Ciberseguridad, tendencia que traspasa fronteras

Diferentes actores concuerdan que en Chile urge la creación de una ley que regule el tema, mientras las tendencias empresariales apuntan a integrar sistemas cognitivos para evitar posibles ataques.

Por  Alejandra Melo

Hace años, el ex contratista de la CIA, Edward Snowden divulgó en The Guardian y The Washington Post los programas de vigilancia utilizados por agencias como la NASA, la CIA y el FBI. Una vez asilado en Rusia, entregó miles de documentos sobre programas utilizados para espiar las comunicaciones de ciudadanos. Por otro lado, en 2010, WikiLeaks hizo públicos los documentos del Departamento de Estado norteamericano y antecedentes clasificados de las guerras de Irak y Afganistán.

Ambos hechos tienen algo en común: pusieron en riesgo la seguridad de las naciones sin necesidad de entrar en un edificio, ni toparse con alguna persona. Esto, porque la seguridad ya no sólo es entendida como un ataque físico, sino también digital y este tipo de eventos han obligado a países y compañías a elevar y modernizar sus estándares de seguridad digital, incurriendo en mayores inversiones en este tema.

En Chile, la ciberseguridad es definida por el Comité Interministerial sobre Ciberseguridad como “un mínimo de riesgos para el ciberespacio”, especialmente en lo referente a la protección de la confidencialidad, integridad y disponibilidad de la información que circula en este ambiente, tanto del Estado como de los ciudadanos.

Jaime Soto, secretario general de la Asociación Chilena de Empresas de Tecnologías de Información, ACTI, explica que la vía de entrada de los ciberdelitos es por electrónico, redes sociales y smartphones. Por otro lado, los datos más susceptibles de robo son información personal y claves bancarias.

De acuerdo a la Cumbre Latinoamericana de Analistas de Seguridad, entre agosto de 2015 y agosto de 2016, el continente Latinoamericano alcanzó un millón cien mil ataques de malware al año, 12 por segundo. En tanto, el Informe de Ciberseguridad desarrollado por el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA), indica que cuatro de cada cinco países de la región no tienen estrategias de ciberseguridad o planes de protección de infraestructura; dos de cada tres no cuentan con un centro de comando y control de seguridad cibernética y la gran mayoría de las fiscalías carece de capacidad para perseguir los delitos cibernéticos.

En la región, Uruguay, Brasil, México, Argentina, Colombia y Chile se encuentran en un nivel intermedio de madurez de ciberseguridad, pero lejos de referentes como Estados Unidos, Israel, Estonia y República de Corea, donde su protección es alta y es prioridad para los gobiernos.

Propuesta de ley en Chile

“Hace unos meses, Chile se adhirió al Convenio Europeo (Budapest) sobre ciberdelincuencia, lo cual implica cambios legales, por ejemplo, el actualizar nuestra legislación, modificar la Ley 19.223 sobre delitos informáticos, tipificar el pishing, establecer responsabilidad penal de las personas por ciberdelitos cometidos, entre otros”, explica Jaime Soto.

En materia digital, hasta 2010 la ciberseguridad carecía de discusión y no entró al debate país hasta que la administración de la Presidenta Michelle Bachelet consideró en el programa de gobierno 2014-2018, el desarrollo de una estrategia de seguridad digital con la misión de proteger a usuarios privados y públicos.

Mediante el Decreto Supremo Nº533, en 2015 se creó el Comité Interministerial sobre Ciberseguridad (CICS), que debe proponer a la Presidenta de la República una política nacional, la que se ha basado en seis ejes temáticos: infraestructura de la información; prevención, persecución y sanción de ciberdelitos; sensibilización, formación y difusión; cooperación y relaciones internacionales; desarrollo industrial y productivo; e institucionalidad de la ciberseguridad.

Para Raúl Arrieta, presidente del Instituto Chileno de Derecho y Tecnologías y gerente de Gutiérrez & Arrieta Abogados, la propuesta y creación de esta ley es urgente, porque se relaciona “con todos quienes participan de un país”, de ahí que considera necesario estructurar una política nacional con medidas en el corto plazo.

untitled

Explica que hoy, el principal activo de la sociedad del conocimiento es la información y, por lo tanto, hay que resguardarla. Por ello, plantea que el país debe generar grandes inversiones en infraestructura de telecomunicaciones, pues de lo contrario, los servicios que dependen de ella, como datos y voz, podrían verse afectados, en caso de catástrofes naturales, hasta llegar a un blackout, poniendo en riesgo el resguardo de la información de todos.

