El mundo sigue en alerta por los ataques cibernéticos que cada vez son más frecuentes. El riesgo que corren empresas, gobiernos y ciudadanos ha hecho que este se perciba como unos de los problemas globales para los próximos años.
En Colombia, se siguen reportando empresas que han sido atacadas, la más reciente fue Audifarma sumándose a la larga lista de compañías vulneradas como: Sanitas, EPM, Salud Total, Invima, entre otras.
Riesgo político y económico
Según el Informe de Riesgos Globales 2022 realizado por el Foro Económico Mundial, la crisis climática, la creciente división social y el incremento de los riesgos cibernéticos son la principal preocupación de las personas para los próximos años.
La encuesta hecha a expertos en riesgos, afirma que la pandemia trajo una aceleración de la digitalización de los países, pero también se han creado nuevas amenazas cibernéticas que deben ser abordadas.
En el informe se enfatiza en que este tema dejó de ser un asunto propiamente de las empresas y se ha convertido en una preocupación para líderes y gobiernos.
“A medida que los ataques se vuelven más graves y de gran impacto, las tensiones ya intensas entre los gobiernos afectados por el delito informático y los gobiernos cómplices en estos actos aumentará, y la seguridad cibernética se convertirá en otro factor que provoca divergencia, en lugar de cooperación, entre los países”, señala el Informe.
De igual forma se vislumbra un panorama complejo en los efectos económicos para prevenir ese tipo de ataques, y en la educación que se necesita para encontrar entornos digitales seguros.
“Los ataques a sistemas grandes y estratégicos provocarán una serie de consecuencias físicas en las sociedades, mientras que la prevención inevitablemente implicará costos más altos. Los riesgos intangibles, como la desinformación, el fraude y la falta de seguridad digital, también afectarán la confianza pública en los sistemas digitales”.
¿Responsabilidad del Estado o de los privados?
De acuerdo con un informe de Lumus Tecnologies, Colombia registró un incremento del 133 % en ataques de ransomware en 2022 comparado con 2021.
Kaspersky indica que, en América Latina, los ataques con ransomware fueron 4.000 en promedio por día en la mayor parte de 2022.
Ante la situación y los reiterados casos de ciberataques en el país, el Senador David Luna realizó una Audiencia Pública sobre Ciberseguridad y Ciberdefensa Nacional, con el propósito de analizar y buscar una solución.
En el debate participaron miembros de la sociedad civil, de la fuerza pública, organismos especializados en el tema y la viceministra de las Tecnologías de la Información TIC, quienes acordaron que se requiere de mayor fuerza laboral, capacitación y recursos para regular el tema de ciberseguridad en el país.
Según el senador Luna, el sector privado es corresponsable ante los ataques cibernéticos que se han registrado en los últimos meses.
“La responsabilidad en la protección de los datos de los ciudadanos no es responsabilidad única del Estado. Es necesaria una regulación en materia de ciberseguridad que entienda lo anterior”.
Senador, David Luna
“Estas empresas deben entender que esta situación no es solo del Estado. En el Congreso estamos dispuestos hacer los ajustes que se requieran”, señaló el senador David Luna. Y envió una invitación a trabajar de manera conjunta ante estas amenazas.
Además fue enfático en que se debe potenciar la educación, formación y certificación en la materia. “Principios de ciberseguridad deben ser enseñados a todos los ciudadanos desde temprana edad, así aprenderán a protegerse ante posibles ataques y se navegará de manera más segura en el ciberespacio”.
Hackers éticos vs. cibercriminales
Contrario a lo que se piensa en términos de ciberseguridad las empresas no se deben blindar, ya que todos los días salen nuevas formas de atacar la tecnología, o esta se desactualiza. Es decir, se convierte en una pelea constante entre policías y ladrones.
Por eso, ante las amenazas, las empresas deben ir un paso adelante de los ciberdelincuentes, ahí entran personas dedicadas al hacker ético que al igual que los delincuentes, se dedican a identificar las vulnerabilidades de los sistemas de las empresas.
