Elaborado por la Universidad de Duke y CISO LATAM, el informe “Perspectivas de Ciberseguridad de los Líderes de Industria”, que fue publicado a inicios de año, menciona que las amenazas que más afectan a las empresas en Latinoamérica son el phishing y el ransomware. La utilización de correos falsos o phishing son la forma preferida para introducir el ransomware en las empresas.
A esta realidad que viven hoy las organizaciones, se suma que el 84% de los errores de riesgo de terceros provocaron interrupciones de servicios en las operaciones, afectando la continuidad operacional de las empresas, según un estudio de Gartner del año 2022.
El riesgo de terceros no es nuevo. En diciembre de 2013, se realizó un ataque a la compañía Target, uno de los principales retailers en Estados Unidos. Quienes lo perpetraron utilizaron técnicas de phishing, capturando la cuenta de un colaborador que trabajaba para un proveedor externo de Target, llamado Fazio Mechanical Services, empresa dedicaba a la mantención de aire acondicionado.
Con la captura de estas credenciales, los criminales ingresaron a la red de Target e instalaron un malware en los puntos de venta (POS), el que capturaba la información de las tarjetas de crédito de los clientes. Este incidente de ciberseguridad o cibercrisis tuvo un impacto en más de 40 millones de números de tarjetas de crédito, que fueron robadas, y afectó a 70 millones de clientes.
Una década después, se está viviendo otro incidente de similares características que está impactando a Latinoamérica, incluido Chile, a través de Mercado Público. En esta oportunidad, IFX Networks, compañía que presta servicios en la nube, centros de datos de información y conectividad, ha sido víctima de un ataque de ransomware. El presidente de Colombia, Gustavo Petro, cuyo país ha sido uno de los más afectados, manifestó que el ataque ha impactado a más de 50 entidades estatales y compañías colombianas y 762 compañías latinoamericanas, se han visto afectadas por el ciberataque lanzado el 12 de septiembre.
Ciberseguridad y la cadena de suministro
Entender este tipo de incidentes permite visualizar la importancia que tiene la cadena de suministro y gestión de riesgos de externalidades, cuyas conexiones e impactos pueden llegar a ser incalculables, pues surgen cuando varias compañías se ven afectadas. Esta interconexión es común en la economía digital actual, ya que el propio viaje digital de las empresas implica que los proveedores tengan mayor acceso a su información, por lo que es posible visualizar con mayor claridad cómo el ecosistema de partners, proveedores y clientes se ven comprometidos en una cibercrisis, que puede llevar a las empresas a dejar de operar por varios días.
En este escenario, las empresas deben crear una estrategia robusta de gestión de riesgos de terceros (TPRM), como parte de una ciberseguridad adaptativa; mirar continuamente el entorno para conocer nuevas amenazas y vulnerabilidades, que les permitan ajustar sus defensas, de preferencia en tiempo real, como también a diseñar estrategias TPRM acordes al nivel de riesgo existente.
Desde el punto de vista normativo, un ejemplo a mirar es la Ley de Resiliencia Operativa Digital (DORA), que entra a regir en 2025 en la Unión Europea, la cual debe ser aplicada en todas las instituciones financieras que allí operan. Incluso, aquellas que lo hacen en el extranjero se verán obligadas a abrir filiales para ser supervisadas. Esta regulación es un intento de agilizar el proceso de gestión de riesgos de terceros en todas las instituciones financieras.