En paralelo, considera que debería haber una discusión sobre los datos de tráfico. “¿Por cuánto tiempo se guardan?, ¿para qué se guardan? y ¿quién accede a ellos? ¿Tiene sentido que una empresa guarde los datos de tráfico más allá del período en el cual el cliente puede reclamar por su facturación?, ¿qué significa guardarlos?, ¿qué guardo?”, estas interrogantes, explica Arrieta, son sólo algunas de las que hay que plantearse, y a ellas agregar que hoy la información de tráfico también implica datos de geolocalización, conectividad en aplicaciones móviles (app), datos de Internet y más.

Para hacer frente a estos flancos, propone generar una modificación a la Ley 16.628 sobre delito informático en el Código Procesal Penal, en torno a la persecución de los delitos.

Sectores vulnerables

Danic Maldonado, comisario de la Brigada de Cibercrimen de la Policía de Investigaciones (PDI) afirma que el sector más afectado por el delito cibernético es el financiero y dentro de él, la banca.

Señala que es común la entrada de correos electrónicos infectados, bajo la metodología de phishing para estafar y obtener información confidencial de forma fraudulenta, que apunta principalmente, a la obtención de contraseñas y datos bancarios. Maldonado explica que las denuncias por este tipo de delito, aumentan en temporada de pagos servicios masivos, por ejemplo, para los Permisos de Circulación y Operación Renta.

Indica que si bien los ciberdelitos económicos son los más denunciados, no existen cifras al respecto, ya que la carencia de una ley que obligue a denunciar estos hechos, no permiten obtener métricas de análisis.

Varios actores reconocen que tanto para evitar fraudes bancarios por internet, así como para crear una la ley y mejorar la infraestructura de telecomunicaciones, es necesaria una alianza público-privada.

“En este proceso es fundamental que todos nos involucremos. Tanto ciudadanos como organizaciones debemos comprender el valor que aportaría una alianza de este tipo en pro de la protección de nuestra privacidad de datos y que ésta sea amparada y protegida”, comenta Soto.

untitled

Inversiones en seguridad

Pese a los constantes intentos de ataques cibernéticos y la falta de una ley que regule estos delitos, Nicolás Corrado, socio de Ciberseguridad de Deloitte, comenta que a nivel corporativo, Chile posee buenas tecnologías de protección que permiten incrementar los niveles de seguridad. Pero, al igual que en el resto de Latinoamérica, las debilidades en el monitoreo inteligente y el capital humano especializado son siempre los “pendientes” de la ecuación, que permita mejorar la detección y rápida respuesta.

“Una compañía estadounidense viene realizando hace varios años análisis globales del costo promedio de pérdidas que se producen por ciberataques. En 2015 arrojó que a nivel mundial, el costo anual de pérdidas por compañía es de US$ 7,7 millones, alrededor de US$ 400 mil millones por año. Durante 2016 el monto se ha elevado 23 % y trepó a US$ 9,5 millones”, explica Corrado y agrega que la proyección a 2019 de los costos por el cibercrimen asciende a US$ 2 billones (millones de millones).

En el detalle, precisa que el robo de credenciales de usuario tiene un impacto promedio de US$ 232 por incidente; el ransomware (programa informático que restringe el acceso a determinados archivos del sistema infectado y pide un rescate a cambio de quitar la restricción), de US$ 157 y que el costo de tarjetas e inclusos datos personales de pacientes hoy tienen una valoración mejor en la deep web o web profunda (lo que no conocemos de internet).  40% de dicho costo se debe a pérdida o fuga de información.

Por otro lado, advierte que los impactos de no contar con adecuadas medidas a nivel personal y empresarial son muchos y van más allá de lo económico. “Mientras que el costo promedio de una filtración de seguridad puede estar bien documentado, los efectos a largo plazo  sobre la reputación de la compañía y la marca pueden incrementar las pérdidas”, explica Corrado.

En el mundo, explica Marcelo Zanotti, socio de consultoría en Gestión y Tecnología de EY, el sector que más invierte en seguridad es el financiero, ya que la ciberseguridad está tomando tal nivel de preponderancia, que no basta con el actuar de los departamentos de tecnología de las empresas, sino que ha pasado a ser un “tema de alta administración y directores”.

