Heitor Abreu* – Gentileza de Dciber – Brasil
BRASIL OCUPÓ EL PUESTO 18 EN UNA LISTA DE 20 PAÍSES DE LAS PRINCIPALES Y MÁS DIGITALIZADAS ECONOMÍAS DEL MUNDO [1], SEGÚN MIT TECHNOLOGY REVIEW INSIGHTS, EN UNA ENCUESTA SOBRE CIBERDEFENSA EN COLABORACIÓN CON LA EMPRESA CODE42 [2].
Australia, los Países Bajos, Corea del Sur, Estados Unidos y Canadá se ubicaron entre los cinco primeros [3].
El resultado fue divulgado en el informe The Cyber Defense Index 2022/23 [4]. Fue un estudio donde se analizaron tres aspectos: la ciberseguridad, las capacidades organizativas y las iniciativas políticas. Brasil obtuvo una puntuación de 4,75 sobre un máximo de 10,0. Solo estaba por delante de Turquía (19) e Indonesia (20).
Este informe, junto con otras informaciones de amplia circulación, daban a Brasil como el principal objetivo de los ciberataques en América Latina [5] y, según un informe de la empresa Kaspersky, Brasil ocupa el primer lugar en cuanto a estafas se refiere, phishing a través de WhatsApp [6], solo corrobora los resultados del MIT.
POSIBLES CAUSAS
Desafortunadamente, los datos anteriores no deberían sorprender. Desde hace algunos años, Brasil lidera o se encuentra entre los países con más problemas de ciberataques y “estafas” digitales en general. La pregunta que debe hacerse es: ¿Cuál es la causa de este escenario? A continuación, se presentan algunas ideas que pueden responder parcialmente a este interrogante, además de la conocida escasez de profesionales en esta área en el país.
- Falta de cultura de seguridad de la información (SI)
Quizás el más importante de ellos es la falta de una cultura robusta sobre qué es la seguridad de la información, cómo protegerse de los ataques de los ciberdelincuentes y las pérdidas que puede generar su falta. La ciberdefensa, la protección de datos y otros temas relacionados con la seguridad y protección de la información y los datos de una empresa o de los particulares siguen siendo temas muy restringidos y poco conocidos por las personas.
Por un lado, somos buenos usuarios de herramientas, redes sociales y muchas otras facilidades que nos ofrece la tecnología. Por otro lado, somos, de manera significativa, legos en conocer y adoptar acciones, muchas de ellas extremadamente simples, para proteger nuestra información y datos. No tener una cultura en esta área abre enormes puertas para que los ciberdelincuentes actúen. Ellos lo saben y lo aprovechan.
2. Deficiencia o falta de gestión de riesgos
La gestión de los riesgos cibernéticos y tecnológicos, principalmente por parte de las empresas, incluidas las grandes, en general, es otro problema. Al no comprender la necesidad de evaluar los riesgos que una nueva tecnología puede traer a una empresa -e incluso a una persona-, es común asumir peligros en este ámbito sin saber la probabilidad y el impacto que, una vez que se produzca un atentado o golpe de Estado uno está expuesto e implica daño físico y mental.
3. Dificultad en la comunicación entre los profesionales de TI y otros sectores de la empresa
El uso de un lenguaje extremadamente técnico por parte de algunos profesionales de tecnologías de la información (TI), seguridad de la información (SI) y otros vinculados al área tecnológica termina constituyendo una barrera cultural. A menudo, estos profesionales utilizan expresiones y siglas que son inaccesibles para muchas personas en una empresa; confundirlos -sin proponérselo-, y hacerles perder el interés por el tema. Esto crea fronteras innecesarias y conduce al pensamiento erróneo: “este problema de seguridad de la información son las TI”.
En realidad, la seguridad de la información es un “problema” de toda la empresa y de sus individuos, y no solo de un área. Establecer una cultura de seguridad de la información en un entorno con barreras es extremadamente complejo y requiere estrategias diferentes y no siempre simples.
4. La alta dirección no lidera el proceso
LA SEGURIDAD DE LA INFORMACIÓN NO ES SOLO UN PROBLEMA DE TI,
DE HECHO, ES UN TEMA TRANSVERSAL
A TODOS LOS SECTORES DE LA EMPRESA.
Pero para que esto realmente vaya más allá de hojas y hojas de papel (muchas veces archivadas) animando a todos a preocuparse por posibles intrusiones o intentos de invasión cibernética o “golpes de Estado”, deben existir acciones efectivas que deben comenzar desde la alta dirección. Cualquier política o plan de seguridad de la información debe iniciarse, alentarse y aplicarse de manera vertical. De lo contrario, lo más probable es que la iniciativa fracase.
