Ciberseguridad: Una mirada a los desafíos inmediatos
Una nueva alarma de ciberseguridad se encendió en agosto pasado y remeció el mapa geopolítico: cinco páginas web falsas, vinculadas al gobierno de Estados Unidos y creadas por un grupo de piratas informáticos presuntamente ligados al gobierno ruso, pretendían robar información, contraseñas y otros datos de cualquiera que hiciera click. Fue una revelación de Microsoft, tras un extenso monitoreo e investigación junto al FBI, que llegó tras meses de sospechas y advertencias por parte de funcionarios estadounidenses, ante la posible injerencia rusa en las elecciones legislativas que se celebrarán en ese país el próximo mes.
También fue uno de los ejemplos que puso sobre la mesa Tom Burt, vicepresidente corporativo de Seguridad y Confianza del Cliente de Microsoft, para hablar sobre las batallas virtuales que han dado recientemente, mientras transitan hacia la ‘paz digital’, un concepto que actualmente promueven con acciones y estrategias concretas. En el marco de un encuentro organizado por Diario Financiero y Microsoft, con la colaboración de Fundación País Digital, el ejecutivo aprovechó su visita para conversar con el presidente de Banco Estado, Arturo Tagle; el gerente de Informática de la Bolsa de Comercio de Santiago, Andrés Araya; el gerente de Tecnología y CiberSeguridad de Bci, Cristian Guerra, y el consejero de la Alianza Chilena de Ciberseguridad y director ejecutivo de Chiletec, Marco Zúñiga.
Antes de debatir sobre las necesidades de la industria ante las crecientes amenazas digitales, Burt se refirió a los estragos causados en el mundo tras la irrupción de ransomwares como Petya, Not-Petya o WannaCry, el que dejó a Chile como uno de los países más afectados en la región y que golpeó a sistemas de salud y grandes compañías del mundo.
Un año después, este tipo de ataques se ha convertido en uno de los grandes dolores de cabeza en el segmento de la ciberseguridad, señaló el ejecutivo, y desde entonces, está al acecho de todos. Particularmente del sector financiero, que en el país ha estado especialmente vulnerable durante los últimos meses en este aspecto.
Estrategias para el combate
Trabajar junto con gobiernos, policías y entes no-gubernamentales para mejorar la inteligencia que permita contrarrestar efectivamente y a escala global los efectos de los ciberataques, es una de las estrategias que proponen desde Microsoft para ayudar a neutralizar, localizar y controlar el crimen tecnológico, respetando las leyes de los países involucrados.
También es importante que las empresas de cualquier tamaño, incluyendo las pequeñas y medianas (pymes), puedan tener una división o un equipo que se dedique a asuntos relacionados con la ciberseguridad.
En este sentido, Burt señaló que Microsoft, por ejemplo, cuenta con un equipo conocido como Unidad contra Crímenes Digitales (DCU, por sus siglas en inglés), en la que trabajan en colaboración con organizaciones como Europol o Interpol para disuadir la actividad criminal. ‘A partir de la experiencia interna, es necesario y vital compartir conocimientos con el entorno, porque este es un trabajo que no puede ejecutar cada empresa en solitario’, insistió.
El Marco de Trabajo de Ciberseguridad del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés), que en gran parte está reflejado en la norma ISO 27103, reúne las mejores prácticas y metodologías de la industria y la experiencia de cientos de voluntarios para establecer una línea de trabajo consistente y práctica, junto con abordar los desafíos actuales en materia de ciberseguridad, que incluye el hecho de tener clouds ‘lo más seguras y resilientes posibles’, o enfrentarse a patrones cada vez más sofisticados para adivinar contraseñas. De hecho, es precisamente por esto y por los riesgos que supone, que Microsoft está dejando atrás esta forma de autenticación para dar paso a los sistemas biométricos, señaló Burt.
Asimismo, la iniciativa del ‘Cybersecurity Tech Accord’, recientemente lanzada por Microsoft, es otro de los ejemplos mencionados por el ejecutivo en relación a cómo las empresas pueden trabajar en equipo para tener entornos más seguros. Con este acuerdo, firmado en un comienzo por 34 compañías y que a la fecha ya suma más de 60, las empresas de la industria buscan defender de ataques a sus clientes en todo el mundo.
Y es, además, una de las razones de su visita a Sudamérica hace un par de semanas. ‘Nos gustaría tener más compañías suscritas a este acuerdo en este lado del mundo, sobre todo en Chile’, dijo Burt durante el encuentro con los ejecutivos chilenos.
Tiro al blanco
Que Chile está en riesgo fue el consenso al que llegaron los ejecutivos al final del debate, a propósito de la reciente ola de ciberataques y filtración de datos bancarios que han ocurrido en el país en los últimos meses, en un contexto donde los cibercriminales han ido sofisticando sus técnicas e, incluso, ‘alimentando egos’ cada vez que logran lo que se proponen. ‘Además de robar dinero o información, hay quienes lo hacen por ver que logran vulnerar los sistemas’, observó Arturo Tagle. Pero el riesgo no está en que falte atención o estrategias, sino a raíz de que el país se ha convertido en un blanco atractivo.
‘Chile es un país interesante para estos criminales, tanto por su estabilidad y desarrollo económico, como por la presencia que tienen acá grandes compañías globales pues, como hemos visto, el dinero ha sido un componente clave en este tipo de ataques’, dijo Burt.
En un ambiente empresarial donde hay cada vez más preocupación de blindarse ante amenazas y donde han surgido organismos como la Alianza, que busca articular canales de comunicación entre privados y el gobierno, todavía falta mucho por hacer. Lo más urgente es un marco formal para abordar esta problemática, acotó Marco Zúñiga.
Aunque el gobierno está avanzando en generar una nueva institucionalidad en torno a estos temas, y nombró a Jorge Atton como asesor presidencial de ciberseguridad –estrategia aplaudida en esta conversación–, ‘ese avance debe ser mucho más rápido y tener un sentido de urgencia que no sea tan político, sino más de acción, involucrando a todos los sectores productivos del país para que los esfuerzos no sean aislados, como pasaba hasta hace poco’, enfatizó el consejero de la Alianza Chilena de Ciberseguridad, respaldando la visión de Microsoft de ocuparse de estos temas en equipo.
En ese marco, para Andrés Araya, de la Bolsa de Comercio de Santiago, es clave una colaboración ‘mucho más amplia’ entre las empresas, junto con un enfoque educativo que no debe perderse de vista, sobre todo porque las personas son ‘el eslabón más débil en esta cadena’, advirtió desde su experiencia en una entidad que recibe más de ocho mil amenazas por mes, reconocidas como intentos reales de ataque.
‘Hay que enseñar que el phishing existe, porque no todos lo saben y por eso caen una y otra vez’, dijo el ejecutivo del organismo que es parte del Mercado Integrado Latinoamericano (MILA), la integración bursátil transnacional de las bolsas de valores de Colombia, México, Perú y Chile, donde constantemente comparten información relacionada a amenazas, noticias valiosas o buenas prácticas.
Desde el Bci advirtieron que no es suficiente que sólo la banca tome medidas de seguridad, puesto que ‘el tema es transversal e impacta al ecosistema de pagos y a todos quienes intervienen en una operación en el comercio, por ejemplo’, sostuvo el gerente de Tecnología y CiberSeguridad de este banco que desde el año 2016 tiene una gerencia especialista en temas de ciberdefensa.
‘Hoy todos pueden ser afectados por una brecha de seguridad que al final del día expone información sensible. Por eso, la colaboración que debe existir, y que todos acá han planteado, es clave’, acotó Cristian Guerra.