De acuerdo a la encuesta de ciberseguridad de EY 2015, 89% de las empresas a nivel mundial ha aumentado su presupuesto en seguridad en los últimos 12 meses y este mismo porcentaje planea hacer lo mismo durante los 12 meses subsiguientes (2016). Ante este panorama, el ejecutivo de EY anticipa que es importante no recortar el presupuesto en seguridad en momentos de restricción económica, pues frente a cualquier ataque se pone en riesgo la continuidad operativa del negocio, y esto puede tener consecuencias más graves a mediano y largo plazo. En la misma encuesta se consigna que 62% de los entrevistados considera que la reducción presupuestaria es el principal obstáculo para garantizar la seguridad de la información en las empresas.

Tendencias contra el ciberdelito

Para enfrentar esta problemática que no respeta fronteras, diferentes compañías han comenzado a investigar y crear soluciones. Para Google, la seguridad es parte fundamental de todas sus herramientas y productos, y para ello han cuidado mantener un equipo de ingenieros de seguridad de alto nivel trabajando a tiempo completo dedicado este fin. En Chile, por ejemplo, realiza actividades locales sobre prevención e incluso ha trabajado en campañas junto a la PDI en contra del ciberdelito.

En vista de la elevada cantidad de ataques cibernéticos que ha traído consigo la transformación digital, a partir de 2014 diferentes compañías alrededor del mundo han optado por crear centros de investigación y ciberinteligencia. Éstos intentan detectar de manera temprana amenazas web y buscan cómo combatirlas, creando incluso espacios de prueba.

Deloitte fue uno de los pioneros en la creación de estos centros. Hace un año inauguraron sus propios centros de Cyber-Inteligencia, que desplegados por todo el mundo, incluido uno en Santiago, comparten información de ataques y permiten la protección, el monitoreo y la resiliencia de las organizaciones.

“Los centros de Cyber-Inteligencia ofrecen una solución personalizada y 24/7, para prevenir, detectar y responder a las ciberamenazas. También brindan capacidades cibernéticas perfeccionadas a partir de la administración e interpretación de información relacionada con la seguridad de la industria y negocio en particular para responder a una amenaza en tiempo real”, explica Nicolás Corrado.

Similar trabajo está haciendo IBM mediante el IBM X-Force Command Cyber Range, que permite la inmersión de los usuarios en ataques cibernéticos simulados para enseñarles cómo prepararse, responder y administrar una variedad de amenazas. Para ello utilizan un malware en vivo, ransomware y otras herramientas de hackers del mundo real, extraídas de la dark web.

Ya hacia fines de 2015 y principalmente inicios de 2016, la tendencia que comenzó a tomar más fuerza en el ámbito del cibercrimen, fue la incorporación de inteligencia cognitiva. Las razones que la han posicionado como herramienta eficaz para la ciberseguridad son que logra recolectar mayor cantidad de información, permite contrastar con registros de ciberataques previos, reduce el tiempo en que lo hace y permite mayor asertividad.

“Actualmente se habla que para obtener resultados similares, un operador debería leer 10 mil documentos sólo para entender los ciberataques, lo que resulta imposible para un humano, pero no para un sistema computacional”, revela Diego Marcor, gerente de IBM Security en Chile.

Explica que IBM lanzó Watson For Cyber Security. “Watson –el sistema de inteligencia artificial de la compañía- busca información no estructurada en sitios web -que representa 75% de Internet-, donde los sistemas de seguridad no llegan como los blogs, y la relaciona con el ataque que sufrió en una determinada compañía. De esta forma, Watson sugiere cuáles son las posibles respuestas para el ataque y lograr evitarlo”, afirma Marcor.

Blockchain, ¿impenetrable?

Por otro lado, el encadenamiento de bloques o blockchain, conocida como la base tecnológica del funcionamiento del bitcoin u otras criptodivisas, consiste en una base de datos compartida y encriptada que funciona como un libro de registro de operaciones de compra-venta o cualquier otra transacción, ha comenzado a tomar fuerza, especialmente por el sector financiero.

Justamente, por operar en forma colectiva –con múltiples verificadores de información-, los expertos esperan que sea una forma más segura para realizar transacciones en todo el mundo.

Si bien su avance ha sido rápido, hasta ahora, sólo está presente en Estados Unidos y algunos países europeos, pero las perspectivas son altas. Según Accenture, en el último tiempo, la inversión mundial en Blockchain pasó de US$ 30 millones en 2015 a US$ 75 millones en 2016, asociados a crear casos de éxitos.

Ignacio Vera, gerente de la División Operaciones y Tecnología del Banco de Chile, señala que en esta institución “actualmente se está evaluando su uso en la trazabilidad y seguridad de nuestras transacciones monetarias”.

El tiempo dirá si esta nueva plataforma será a prueba de ciberataques.

Comentarios