La dependencia de la tecnología ha ido en aumento en los últimos años, pero ha sido vital en los últimos meses. El confinamiento impuesto por el Covid-19 en varios países, además del uso de plataformas digitales, ventas en línea, seguimiento del estado de salud de empleados y terceros, y el regreso a una nueva normalidad, ha provocado que las funciones de ciberseguridad de las organizaciones se vieran colapsadas en ciertos momentos, comprometiendo la seguridad de varias compañías.
Este es el escenario ideal para que los ciberdelincuentes lancen sus ataques y comprometan la seguridad de los datos confidenciales, así como la continuidad operativa de las organizaciones.
Sabiendo que hoy en día estamos a la expectativa de toda nueva información sobre la pandemia, los cibercriminales, disfrazados de representantes de la Organización Mundial de la Salud (OMS), envían actualizaciones falsas de correo electrónico a los usuarios y roban información confidencial. Lamentablemente en la mayoría de los casos somos reactivos frente a la ciberdelincuencia.
Por otro lado, las organizaciones, empresas y personas se enfrentan día a día a una amplia gama de ciberamenazas y ciberataques cada vez más evolucionada y compleja de detectar, contener y resolver. Es claro ver que el cibercrimen se ha vuelto una de las actividades más lucrativas en los últimos años, incrementándose exponencialmente.
Los ciberdelicuentes están aprovechando la situación sin mostrar escrúpulos. Están tomando ventaja sobre personas y organizaciones que se enfrentan a condiciones nunca vistas, que han llevado a las empresas a reaccionar en forma improvisada y muchas veces descuidada para ofrecer continuidad a sus operaciones de negocio. Es por esto que en EY estamos conscientes de que la ciberseguridad y la protección de la información (considerada el nuevo petróleo) tiene una importancia fundamental en nuestras vidas, tanto a nivel personal como laboral. La pandemia dejó de manifiesto que son piezas clave para continuar con nuestro diario vivir, ya que en este contexto la posibilidad de un ciberataque está “a la vuelta de la esquina”, sobre todo cuando el teletrabajo, la educación vía e-learning y las reuniones virtuales son la manera de mantenernos conectados con el mundo.
En relación a lo anterior, de acuerdo al último estudio de EY sobre seguridad de la información (GISS, por sus siglas en inglés), más del 80% de los encuestados informó cambios en las operaciones de seguridad diaria a raíz del Coronavirus, siendo los desafíos de soporte de trabajo remoto el impacto más citado. Además, un 60% ha vivido algún ataque significativo en los últimos 12 meses; 6 de cada 10 organizaciones no tiene un encargado de ciberseguridad que participe permanentemente en el Directorio y solo un 7% de las organizaciones describiría al área de ciberseguridad como un factor de innovación, ya que la mayoría elige términos como “impulsado por el cumplimiento” y “aversión al riesgo”. Por último, un 48% dice que el principal impulsor de nuevas inversiones en esta materia es la reducción de riesgos y un 29% cita los requerimientos regulatorios.
Panorama local
Chile, como país, ha enfrentado un escenario complejo en los últimos 10 meses, iniciándose con el estallido social del 18 de octubre de 2019, el cual ha condicionado la economía, la seguridad y, de forma significativa, la productividad y el comercio. Si bien, apenas se lograron establecer acuerdos trasversales a nivel social, el país debió enfrentar un nuevo desafío en marzo de este año con la pandemia, por la cual las autoridades adoptaron medidas para su control que incluyeron diferentes herramientas y estrategias basadas en el equilibrio entre la salud pública y la actividad económica. En el ámbito de la privacidad se ha discutido bastante sobre la facultad de las organizaciones para compartir los datos de los contagiados por Covid-19 y hacer uso de la información para aplicar polí- ticas públicas y estrategias de protección a la ciudadanía por parte de las alcaldías, contando con la negativa del Gobierno para su utilización.
Por otro lado, las medidas de confinamiento que se han establecido para la población han generado una alta demanda en el comercio electrónico, compras online y delivery, los cuales han tenido que enfrentar el gran desafío de abastecer a toda la demanda a tiempo, poniendo a prueba la efectividad de los procesos de atención a clientes de forma remota. Adicionalmente, se han registrado casos de estafas por medio de ingeniería social, ya sea mediante la utilización de técnicas de phishing o pharming, suplantaciones de identidad y vulneración de apps para servicios bancarios, entre otros.
Desde la mirada de las empresas, el confinamiento obligó a trasladar la operación de sus colaboradores a la modalidad de teletrabajo y se encontraron con diversos escenarios de riesgo. Para ello, las organizaciones se vieron ante el reto de proveer accesos remotos a su personal de manera significativa, debiéndose priorizar la operación de sus recursos por sobre los niveles seguridad exigidos. Adicionalmente, la exposición de información desde los hogares ciertamente es un ambiente menos controlado que su red interna y sus respectivas capas de protección. Hoy, las empresas deben confiar en la “seguridad” de cada hogar, ya sea en configuraciones de seguridad establecidas por los proveedores de servicio de Internet, como en las herramientas de protección para sus propias estaciones de trabajo.
Todos estos escenarios están develando cuáles de los planes de respuesta ante incidentes y de continuidad han sido efectivos v/s los que no obtuvieron los resultados esperados. Esto ha generado que las empresas tengan que reevaluar sus procesos para fortalecerlos pensando que este nuevo horizonte llegó para quedarse por largo tiempo.
En materia política, hubo ciertos avances, como la aprobación de la ley 21.220 que modifica el código del trabajo en el ámbito de teletrabajo y trabajo a distancia. También el Gobierno estableció convenios de colaboración con el objetivo de intercambiar información relativa a alertas, amenazas e incidentes de seguridad informática, y cooperar en la prevención y detección de incidentes de ciberseguridad. El tema que aún queda por resolver es poder contar con una legislación robusta en materia de protección de datos personales. Creemos que el escenario actual pone presión a esta necesidad y esperamos que en el corto plazo el borrador de la ley vea la luz y pueda ser reglamentado.
Finalmente, desde mi punto de vista no existen recetas mágicas, protocolos únicos o solo una forma de diseñar la planificación de riesgo para enfrentar una amenaza virtual, ya que este tema está en constante cambio y siempre surgen nuevos conocimientos o vulnerabilidades. No obstante, si logramos sensibilizar sobre la importancia que cada uno tiene en el cuidado de la información, esta será la forma más eficiente de protegerse frente al creciente incremento de ataques en que se busca, a través de la ingeniería social y otras prácticas, que las personas caigan en engaños y fraudes informáticos, ya que es sabido que el eslabón más débil terminamos siendo nosotros.