5. Los ciberdelincuentes son cada vez más sofisticados
Sin agotar las posibles causas en este texto (son muchas y diversas), es necesario, finalmente, entender que los ciberdelincuentes ya no actúan de forma desorganizada o solitaria, en su mayor parte. La imagen de un hacker solitario, con una sudadera con capucha en la cabeza y comiendo comida chatarra en un cuarto oscuro, es cada vez más rara.
Se organizan cada día mejor, creando “grupos” similares a una empresa, como BlackCat y Clop, “invirtiendo” capital y utilizando herramientas o artefactos cada vez más elaborados en sus acciones ilegales. Otros, como DarkSide [7], por ejemplo, utilizan ransomware-as-a-service (RaaS), tal es su sofisticación [8].
Segundo informe, basado en datos de Kaspersky, titulado “Los ataques de ransomware son cada vez más sofisticados” [9], la situación entre 2022 y 2023 es la siguiente:
“En 2022, las soluciones de Kaspersky detectaron más de 74,2 millones de intentos de ataques de ransomware, un aumento del 20 % con respecto a 2021 (61,7 millones). Ya a principios de 2023, vimos una ligera disminución en la cantidad de ataques de ransomware. Sin embargo, estos se han vuelto más sofisticados y específicos. Además, ha habido un cambio drástico entre los grupos de ransomware más influyentes y prolíficos. REvil y Conti, que ocuparon, respectivamente, el 2° y 3° lugar en cuanto a ataques en el primer trimestre de 2022, fueron reemplazados, en los primeros tres meses de 2023, por Vice Society y BlackCat. Dos de los otros grupos que están más activos ahora mismo son los Clop y los Royal”.
Los impactos de la falta de cultura de seguridad de la información
Evidentemente, esta situación tiene una serie de impactos negativos en las empresas y personas brasileñas. Son diversos y van desde «baja» a «alta criticidad». Abarcan un amplio espectro, que va desde la fuga de información y datos hasta la imposibilidad de que la empresa continúe operando.
Basta pensar en una empresa que utiliza masivamente el comercio electrónico y sufre un ataque DDoS [10] en su sitio web. Su operación puede ser inviable durante días. Las pérdidas resultantes (tangibles e intangibles) son fáciles de entender.
EL HECHO ES QUE ESTA FALTA DE CULTURA EN LA PREVENCIÓN DE ATAQUES EN EL ÁREA TECNOLÓGICA GENERA DAÑOS ECONÓMICOS Y EMOCIONALES A LAS PERSONAS Y EMPRESAS QUE SUFREN ESTE TIPO DE ACCIONES DELICTIVAS.
Algunos de ellos se pueden enumerar:
- Aumento de costos innecesarios
Desafortunadamente, por razones culturales, muchas empresas, independientemente de su tamaño, todavía consideran que la seguridad de la información y la protección de datos son un costo y no invierten en esta área. Esto implica, en el caso de un ataque exitoso, daños tangibles e intangibles que son difíciles de calcular.
Mientras no se entienda que la seguridad de la información es una inversión empresarial tan importante como la adquisición de cámaras de circuito cerrado (que son parte de las acciones de seguridad de la información), los seguros, los nuevos bienes de capital para aumentar o diversificar la producción y los contratos logísticos con terceros, entre otros, seguirán siendo muy vulnerables.
Siempre es importante recordar que la seguridad de la información, que incluye la defensa cibernética, no tiene la capacidad de proteger al 100% a una empresa o persona de un intento de invasión. Sin embargo, puede reducir de manera sustancial y robusta la llamada “superficie de ataque” [11] (a través de herramientas, estrategias y capas de defensa) y, por lo tanto, disuadir a un eventual ciberdelincuente de perpetrar un ataque, ya que el costo financiero, la movilización de personas y medios técnicos hace inviable la acción penal por la protección que se encuentra en una empresa o en un dispositivo personal. Esto aumenta la llamada “ciberresiliencia”.
Por ejemplo, una contraseña de administrador de 18 dígitos, incluidos caracteres especiales, letras mayúsculas y minúsculas y números, siempre que se mantenga bien protegida, puede tardar miles o miles de millones de años en descifrarse, lo que hace inviable un ataque de «fuerza bruta» [11].
2. Posible pérdida de reputación de la empresa o cese de sus actividades
Uno de los mayores impactos que se pueden sufrir, si un ataque tiene éxito, es la pérdida de reputación de una empresa, además de los costes de multas y procesos judiciales. Esto repercute directamente en su facturación y, en casos específicos, en su propia existencia.
