'Latinoamérica debe crear políticas públicas sobre ciberseguridad'

Al margen de la cantidad de registros y datos que se recopilan constantemente, la ciberseguridad es una línea de base que las empresas, tanto del sector privado como público, no pueden perder de vista. Para ello es importante que las personas y las organizaciones conozcan cuáles son sus responsabilidades y cómo pueden evitar ser objeto de algún tipo de hackeo.

“Cuando avanzamos hacia la transformación digital no podemos perder de vista que toda la información que se genera es una moneda de cambio en el ciberespacio”, señaló Juan Carlos Reyes, director para Estados Unidos y Latam de Antifraude, Cyber Security & Privacy Services, a La Estrella de Panamá, durante su participación en el primer Congreso para Sujetos Obligados (Copaso).

En cuanto al almacenamiento de información, Reyes explicó que hoy los ciberdelincuentes no buscan dinero directamente, sino que se han enfocado en obtener la mayor cantidad de datos que les permitan ejecutar esquemas de suplantación para acceder a información sensible de las personas, ya sea reportes médicos como financieros, con el fin de venderlos al mercado negro de internet.

Este experto en antifraudes y ciberseguridad hizo un llamado a las personas para que sean conscientes de proteger su información, ya que se trata de nombre, dirección, número de tarjeta de crédito e identificación personal, que por diferentes circunstancias se entregan a empresas (tanto públicas como privadas), que están en la obligación de resguardar y garantizar la seguridad de la información que almacenan.

Recalcó que las personas tienen que olvidarse del pensamiento de que su información o su empresa no son de interés para los ciberdelincuentes, porque hoy desde el banco más grande hasta el comercio más pequeño son un objetivo.

La mayoría de los ataques de robo de datos está relacionada con ransomware o 'secuestro de datos', un virus que genera el ciberdelincuente para entrar y encriptar todos los archivos para luego pedir un rescate a su víctima. Es un ataque fácil para ellos porque es una forma rápida de obtener dinero, según el experto en antifraudes y ciberseguridad. Señaló que este trabajo lo hacen aproximándose a sus víctimas, ya sea por correo electrónico, llamadas o mensajes con el fin de obtener su información para venderla en el mercado negro o utilizarla en esquemas de suplantación.

“Al mercado negro entramos todos sin importar ingresos económicos, porque las campañas de ransomware, por ejemplo, se basan en tener base de datos muy grandes de correos electrónicos activos. Así el ciberdelincuente compra una base de datos de mil cuentas para enviar su ransomware, de forma tal que si 100 o 10 cuentas abren el archivo ya es una forma para ellos de generar ganancias”, manifestó Reyes.

Desde su experiencia, este experto en antifraudes y ciberseguridad reconoció que las empresas están haciendo inversiones en ciberseguridad, pero lamentablemente este es un tema resumido en que “lo que hoy es seguro, ya mañana no lo es porque alguien encuentra una vulnerabilidad o una nueva forma de atacar en cualquier lugar del mundo”.

Por eso cree que la ciberseguridad requiere una inversión continua y de innovación constante. “El tema de ciberseguridad es de nunca acabar, porque no llega un momento en que uno puede decir que ya terminó el ciclo, cuando sabemos que es un sistema que avanza todos los días y eso es lo que no podemos perder de vista”. Aclaró que “la inversión no es que se pierda, sino que las empresas deben estar innovando y buscando tecnología más avanzada para protegerse mejor”.

En medio de la búsqueda de tecnología más avanzada, Reyes opinó que las empresas deben volcarse hacia una estrategia de protección del dato más que de la infraestructura informática. Es decir, todas las inversiones que se han hecho hasta ahora en materia de protección informática son válidas y suman, pero indicó que las empresas tienen que llegar a un nivel adicional, de no solo proteger las redes de comunicación o nube, sino el dato que puede ser objeto de un ciberataque.

“No se trata de proteger más el dato y menos la infraestructura, sino que con la infraestructura hemos llegado a un nivel de madurez de protección, entonces, ahora hay que dar el paso de proteger los datos”, sostuvo el experto.

“Los ciberatacantes se están volcando a agredir a las personas porque saben que las empresas están invirtiendo en infraestructura robusta, por lo que no van a perder el tiempo en vulnerar un sistema informático de una organización o banco. Para ellos es más fácil atacar a las personas para estafarlas y conseguir sus datos de alguna manera”, añadió.

Reyes comentó que ya hay una estrategia que se llama Zero Trust, que dicta que para proteger los datos que almacena una empresa, esta tiene que comenzar a establecer controles relacionados con la identificación de quiénes son las personas autorizadas para acceder a ellos. Estos parámetros, según dijo, se utilizan porque dentro de las organizaciones, los colaboradores, así trabajen en el mismo lugar, tienen acceso directo a información sensible de los usuarios, cuando esto no debería pasar.

Manifestó que con Zero Trust las empresas deben empezar a identificar los controles específicos de quién o no debe tener acceso a la información, dependiendo del nivel de sensibilidad o riesgo.

Ante este escenario, el experto en antifraudes y ciberseguridad comunicó que las empresas deben ser muy conscientes de toda la infraestructura informática que tienen y la información que están manejando, porque hay datos públicos y privados.

Con el sector privado indicó que existe mayor exigencia de inversión para su protección, porque acarrea responsabilidades de índole legal, económica y reputacional. Mientras que para el escenario del sector público es diferente. Sin embargo, Reyes aclaró que eso no significa que tenga menos importancia.

“¡Claro!, hay una cantidad de información sensible propia de las organizaciones del gobierno que está sujeta a protección, pero debemos tener en cuenta que los flujos de decisiones relacionadas con cuánto se tardan en lograr resultados son mucho más largos, lo que no implica que tenga menos responsabilidad en la protección de la información”, enfatizó el experto en antifraudes y ciberseguridad.

“Creo que en Latinoamérica estamos un poco atrasados en el desarrollo de políticas públicas de ciberseguridad porque trabajamos mucho en la ciberdefensa. Ahora hay que comenzar a generar políticas públicas de ciberseguridad que ayuden al ciudadano común a sentirse seguro frente a la ciberdelincuencia”, concluyó.