El pasado 12 de mayo los noticieros centraron la atención en Wanna Cry, un ransomware que, aprovechando una vulnerabilidad del sistema operativo Windows, logró afectar a una serie de empresas en todo el mundo, incluso en Chile. Y aunque las denuncias formales de la Policía de Investigaciones de Chile fueron solo ocho, de acuerdo a Danic Maldonado, Comisario de la Brigada Investigadora del Cibercrimen Metropolitana (Bricib), “la cobertura mediática que tuvo Wanna Cry permitió visibilizar esta realidad y, por lo tanto, servirá para tomar medidas tanto técnicas como de educación al usuario final en términos de prevención”.
Desde ese viernes, la ciberseguridad se convirtió en el tema en boga, una oportunidad que los proveedores de seguridad no han dejado pasar para generar tanto nuevos negocios como conciencia en la ciudadanía.
Pese a que se había disponibilizado un parche de seguridad a un mes que se detectara la vulnerabilidad, el factor cultural fue nuevamente clave en la masificación de este ransomware que por su capacidad de propagación se hizo conocido como ransomworm.
Danic Maldonado, BRICIB. Eduardo Godoy, SYMANTEC. Leandro Reyes, FORTINET. Paola Molina, COASIN. Cristián Velozo, MCAFEE. Pedro Oyarzún, EGS.CL. Marcelo Díaz, MAKROS. Claudio Retamal, E-MONEY. Pedro Niada, ACROTEK. Miguel Pérez, NOVARED. Manuel Moreno, CYBERTRUST. Eduardo Piraino, NETSEC.
Para Eduardo Godoy, Territory Manager de Symantec para la región South of Latin America, Wanna Cry rompió con los esquemas conocidos, pues los ataques en la actualidad suelen estar dirigidos y concentrados en una industria. “Tiene que ver con una forma diferente de ciberterrorismo, pero debería convertirse en una oportunidad de crear conciencia. Si dejamos pasar esta ocasión histórica, ayudaremos en el trabajo de generar terrorismo”, comentó.
De la inconciencia a la conciencia
Para Leandro Reyes, Manager Systems Engineering para la Región Oeste de América del Sur de Fortinet, muchos usuarios y empresas, sobre todo medianas y pequeñas, afirman: “Nunca voy a ser objetivo de un ataque, pues mi organización no tiene ninguna relevancia para los atacantes”. Sin embargo, Wanna Cry llegó a todo tipo de compañías, aunque en menor nivel a aquellas que sí están conscientes del impacto de la seguridad en sus operaciones de negocios.
“Si hay algo que rescatar es efectivamente que sensibilizó a los usuarios, a las empresas y a la ciudadanía, respecto a que no era un tema lejano o ficticio”, añadió el ejecutivo.
En tanto, Paola Molina, Security Account Manager de Coasin, diferencia el nivel de conciencia sobre el riesgo informático por industria. “La industria financiera siempre está en un trabajo constante, pues si un banco se cae en Chile, todos lo saben. También en el sector industrial, que es el que utiliza redes SCADA, y que si bien no se vio muy afectado con este ataque, empezó a ganar conciencia de que algo como Wanna Cry sí le puede afectar”.
En este sentido, Wanna Cry no solo provocó un aumento en el nivel de conciencia del peligro que ronda el mundo digital, sino que además fue un llamado de atención respecto a los procesos de seguridad propios de cada organiación. No por nada la masificación de este ataque fue un éxito, por la gran cantidad de compañías que no había actualizado los parches de seguridad.
Según el “Reporte Anual de Seguridad Cibernética 2017” -elaborado por Cisco en base a opiniones de 3.000 jefes o líderes de operaciones de seguridad de 13 países- solo un 56% de las alertas de seguridad es investigado y menos de la mitad de estas son legítimas y reparadas. “El parche salió en marzo, pero como industria, ¿cuánto nos demoramos en implementarlo? Esto nos dejó en claro que el tema de seguridad puede no ser tan tecnológico, sino más bien de procesos, que hoy son lentos y burocráticos y que no deberían durar más de un mes”, ejemplifica la ejecutiva de Coasin.
Así, y retomando los efectos que dejó Wanna Cry, Cristián Velozo, Channel Account Manager de McAfee, añadió que este ataque “ayudó a que las empresas tomen conciencia del tema de seguridad y no solo pensando en que hay que invertir más, sino que realmente reflexionando sobre lo importante que es si esto afecta al negocio”.
¿Cuánto me cuesta estar seguro?
A juicio de Pedro Oyarzún, Gerente General de Egs.cl, “más que el hecho de que te ‘hackeen’ o ataquen, el concepto de seguridad está relacionado con la tranquilidad de la persona o de la empresa. Tiene que ver con si hay un mañana cierto o incierto. Aunque muchas veces cuesta vender el concepto”. Esta dificultad, al “vender” seguridad, comienza desde el momento en que el encargado de la seguridad informática de la empresa intenta convencer al directorio de invertir, añade.
Por su parte, Marcelo Díaz, Gerente General de Makros, explicó que “las inversiones en seguridad no se pueden medir con ROI, ya que no hay forma de calcular un retorno claro. Por lo tanto, no se ve el retorno de todo lo que se invierte en seguridad, hasta cuando ocurre un evento como este y tu empresa no se ve afectada. Solo entonces te das cuenta de que lo invertido valió la pena”.