“El hacker se atribuye más al que está en capacidad de pensar de una forma diferente. Se ha relacionado más a los ciberdelincuentes, pero desde Fluid Attack hay un equipo inofensivo de seguridad que se enfoca en ayudar a los clientes, a identificar las brechas o vectores que pueden comprometer la información”, afirma Felipe Gómez, Socio y Latam Manager de Fluid Attacks.
Esta es una compañía con más de 20 años de experiencia dedicada a atacar software empresarial de manera continua a compañías que siempre están evolucionando su tecnología. Su enfoque es hackear.
“Nos dedicamos a identificar vulnerabilidades en los sistemas de nuestros clientes. Tradicionalmente la forma como se evalúa la tecnología es cuando esta ya está construida, es decir, cuando el software ya está listo”, puntualiza Felipe Gómez.
Tecnología contra los ciberataques
Sin embargo, la estrategia de Fluid Attacks es mover esa fase de pruebas de seguridad. Es decir, que no se mueva al final de ciclo sino dentro del ciclo de desarrollo.
“La idea es que se pueda compartir rápidamente al equipo de desarrollo cuáles son las vulnerabilidades que se están generando, y que haya un equipo que esté en la capacidad de solucionarlo o tomar decisiones de riesgo”, explica Felipe Gómez.
Ahora bien, este tipo de empresas lo que buscan es ir un paso adelante de los ataques. Por eso su enfoque y principal objetivo es implementar la tecnología que ayude a repeler o postergar los más posible el hackeo.
“El reto que tenemos para los próximos años es desarrollar tecnología que permita que el hacker o el equipo de seguridad identifiquen vulnerabilidades mucho más rápido. Las vulnerabilidades siempre serán las mismas, el reto está en cómo desarrollar la tecnología adecuada”
Felipe Gómez.
Consejos para una estrategia de ciberseguridad
Frente al aumento de ataques, algunas aseguradoras están pensando en no seguir emitiendo seguros contra hackeos, lo que lleva a que las empresas empiecen a pensar de forma consciente en una estrategia de seguridad.
Si bien las compañías grandes, probablemente pueden absorber el impacto de dichos ataques, este posiblemente no es el caso para pequeñas y medianas, que pueden verse obligadas al cierre de operaciones.
Estos son 5 consejos de Fluid Attacks a tener en cuenta:
1. Probar la seguridad de la tecnología de manera continua: Las empresas deben integrar la ciberseguridad desde el comienzo del ciclo de vida de desarrollo, siguiendo la cultura DevSecOps y combinando la automatización con evaluaciones manuales. 2. Enfocarse en la exposición al riesgo en vez del número de vulnerabilidades: Los problemas de seguridad detectados en un sistema pueden ser pocos, pero pueden representar un gran riesgo de perder elevadas sumas de dinero y la confianza de los usuarios. 3. Establecer configuraciones seguras por defecto: Al desarrollar tecnología, este tipo de empresas deben tener en cuenta el modelo de seguridad compartida de la nube. Esto, en parte, implica que los desarrolladores pongan funciones de seguridad a disposición del usuario y establezcan por defecto una configuración que proteja la continuidad de los servicios y la privacidad de la información. 4. Elaborar un plan de respuesta a incidentes: Es responsabilidad de cada empresa establecer las acciones a seguir ante diferentes escenarios, incluso uno realmente catastrófico. En ese plan de respuesta deben definir cuál es el equipo de expertos que se dedicará a entender la causa del ciberataque y cómo remediarla. 5. Comprobar la presencia de expertos en ciberseguridad en la junta directiva: Siguiendo en la misma línea de las propuestas recientes por la Comisión de Bolsa y Valores de EE.UU., las organizaciones en general deberían poder demostrar con detalles que en su junta directiva hay al menos un experto en ciberseguridad. Además de ayudar a la protección de la tecnología, esto contribuiría a proteger a los inversionistas y procurar un mercado justo. |
Imagen Principal: kalhh en Pixabay