VU -la compañía de ciberseguridad especializada en prevención de fraude y protección de identidad- presentó un análisis completo en el marco del “Día Mundial de la Ciberseguridad”, detallando el estado en el que se encuentra América Latina en materia de desarrollo cibernético; en particular en países como: México, República Dominicana, El Salvador, Ecuador, Colombia, Perú, Brasil, Chile y Argentina.
En este contexto, tuvimos una entrevista con Hernán Carrascal, Director Comercial Regional en VU, respecto de la importancia de implementar rutas y estrategias de ciberseguridad en las empresas y en nuestro día a día, así como algunos detalles de sus hallazgos en el referido estudio.
¿Cuál es la situación actual de América Latina en materia de desarrollo cibernético? ¿Qué ha podido indagar VU al respecto?
En el reciente día de la ciberseguridad (30/11), VU presentó un informe titulado “La Madurez de la Ciberseguridad en América Latina” y basado en datos del BID y la Universidad de Oxford, donde se exponen las perspectivas y tendencias más relevantes para la región.
Los cambios suscitados por la pandemia de COVID-19 dejaron todavía más en evidencia la estrecha relación entre las actividades humanas y la infraestructura digital. El e-Commerce, por ejemplo, aumentó un 30% en cantidad de usuarios en LATAM. Algo que hubiese llevado dos años, tomó apenas seis meses.
Esta enorme aceleración de la transformación tecnológica acarreó enormes beneficios y grandes desafíos en materia de ciberseguridad. En el 2021, se observó un aumento significativo del daño económico generado por ciberataques, algo que está impactando a organizaciones alrededor de todo el mundo. Por estas razones empresas, gobiernos e instituciones deben profundizar su trabajo y visión estratégica relacionadas con la prevención y mitigación de riesgos, tomándolo como algo transversal a la vida diaria.
2. ¿Qué ocurre en el caso de Perú y cómo se ubica en la región?
Entre enero y abril de este año, la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú investigó 1,188 denuncias de delitos cibernéticos, siendo los casos más frecuentes los relacionados a fraude informático y suplantación de identidad. Además, la Unidad Fiscal Especializada en Ciberdelincuencia reporta que el Perú fue blanco de 613 millones de intentos de ciberataque entre enero y junio del 2020; y que entre el 2013 y julio del 2020 el 42% de los delitos informáticos fueron contra el patrimonio.
Y por supuesto, a nivel global, el cibercrimen ocasiona pérdidas económicas por un billón (millón de millones) de dólares al año, según un reporte del Centro de Estudios Estratégicos e Internacionales.
Estas cifras demuestran que, efectivamente, hay mucho camino por recorrer y por educar tanto en el consumidor como en las empresas. Y, sobre todo, para reducir al mínimo cualquier brecha que posibilite una vulnerabilidad y afecte nuestra seguridad digital. Es un camino largo, pero 100% valioso y necesario para Perú y todos los países de la región que están enrumbados hacia ese norte.
3. ¿Qué tan conscientes son las empresas peruanas respecto a problemas de ciberseguridad?
La situación en Perú, a partir del informe que realizamos desde VU “La Madurez de la Ciberseguridad en América Latina” -basado en un estudio previo del Banco Interamericano de Desarrollo (BID)-, hay mucho para trabajar. Perú ha recibido más de mil millones de ciberataques solo en el primer trimestre del 2021, provenientes en su mayoría por campañas por redes sociales y mensajes de texto al celular, induciendo a los usuarios a ingresar a links desconocidos para llevarse premios al instante, por ejemplo. Tanto la Unidad Fiscal Especializada en Ciberdelincuencia y la División de Investigación de Delitos de Alta Tecnología de la Policía continúan identificando y reportando estos delitos de fraude.
Estos no son solo números: son el reflejo de una situación alarmante que debe ser combatida con un trabajo mancomunado entre el sector público y el privado en términos de tecnología y estrategias robustas de ciberseguridad. Mientras los ciberatacantes se actualizan, actúan y cambian sus tácticas permanentemente a través del phishing, ransomware y malware; por solo mencionar algunas, es el momento para que las organizaciones les brinden mayor seguridad a los ciudadanos.
4. ¿Cuáles son las amenazas más frecuentes y/o importantes que enfrentan las empresas en materia de ciberseguridad?
La evolución de los ciberataques es constante, actualizándose y profesionalizándose a cada minuto. Las amenazas halladas no son nuevas, pero sí se han sofisticado: hoy son capaces de dirigirse a objetivos más específicos y de maneras menos detectables, o hasta segmentadas. Existen varias clasificaciones para los ciberataques, aunque las más comunes son:
El phishing, que engaña a los usuarios haciéndose pasar por instituciones de confianza para que estos compartan sus contraseñas, números de tarjetas de crédito, claves bancarias u otra información confidencial. Suelen ocurrir a través de correo electrónico, falsos sitios web, sistemas de mensajería y hasta llamadas telefónicas.