Según Claudio Retamal, Gerente General de E-Money, “la gente gasta en función de que el beneficio sea mayor que el costo marginal, que tiene que ver con cómo se percibe un ataque. Por ejemplo, si en una panadería se cae un PC, a lo más el costo es que su proceso se vuelve más lento. Pero si hablamos de un e-commerce, un proceso que se hace más lento en uno o dos minutos, significa la pérdida de muchos clientes”, añade el ejecutivo. “Entonces ahí empieza a haber conciencia del costo en términos de imagen y eso genera más sensibilidad. Pero, ¿cuánto estoy dispuesto a gastar sin afectar el negocio? Ese gasto tampoco puede ser infinito”, agrega.
Pedro Niada, Gerente de Operaciones de Acrotek, concuerda con que existen limitaciones de presupuesto. “Estamos en Chile, tener un presupuesto sin fin no existe. Pero dado que algunas empresas tienen más conciencia, sí tienen la disposición de gastar para mantener la operación de sus negocios. Para ellas lo que importa, más que la parte informática, es el negocio, que la compañía siga funcionando”, señala.
Seguridad como parte de la continuidad operacional
Las empresas que logran ver la seguridad como parte de sus procesos operativos saben sobre la importancia de invertir y contar con verdaderos procesos de seguridad, más que simplemente adquirir un antivirus. Y aunque Wanna Cry logró elevar el nivel de conciencia y demanda por soluciones de seguridad, que redundó en una fuerte ganancia bursátil para las compañías del rubro, aún falta mucho camino por recorrer en términos de inculcar una verdadera cultura corporativa segura.
“Si le preguntas a un cliente cuál es su estrategia de seguridad, seguramente no la tiene; por lo que no importa el producto que hoy instale, mañana no servirá, pues la seguridad no es parte de la estrategia”, añade el profesional de Makros.
En ese sentido, el ejecutivo de Symantec dice empatizar con “el responsable de seguridad que, por ejemplo, hace dos años fue a pedir un presupuesto que dejó a todo el directorio asombrado. Ahora, si miras cómo han evolucionado los ataques, lo implantado hace dos años hoy no cubre al 100%, porque las formas de ataque cambian. Hay que entender que la ciberdelincuencia es un negocio, y uno muy rentable, de gente que sí invierte en nuevas nuevas técnicas de ataque mientras nosotros seguimos protegiéndonos con técnicas de hace dos años”, explica.
Una oficina de seguridad
De acuerdo a Miguel Pérez, Gerente General de Novared, pese a que muchas empresas han sido lo suficientemente proactivas en términos de seguridad como para instaurar el cargo de Chief Information Security Officer (CISO), el problema aún radica en dejar la responsabilidad en una posición.
“El oficial de seguridad queda en una persona, pero debe ser una oficina. La persona que encabece esta oficina tiene que ser muy hábil para llegar a toda la empresa y generar conciencia sobre la importancia de la seguridad. No se encontrará alguien que sepa todo lo relacionado a seguridad.
Sí alguien que conozca la parte técnica, otro que sepa cómo reaccionar ante incidentes y otro que haga la unión entre los de arriba y los tecnólogos. Más que un rol o una persona mágica, debería haber un equipo con tres habilidades: estratégica para llegar a gerencia; técnica, y de respuesta ante incidentes”, enfatiza.
Para Manuel Moreno, Socio de Cybersecurity en CyberTrust, la falta de profesionales especializados en seguridad ha sido una de las razones por las que el tema no tiene la relevancia que debería en la mayoría de las organizaciones. “El CISO de hoy tiene un rol muy orientado a la seguridad de la información, normativas y compliances. Es un perfil más del área de gestión y muchas veces no entiende la complejidad técnica asociada a un tema tan profundo. Y es que en Chile faltan profesionales, gente que tenga la certificación, ya que no existe una carrera de formación formal”, comenta.
Otra de las razones por las que la seguridad no ha sido un tema relevante tiene relación con la legislación. Según Eduardo Piraino, Gerente General de NetSec, en la medida en que no exista una regulación que obligue a informar sobre ataques de seguridad, las empresas no tomarán la decisión de invertir. “Sin una política que obligue a informar estos eventos, sin una legislación que obligue a dar la cara antes los problemas, ya sea que la empresa cotice o no en la bolsa, no se saca nada. Teniendo un único incidente, las acciones bajan de precio, pero si ese incidente no se conoce, al final del día no pasará nada”, indica.
En este sentido, nuestro país ha tomado la ciberseguridad como una tarea prioritaria, lo que se materializó con el lanzamiento de la Política Nacional de Ciberseguridad. “Esta política se transformará en una verdadera hoja de ruta, que permitirá abordar los desafíos relativos a la seguridad en términos tecnológicos y con ello evitar la comisión de delitos informáticos”, comenta el Comisario de la PDI.
El nuevo instrumento regulatorio considera también la adhesión de Chile al Convenio de Budapest, que entrará en vigor el 1º de agosto, y mediante el que se homologa la legislación nacional en materia de persecución de la criminalidad cibernética.
Sin embargo, y como señala el ejecutivo de Egs.cl, “en seguridad no sirve de nada tener la tecnología, sino que cómo esta se administra. Muchas buenas prácticas no tienen que ver con invertir, sino con asociarse a un buen partner para desarrollar una seguridad realmente segura”.