíos que dan lugar a lagunas legales.
Y tal y como recomienda Borrero, la legislación tampoco profundiza en las tácticas, técnicas y procedimientos que emplean los ciberdelincuentes, ni en sus motivaciones, y mucho menos busca aprehender a los grandes grupos de ransomware y los de amenazas persistentes respaldados por gobiernos como el de Rusia, Corea del Norte, Reino Unido e Israel.
Así como esta, destaca Borrero, es necesario revisar, a fondo, cualquier iniciativa que se presenta y no aprobarla por urgencia.
A nivel Iberoamérica, todos los países están “en pañales” en cuanto a una legislación. Sin embargo, uno de los países que hoy es ejemplo en mejores prácticas y que ha estado realizando estrategias e implementación soluciones y políticas a nivel gobierno, educación y en el entorno empresarial es Uruguay.
“Hay otros países como Ecuador que a nivel legislativo de protección de datos personales y de violencia digital cuenta con una ley que es de los mejores que se han leído, pero no hay expertos para implementarla; Colombia tiene las mejores normas y leyes, pero le falta actualizarlas y sus sanciones son muy bajas; Argentina tiene también multas bajas; entonces, falta un mayor esfuerzo a nivel global”, expresa.
Para que las empresas realmente sean “ciberseguras”, es necesario, dice, que tengan un enfoque holístico efectivo, “no es sólo tener tecnología, sino llevar procesos de forma adecuada, cumplir los estándares internacionales, una gestión de riesgos, realizar ejercicios de ataques de vulnerabilidad, llevar a cabo prácticas de respuesta a incidentes, actualizar políticas, hacer una gestión continua de capacitación con la gente, presupuestos anuales asignados y una legislación adecuada”.
La ciberseguridad, considera Borrero, es una disciplina transversal que incluye aspectos tecnológicos, de innovación, digitales y de información, pero además, tiene un impacto en todos los ámbitos sociales, económicos, educativos, políticos, así como en la productividad y competitividad. Se necesitan leyes robustas que protejan a todos por igual y por parte de las empresas profesionalizarse aún más, plantea.