¿Está su empresa protegida frente a los ataques de ciberdelincuentes?
05 de Julio de 2019
José Andrés Pérez Rivera
Director en FTI Consulting - Consultoría Forense y de Litigios
Las tecnologías de la información y de las comunicaciones (TIC) han entrado a formar parte integral del acontecer diario, a tal nivel que incluso su presencia llega a pasar desapercibida dentro de las actividades cotidianas. Pero están ahí, disponibles a abrirles un enorme potencial a quien las demande y sepa aprovecharlas, e impactando a varios niveles el mundo de los negocios y las industrias.
En particular en el caso de las empresas, las TIC no solo cumplen una función de soporte para sus actividades misionales, también pueden constituir una estrategia del negocio, al proyectarse como un criterio diferenciador en la relación empresa-cliente. Existen varios momentos de las relaciones comerciales en que esto es evidente, desde la presentación misma de los productos y servicios en los sitios web, el uso de correo electrónico, hasta los canales de redes sociales para relacionarse con clientes, proveedores y socios.
La enorme influencia de las TIC y la importancia que han cobrado en el mundo moderno traen consigo otra cara, pues los riesgos en la administración y su mal aprovechamiento también han aumentado. Su gestión adecuada comprende un gran desafío para las organizaciones.
Abrir los ojos a los riesgos
Un ejemplo reciente en que se materializó una situación irregular fue el caso Cambridge Analytica. En este asunto hubo una disposición ilegal de datos personales, lo cual lastimó especialmente la confianza en una de las empresas involucradas: Facebook.
Fue tan serio el impacto de lo ocurrido que en marzo del 2018 esta empresa perdió en la Bolsa de New York una cifra cercana a los 40.000 millones de dólares. Mark Zuckerberg, cofundador de Facebook, aseguró ante los medios de comunicación: “tenemos la responsabilidad de proteger tu información y si no podemos hacerlo entonces no te merecemos. He estado trabajando para entender exactamente qué fue lo que sucedió y cómo asegurarnos para que esto no suceda otra vez”. Y sostuvo ante el Congreso de los Estados Unidos que “la naturaleza de estos ataques es que hay gente en Rusia cuyo trabajo es intentar explotar nuestros sistemas y otros sistemas de internet, así que esto es una carrera de armamento. Debemos invertir en mejorar en esto”.
En las anteriores afirmaciones hay palabras y frases que nos ayudan a comprender la dimensión y naturaleza de los riesgos que entraña la seguridad en las TIC a nivel global.
Las palabras “responsabilidad”, “proteger”, “información”, “ataques” y “armamento”, junto a las frases “no podemos hacerlo”, “no suceda otra vez”, “intentar explotar nuestros sistemas y otros sistemas de internet” y “es una carrera de armamento”, nos muestran una guerra que se ha venido configurando desde hace bastante tiempo. Un enfrentamiento velado que involucra no solo los intereses tradicionales de los Estados, de las empresas y de los ciudadanos, sino especialmente una amalgama de intereses no conocidos por el público, manejados por particulares que están en diferentes regiones y han encontrado la forma de usufructuarlos mediante las TIC para diferentes fines. Emplean armas para las que las personas del común no estamos preparados: los algoritmos.
El alcance de los algoritmos
En el mercado digital, los algoritmos se han convertido en un instrumento cotidiano para aprovechar los volúmenes de información en función del logro de objetivos empresariales, tanto en mercadeo como en ventas y optimización de procesos.
Pero esta herramienta también puede ser utilizada por intereses que van más allá de la idea de un mercado globalizado, y apuntar al propósito de incidir de manera ilegítima en nuestro marco de libertad. Esto ocurre cuando la captación de la data se produce de forma tal que sus titulares no tienen conocimiento de lo que realmente se está haciendo con la información que se suministra.
Ahora, la vulnerabilidad no solo se da frente a intereses particulares, sino también contra gobiernos o actores de presión que buscan implantar ideologías. En este panorama de ciberguerra, los ciberdelincuentes tienden a llevarnos ventaja a las personas y compañías que de manera honesta y, en muchos casos, desprevenida empezamos a recorrer el camino de la transformación digital.
La incidencia en temas como las elecciones presidenciales en los EE UU y el brexit es tan solo un ejemplo del talante político, del alcance de la situación. En el caso de Cambridge Analytica, fue empleado un cuestionario digital de apariencia inofensiva que permitió recopilar datos de más de 270.000 usuarios de Facebook, y a través de estos se accedió a la información pública de sus contactos. El resultado, según Christopher Wylie, la fuente que destapó el escándalo, es que se obtuvo información personal de cerca de 50 millones de usuarios para influir en el resultado de las elecciones estadounidenses en el 2016.