En enero de este año, de acuerdo con reportes del Anti Phishing Working Group (APWG), se registraron picos históricos de este tipo de ataques, convirtiéndose en el tercer mes con más registros fraudulentos de la década
Por otra parte, en abril, un error en una base de datos de Facebook permitió a los atacantes obtener información sensible de 533 millones de usuarios, como sus nombres completos, correos electrónicos y números telefónicos.
El ransomware es un tipo de virus utilizado por hackers para secuestrar datos y solicitar dinero a las víctimas para liberarlos. En los últimos años, los ciberdelincuentes suelen pedir que dicho rescate se abone en criptomonedas, para evitar ser identificados
Con 495 millones de ataques detectados, registró un aumento del 148% en relación al año anterior y todo indica que se incrementarán el próximo año.
6. ¿La pandemia ha modificado el accionar de los ciberdelincuentes o las amenazas?
Junto con la incorporación de vocabulario a partir de la pandemia por COVID-19, el 2020 y 2021 trajeron también un incremento de las compras online o e-Commerce, producto de nuevas medidas sanitarias que disminuyeron o imposibilitaron la circulación de los ciudadanos. Ante este escenario, además de la gran cantidad de oportunidades que ofrece la digitalización del comercio, se vio incrementado el peligro de su posible vulneración. Hablamos entonces de ciberdelitos, los cuáles toman diversas formas, como fraudes y estafas (por ejemplo, en cuentas bancarias), robo de claves de acceso (tanto a home banking, aplicaciones) o de datos de tarjetas de crédito, por citar algunos ejemplos.
Esto sin contar los miles de trabajadores que comenzaron a desempeñar sus tareas en el formato home office y les era completamente ajeno, o las compañías que debieron volcar todo a la nube, algo que les era completamente ajeno. Empresas de todo tamaño vieron, de un día al otro, cómo su operatoria – y sus datos sensibles – debían ser remotos, y como tenían que crear estrategias de ciberseguridad en un instante.
Además, existen las temporadas altas de compra que son uno de los momentos elegidos por los ciber atacantes para operar. El reciente Black Friday o estas semanas de compras navideñas son el escenario perfecto para que muchos opten por realizar el famoso online shopping desde la comodidad de sus hogares o para maximizar descuentos; pero todos los usuarios y empresas deben tener en cuenta una serie de tips para que un click no se convierta en una pesadilla: controlar que la URL sea de la tienda en si (por ejemplo, que no contenga letras repetidas), tratar de evitar las redes abiertas para concretar operaciones, no ingresar dos veces los datos de la tarjeta, desconfiar de las ofertas que llegan vía mensajes de texto o canales no oficiales de las compañías, y buscar estas redes para certificar la reputación del vendedor.
7. ¿Qué se espera para el 2022 y/o los años siguientes en cuanto a peligros cibernéticos?
Para el año próximo se estima que la ciberdelincuencia se termine de ramificar en el Internet de las Cosas (IoT), a través de la interconexión y transmisión de datos entre objetos cotidianos como celulares, tablets, televisores, autos, computadoras e Internet. Estos aparatos eléctricos, electrónicos y los dispositivos digitales con los que convivimos tienen circuitos y sensores que les permiten ejecutar programas, recolectar y compartir datos sin la intervención de personas. Por ello, es muy importante estar atentos a la seguridad de las redes de WiFi a utilizar, por dar un ejemplo, ya que los ciberdelincuentes buscan vulnerabilidades en ellos, dándoles la posibilidad de acceder de forma remota a la red y robar datos e información personal y sensible.
8. ¿Cuáles son los principales consejos o soluciones que ofrece VU para las empresas en materia de ciberseguridad?
Ante la aceleración digital producto de la pandemia, resulta fundamental establecer acciones de concientización que sean transversales tanto a industrias como a la sociedad en general.
Para trabajar proactivamente y lograr un ciberespacio seguro, VU forma parte de diversas iniciativas a nivel mundial. Por ejemplo, FIRST es un espacio dónde tenemos contacto con 602 equipos de respuesta ante incidentes de seguridad en más de 99 países, lo que le nos permite operar como una comunidad global. Adicionalmente, colaboramos con Prisma Medios de Pago en la región, posicionando un Equipo de Respuesta ante Incidencias de Seguridad Informáticas (CSIRT). Este grupo monitorea constantemente, con herramientas automatizadas, que los atacantes no generen páginas, aplicaciones o perfiles de redes sociales apócrifos, con el fin de robar las credenciales de usuarios y generar ataques u obtener accesos no autorizados a la información. Este servicio también permite disminuir las pérdidas causadas por los virus, las vulnerabilidades, accesos no autorizados a la información, robo de información protegida, entre otros.
Como creemos que la educación es uno de los pilares para cambiar el futuro, ofrecemos herramientas a nuestros aliados, como 7 módulos de e-learning enfocados en potenciar las capacidades de los usuarios en cuanto a: la introducción a la seguridad de la información; amenazas en internet; consejos de seguridad; amenazas en cajeros automáticos; seguridad en puestos de trabajo; introducción a PCI-DSS —un estándar para la seguridad de tarjetas bancarias en compras online—; y seguridad en desarrollo de aplicaciones.