Este fue el caso, por ejemplo, en St. Margaret’s Health en los EE.UU., que afirmó que la causa (parcial) del cierre de sus puertas se debió a un ciberataque de ransomware [12].
¿Qué se puede hacer?
Si los problemas y las vulnerabilidades existen, las soluciones también existen. Algunos de ellos son simples y tienen un efecto casi inmediato. Otros son más complejos, pero pueden implementarse y tienen un efecto extremadamente positivo en las empresas y las personas. El secreto es hacerlo de forma sistemática y con apoyo profesional.
Comience con lo obvio: diagnostique cómo está la empresa en esta área
- El primer paso es realizar un diagnóstico en la empresa.
ES NECESARIO SABER DÓNDE ESTÁN LAS MAYORES VULNERABILIDADES Y AMENAZAS, CUÁLES SON, SUS IMPACTOS Y PROBABILIDADES, Y OTROS ASPECTOS IMPORTANTES ANTES DE TOMAR DECISIONES.
Un buen diagnóstico, realizado de forma objetiva y clara, es el primer paso hacia el ansiado crecimiento de madurez en seguridad de la información.
- Plantear los mayores riesgos y centrar en ellos los primeros planes de acción
Al entender dónde están los mayores problemas en el área de la seguridad de la información, es momento de analizar cada vulnerabilidad y establecer planes de acción enfocados, preferentemente con metodologías ágiles, para aquellas que son consideradas “altamente críticas” y “críticas” en primera instancia.
CAPACITACIONES, CONFERENCIAS, TALLERES Y EL USO DE TECNOLOGÍAS ESPECÍFICAS, TANTO EN EL ÁREA DIGITAL COMO FÍSICA, PUEDEN REDUCIR DRÁSTICAMENTE LA SUPERFICIE DE ATAQUE EN POCO TIEMPO.
Además, con estas acciones ya inicia un camino de cultura de seguridad de la información en la empresa de manera sostenible en el tiempo.
- Contratar profesionales calificados para diferentes tareas
Para que estas acciones brinden los resultados esperados, concretos y en el menor tiempo posible, es fundamental la contratación de empresas especializadas, profesionales con diferentes habilidades y que sean capaces de mirar el negocio a proteger de manera pragmática y completa. De nada sirve que un sector esté bien protegido si otro tiene vulnerabilidades importantes.
EL HACKER O UN INGENIERO SOCIAL UTILIZARÁ ESA “PUERTA” MÁS VULNERABLE PARA OBTENER LOS RESULTADOS DELICTIVOS DESEADOS PARA ELLOS DENTRO DE OTROS SECTORES DE LA EMPRESA. ES IMPERATIVO PROTEGER TODO EL “ECOSISTEMA”.
- Adhesión de la alta dirección
La alta dirección, con su directorio y consejo de supervisión, comités y altos ejecutivos, entre otros, necesita demostrar a sus empleados a nivel táctico y operativo su firme decisión de difundir y practicar la cultura de seguridad de la información. Para ello, necesitan ser ejemplos, buscar conocimientos sobre riesgos tecnológicos y cibernéticos, adoptar medidas estratégicas para proteger el negocio y discutir el tema con especialistas internos y externos.
Además, necesitan monitorear el progreso de los proyectos de implementación en esta área. Saber lo que está bien encaminado y lo que hay que seguir más de cerca, solicitando informes objetivos y claros, así como acciones correctoras, en su caso, eficaces. El tema debe formar parte de las agendas de directorios y reuniones de alto nivel, entre otros.
Dependiendo del tamaño de la empresa, es recomendable pensar en contratar a un director de seguridad de la información (que no puede ser la “gente de TI”, por lo que se segregan funciones), también conocido en inglés como Chief Information Security Officer (CISO).
Conclusión
La seguridad de la información debe ser vista como un aspecto estratégico de las organizaciones. Por lo tanto, la importancia de involucrar a la alta dirección, especialmente a las juntas directivas, es fundamental.
Es necesario comprender y aceptar que el mundo ha cambiado, incluida la forma de hacer negocios. Han aparecido nuevos riesgos, y seguirán apareciendo, y es necesario abordarlos. Los activos de las empresas se concentran cada vez más en información y datos (clientes, proveedores, empleados, parámetros numéricos y algoritmos para robots en planta, etc.) almacenados en servidores o en la nube. Así, las empresas se convierten en un objetivo gratificante para los delincuentes digitales, ya sea para “estafas” o para el secuestro de información y datos mediante encriptación, exigiendo elevadas sumas como “rescate”.
