Rodrigo Valdés.
En materia de seguridad, ¿que reflejó el Cibermonday?
En los últimos 4 años, hay ciertos indicadores que llaman la atención: el aumento de los accesos desde dispositivos móviles como celulares y tablets, y los intentos de ataques mitigados. Frente a este último aspecto, sabemos que existe una industria formal dedicada al ciberataque, que como cualquier empresa ofrece por menos de US$10 atacar cualquier sitio web hasta botarlo. Por ejemplo, si una persona realiza en promedio 3 clicks por segundo, estos atacantes cuentan con sistemas robotizados capaces de realizar 200 clicks por segundo, lo que colapsa a la mayoría de los sitios web chilenos. Estimo que no más de un 5% de las empresas chilenas, en especial aquellas de industrias más vulnerables como retail y banca, cuentan con herramientas efectivas de seguridad para enfrentar un ataque DDoS de denegación de servicio distribuido y, por tanto, la gran mayoría son vulnerables. Mientras que en otros países existen estándares al respecto, Chile no aplica este tipo de soluciones y es muy difícil que una compañía reconozca que ha sido víctima de estos intentos maliciosos.
¿Qué nivel de ataques se registró y de qué tipo principalmente?
El denominado DDoS, ataques de denegación de servicio del tipo distribuido, es aquel que busca “botar” un sitio web. No busca robar información, datos personales o dinero del cliente, sino que perjudicar la imagen de la compañía, ya que al ver frustrado el acceso, disminuye la confianza y credibilidad en la marca, afectando negativamente la fidelidad del usuario: los estudios indican que es altamente probable que opte por otros sitios a futuro, si su experiencia de navegación y acceso, desde el dispositivo que escoja, no ha sido buena.
A modo de referencia, en el Cibermonday de mayo, tras 36 horas de transcurrido el evento, se registraron más de 7 millones de ataques mitigados, y jamás hubiéramos imaginado que cerca de 6 millones de ellos, provinieron de Chile y el resto de México, Brasil, Rusia, Estados Unidos e India. Esto elimina dos grandes mitos; el primero, que las empresas en Chile no son blanco de estos ataques, y el segundo y más importante, que estos ataques no son generados desde Chile. Ambos mitos demostradamente falsos. Eso indica que estamos en el radar de la industria del ciberataque, y la pregunta es saber si podemos garantizar navegabilidad y compra en un escenario límite.
¿Qué falencias o fortalezas se observaron en materia de protección de seguridad?
Como hemos mencionado anteriormente, menos del 5% de las principales empresas de Internet en Chile cuenta con sistemas que permiten mitigar este tipo de ataques, respecto de los volúmenes que pudimos ver en diferentes eventos, que no impacten en la performance de sus sitios, su disponibilidad, o bien no afecten la experiencia de navegación de los usuarios. Este sigue siendo un desafío pendiente.
Existen contadas compañías en Chile que han adoptado las mejores prácticas implementadas en mercados de referencia, como EEUU o Brasil, por lo que las falencias siguen siendo muy importantes. La brecha que aún podemos ver muchas veces es justificada por algunos de los mitos mencionados. Otro de los factores que atenta contra la adopción de dichas prácticas recomendadas, obedece a una suerte de “ceguera cognitiva”, ya que al no contar con las herramientas adecuadas, los resultados de una caída por un ataque de este tipo, pueden ser atribuidos a otras falencias, sin poder identificar efectivamente que se trata del resultado de un ataque.
¿Reflejó este evento la realidad actual del panorama de amenazas?
Efectivamente, el poder contar con un evento masivo en el cual disponíamos de las herramientas para mitigar y medir los volúmenes y ocurrencia de este tipo de ataques, no solo nos permitió derribar los mitos antes mencionados, sino ratificar el alto volumen y capacidad de “disparo” que tienen los hackers para realizar ataques desde Chile y contra empresas chilenas.
¿Qué retos plantea esta experiencia a la industria de e-commerce?
Yo diría que por ser el principal evento masivo de comercio electrónico actúa como termómetro de la seguridad y del comportamiento del usuario online chileno. Eso, sin duda, ayuda a reorientar las estrategias de ventas, eligiendo los canales y fortaleciendo las plataformas, pero también apoya las decisiones de inversión en temas TI de toda compañía, en especial de las más expuestas, con miras a la adopción de las mejores prácticas estándares de mercados de referencia. Un reporte de Akamai Technologies señala que el ranking de incidencia de ciberataques DDoS lo lidera gaming (53%), seguido de software & technology (25%), medios y entretención (5%), y sector financiero (4%). Los ataques relacionados con aplicaciones web mantienen la mira en el retail (43%), hotel y viajes (13%), y finanzas (12%). China, Estados Unidos y Brasil son los puntos de origen más recurrentes de estos intentos maliciosos. Estos antecedentes nos ayudan a abrir los ojos y entender que estos temas que parecen de ciencia ficción no solo ponen en riesgo a industrias de las grandes potencias mundiales, y que estamos en la mira, muy vulnerables.
¿Qué retos plantea esta experiencia a la industria de e-commerce?
Yo diría que por ser el principal evento masivo de comercio electrónico actúa como termómetro de la seguridad y del comportamiento del usuario online chileno. Eso, sin duda, ayuda a reorientar las estrategias de ventas, eligiendo los canales y fortaleciendo las plataformas, pero también apoya las decisiones de inversión en temas TI de toda compañía, en especial de las más expuestas, con miras a la adopción de las mejores prácticas estándares de mercados de referencia. Un reporte de Akamai Technologies señala que el ranking de incidencia de ciberataques DDoS lo lidera gaming (53%), seguido de software & technology (25%), medios y entretención (5%), y sector financiero (4%). Los ataques relacionados con aplicaciones web mantienen la mira en el retail (43%), hotel y viajes (13%), y finanzas (12%). China, Estados Unidos y Brasil son los puntos de origen más recurrentes de estos intentos maliciosos. Estos antecedentes nos ayudan a abrir los ojos y entender que estos temas que parecen de ciencia ficción no solo ponen en riesgo a industrias de las grandes potencias mundiales, y que estamos en la mira, muy vulnerables.
¿Qué rol les cabe a los CISOs en estos retos?
Es difícil que una empresa reconozca que ha sido víctima de un ataque de denegación de servicios. Existe una especie de reticencia a compartir experiencias, tanto positivas como negativas, y todos sabemos que de los errores se aprende y que no es preciso “inventar la rueda”, cuando el mercado dispone de herramientas y buenas prácticas de las que aprender.
En países más desarrollados, como Estados Unidos, herramientas como esta ya son estándares para los líderes en cada segmento. La seguridad informática es un aspecto prioritario en la estrategia de desarrollo de cualquier compañía. Por ejemplo, en nuestra Región en 2013, la banca brasileña sufrió un ataque masivo que obligó a la industria a aplicar cambios y hoy dispone de estándares de alta calidad. Compartir experiencias genera una curva de aprendizaje indiscutible y colabora en la adopción de estándares más seguros. Hace falta en Chile más espacios para generar este tipo instancias de intercambio colaborativo.