En el plano local
En Colombia, desde el Conpes 3701 del 2011 y el Conpes 3854 de 2016, se ha venido construyendo una política para enfrentar de manera estratégica la ciberdelincuencia. Hecho que se refleja activamente en lo que hoy se conoce como gobierno digital, además de una amplia cantidad de estándares que existen en el sector privado para promover la seguridad en las TIC.
Con la política pública de gobierno digital, el Gobierno colombiano busca “promover el uso y el aprovechamiento de las tecnologías de la información y las comunicaciones para consolidar un Estado y ciudadanos competitivos, proactivos, e innovadores, que generen valor público en un entorno de confianza digital”. Es decir, que integra los valores más importantes de un mercado: la capacidad de ser competitivos en un mundo globalizado, ser proactivos frente a la competencia y poder redefinirse, al ser innovadores mediante el uso y el aprovechamiento de las TIC.
Otro concepto importante en este contexto es el de confianza digital, que se define en el portal del Ministerio de Tecnologías de la Información y las Comunicaciones como “la principal característica del entorno en donde se relaciona el Estado con los ciudadanos y los demás actores del ecosistema digital. Este entorno debe ser sencillo, corresponsable, previsible y seguro”.
La seguridad es, sin duda, uno de los mayores retos entre los elementos que componen la definición de confianza digital. Para la política pública de gobierno digital constituye el elemento crucial, por cuanto se le considera un “habilitador transversal” para los demás componentes que comprende la ejecución de la política. En conclusión, sin seguridad el gobierno digital no funcionaría.
¿Cómo garantizar esta seguridad? La respuesta del Gobierno contiene “estándares, guías, recomendaciones y buenas prácticas”, que deben implementarse por los actores que forman el entorno digital. Si bien esta mención busca cobijar en principio a instituciones públicas, lo cierto es que se trata de lineamientos enteramente aplicables al sector privado.
En Colombia se han registrado casos de empresas afectadas por ciberataques. El sector financiero es uno de los más golpeados, con el robo de datos personales como contraseñas, números de tarjetas de crédito, entre otros, a través del ataque conocido como phising.
El país es pionero en afrontar estos delitos. Lo hizo a través de la Ley 1273 del 2009, mejor conocida como Ley de Delitos Informáticos, que les dio herramientas y facultades a las autoridades para perseguir y castigar este tipo de delincuencia. En muchas oportunidades, los perpetradores se encuentran fuera del territorio nacional, lo cual es uno de los desafíos que las autoridades enfrentan.
Dando la batalla
El correo electrónico es el medio de comunicación de preferencia del sector corporativo: todos lo usamos. A través de este, los CEO y cualquier otro integrante de la organización comunican, hacen peticiones, entregan informes, etcétera, a los colegas del negocio, proveedores, clientes y demás actores. Los ciberdelincuentes saben esto, y han diseñado técnicas y estrategias para suplantar y engañar a los actores legítimos.
El ataque conocido como man-in-the-middle es una técnica que por años se ha usado para suplantar y engañar. El correo electrónico es la herramienta principal en este tipo de ataques: mientras que el financiero de la compañía escribe e informa de los pagos y flujo de dinero, del otro lado se encuentra un ciberdelincuente entrenado, paciente y con el conocimiento suficiente para suplantar al CEO o gerente.
El riesgo de una amenaza por un ciberataque es latente. Apostar a incrementar las medidas de seguridad a nivel corporativo es responsabilidad y deber de todos los empleados. Concientizar a las personas es uno de los mayores desafíos para una compañía. Que sean los mismos empleados quienes alerten a las áreas de seguridad sobre algún hecho inusual podría ser parte de la solución.
Contar con los recursos tecnológicos de seguridad sugeridos por diferentes estándares ayuda a minimizar y prevenir los ataques de ciberdelincuentes. Pero no es suficiente, si el incidente de seguridad se produce como consecuencia de un empleado despistado que no usa una contraseña fuerte en su sistema (porque no le enseñaron cómo crearla), o por un empleado que recibe un correo electrónico con indicios de fraude y no los detecta (porque no le explicaron cómo identificarlos).
Las TIC suponen un gigante espectro de beneficios, pero también traen peligros. Esto ha quedado ampliamente demostrado con casos de gran resonancia internacional, pero los fraudes también acechan a la vuelta de la esquina de nuestras organizaciones. Quienes mejor lo saben son los ciberdelincuentes. Es una realidad que no es lejana ni ajena, sino que cada vez es más palpable en el día a día.
Opina, Comenta