No se deben descuidar los activos físicos existentes (información en casilleros, datos en papel, etc.), que merecen la misma protección frente a acciones de seguridad de la información.
Mirar a la seguridad de la información como parte fundamental de la estrategia de una empresa, mantenerse permanentemente informado sobre el tema, invertir en la capacitación de los recursos humanos y mejorar constantemente los procesos de negocio (físicos y digitales) para que sean más seguros, debe ser parte de la cultura de una empresa.
Ya están surgiendo nuevas tecnologías con robustez, como la inteligencia artificial, que exigen nuevas medidas de seguridad. Dentro de un tiempo, los ordenadores cuánticos y otras tecnologías pasarán a formar parte de la realidad de las empresas y aparecerán nuevos retos en materia de seguridad.
Es necesario entender y prepararse para navegar estos tiempos en que las tecnologías se vuelven transversales a las empresas, crecen geométricamente y significan su permanencia o no en el mercado.
SE REQUERIRÁ TRABAJO CONJUNTO, DIÁLOGO Y LA CONSTRUCCIÓN DE PUENTES PARA REVERTIR LA SITUACIÓN ACTUAL. LOS IMPACTOS ECONÓMICOS Y SOCIALES POSITIVOS, SI SE ADOPTAN ACCIONES EFECTIVAS POR PARTE DE LAS ORGANIZACIONES, SE PERCIBIRÁN EN UN CORTO PERÍODO DE TIEMPO.
Si Brasil quiere salir de este incómodo “liderazgo” en materia de seguridad de la información, es importante un verdadero cambio de cultura en esta área.
Referencias
[1] G-20. Rusia fue excluida de la encuesta y Polonia fue incluida.
[2] <https://www.code42.com/>
[3] El índice de defensa cibernética de MIT Technology Review Insights (CDI), según la introducción del informe, es la primera clasificación comparativa anual del mundo de las 20 economías más grandes y avanzadas en su preparación, respuesta y recuperación de las amenazas de seguridad cibernética.
[4] El informe completo se puede descargar desde el enlace <https://www.technologyreview.com/2022/11/15/1063189/the-cyber-defense-index-2022-23/>
[5] Fuente: <https://olhardigital.com.br/2023/04/08/seguranca/brasil-eo-principal-alvo-de-ataques-ciberneticos-na-america-latina/>
[6] Fuente: < https://olhardigital.com.br/2023/03/24/seguranca/brasil-e-lider-em-golpes-de-phishing-pelo-whatsapp/>
[7] Según un artículo de CloudFlare, “Es un modelo de negocios para empresas criminales que permite que cualquier persona se registre y use herramientas para llevar a cabo ataques de ransomware. Al igual que otros modelos como servicio, por ejemplo, software como servicio (SaaS) o plataforma como servicio (PaaS), los clientes de RaaS alquilan servicios de ransomware, en lugar de comprarlos como en un modelo tradicional de distribución de software ”.
[8] Fuente: < https://www.cloudflare.com/pt-br/learning/security/ransomware/ransomware-as-a-service/>
[9] Fuente: <https://tugatech.com.pt/t54197-ataques-de-ransomware-estao-cada-vez-mais-sofisticados>
[10] Ataque cibernético que se caracteriza por impedir que un servicio, como un sitio de comercio electrónico, funcione correctamente.
[11] Según IBM, “la superficie de ataque de una organización es la suma de las vulnerabilidades, rutas o métodos, a veces llamados vectores de ataque, que los piratas informáticos pueden usar para obtener acceso no autorizado a la red o a datos confidenciales, o para llevar a cabo un ataque cibernético.» <https://www.ibm.com/br-pt/topics/superficie-de-ataque>
[11 a] Según el sitio web < https://www.tecmundo.com.br/seguranca/210443-tempo-leva-hacker-descobrir-senha.htm#google_vignette > “El caso más seguro posible son las contraseñas de 18 caracteres y todos los símbolos, letras y números. En este escenario, al hacker le llevaría unos simbólicos 7 cuatrillones de años obtener acceso a través de prueba y error”.
[12] Fuente: < https://www.nbcnews.com/tech/security/illinois-hospital-links-closure-ransomware-attack-rcna85983>
*Propietario de Pluvia Seguridad de la Información y los Datos. Especialista en Seguridad de la Información, Gobernanza, Cadena de suministro. Miembro del Comité de Seguridad de la ANPPD®. Miembro de I2AI. Vocero.
Fuente: https://dciber.org/seguranca-da-informacao-e-a-realidade-do-brasil/
Ciberprisma - alianza por la ciberseguridad 