Ricardo Seguel, Académico de la Facultad de Ingeniería y Ciencias de la Universidad Adolfo Ibáñez (UAI).
Ricardo Seguel, Académico de la Facultad de Ingeniería y Ciencias de la Universidad Adolfo Ibáñez (UAI), y Director del Magíster en Ciberseguridad de la misma casa de estudios, explica que los ataques más comunes son el phishing, que aumentó en un 600% durante el primer trimestre de 2020, según Boston Consulting Group – BCG 2021; y el ransomware, que sigue siendo la principal amenaza en los tres últimos años a nivel mundial para robar dinero y datos de los clientes. Indudablemente, los tiempos de pandemia y el protagonismo de las teleoperaciones ubicaron a la ciberseguridad en un rol aún más relevante en la gobernanza de prácticamente todas las industrias, en Chile y el mundo. ¿Pero en qué consisten estas armas de la ciberdelincuencia?
El phishing es una forma en la que hacen “caer” a las personas con un engaño para robarles claves o dinero, o infectarlas con malware y virus. Según Securelist, en 2020 uno de los mensajes de spam y phishing más recurrente estaba relacionado con correos alertando de compras realizadas en algún sitio e-commerce, por ejemplo, Amazon, y PayPal, entre otros; asustando a las personas que, si no respondían, perderían su compra. En esos correos de alerta había links a sitios web con contenido malicioso (malware y virus) que podían infectar sus computadores o dispositivos móviles, e incluso tenían números telefónicos para que las personas los contactaran de vuelta. Otros casos de phishing frecuentes tienen relación con chantajes a personas sobre visitas a sitios de dudosa reputación, por ejemplo, de pornografía, apuestas, drogas, etc., exigiéndoles el pago de una cifra en Bitcoins para no delatarlas. Un tercer caso frecuente es el phishing dirigido a las empresas, empleados y personal subcontratado, haciéndose pasar por otras personas de la compañía, solicitando información, claves de acceso a sistemas, permisos para acceder a instalaciones, etc.
Por su parte, el ransomware es un tipo de malware o software malicioso que captura la estación de trabajo o dispositivo móvil, cifra el disco y exige un rescate en criptomonedas para liberarlo. Sin embargo, nada asegura que el ciberdelicuente no robará o no borrará toda la información que está en ese dispositivo una vez que se pague el rescate. Según ICT Combating Ramsonware 2021, el número de víctimas que pagaron un rescate aumentó en 311% en 2020 y el monto en rescates incrementó en un 171%, llegando a US$350 millones el año pasado. El ransomware se disemina por medio de víctimas de phishing que descargan malware por error y sin darse cuenta que fueron engañadas. Su aumento exponencial se debe a la digitalización forzosa de las empresas e instituciones públicas y crecimiento de las transacciones por Internet que ha provocado la pandemia.
Las nuevas tecnologías para enfrentar los ciberataques son Extended Detection and Response (XDR), que utilizan Machine Learning para prevenir infecciones de malware que exploten vulnerabilidades desconocidas (Zero Day) en los sistemas de una organización. También están los sistemas de monitoreo de actividades de personas y accesos para prevenir escalamiento de privilegios y ataques laterales (Host-based Intrusion Detection Systems – HIDS), sistemas de control de acceso Zero Trust, y prevención y detección de robos de información con Data Loss Prevention (DLP), entre otros.
Expertise de la banca
La banca es una de las industrias más avanzadas en ciberseguridad en Chile. De hecho, el tema nace hace más de 20 años cuando aparece la banca electrónica (e-banking), que permitió a los clientes acceder a sus cuentas corrientes, y hacer pagos y transferencias vía Internet, lo cual significó estar expuestos a nuevos riesgos como fraudes y ciberataques desde cualquier parte del mundo. Esto obligó a la antigua Superintendencia de Bancos e Instituciones Financieras (SBIF) -hoy Comisión del Mercado Financiero (CMF)- a definir algunos lineamientos para seguridad de la información para la banca basados en Basilea I y II. En 2020, la CMF emitió la normativa RAN 20-10 para actualizar los requerimientos de ciberseguridad para adecuarse a Basilea III a partir de diciembre de 2020. Esto obliga a la banca a mantener un estándar más cercano al de países desarrollados en ciberseguridad, tomando medidas de prevención, detección, contención y recuperación frente a un ataque acorde a la RAN 20-10. Asimismo, el sector está invirtiendo fuertemente en tecnología y servicios para cumplimiento normativo y privacidad de datos.
Paralelamente, a lo largo del tiempo, el avance tecnológico ha ido mejorando el acceso a la banca, pero, a la vez, la ha mantenido como uno de los “blancos” favoritos de los ciberdelicuentes. Esto se ha visto agravado con la digitalización acelerada por la pandemia, que aumentó las transacciones de pago y obligó a la banca a continuar su operación con teletrabajo, lo cual expuso a los clientes y trabajadores a un escenario hostil. Según IBM, el costo promedio global de una fuga de datos puede alcanzar los US$4,24 millones, y en Latinoamérica los US$2,56 millones.
El mayor desafío está en concientizar más a las personas porque son el eslabón más débil y pueden caer en engaños como el phishing y otras formas de fraude electrónico, y también a las empresas, de modo de reforzar los procesos de selección de trabajadores y subcontratistas; además de fortalecer los controles de cumplimiento de procedimientos, dado que el estudio de BCG 2021 indica que el 77% de los ciberataques es ocasionado por fallas humanas y no tecnológicas.
En síntesis, la digitalización de varias industrias sigue avanzando. El llamado es a mantenerse alerta y fortalecer el perímetro de seguridad on premise o en cloud de todo tipo de organización y tamaño.