Por Arturo Cabañas, AWS Security Specialist
Nunca vimos nuestra sociedad avanzando tan rápidamente en su digitalización como en el último lustro. Este avance responde al proceso de maduración en las capacidades para el desarrollo (infraestructuras digitales, marco legal, capital humano, industria tecnológica) y uso de innovadores servicios digitales (capacitación técnica, cultura digital, casos de uso, ecosistemas de innovación) en diversos sectores de nuestras economías y en la vida diaria. Adicionalmente, la crisis causada por el COVID-19 se ha convertido en el más reciente catalizador de la transformación digital a nivel global.
Algunos estudios de referencia sobre el crecimiento acelerado de la digitalización a nivel global nos ofrecen datos como los siguientes:
- Se espera que el tráfico de datos globales mensual aumente de 230 exabytes en 2020 a 780 exabytes para 2026[1].
- Los servicios de TIC crecieron a casi el 14% de las exportaciones totales de servicios en todo el mundo en 2020, mientras que los servicios de entrega digital en general aumentaron a casi el 64% de las exportaciones totales de servicios[2].
Sin embargo, todo lo que hemos avanzado, su sostenibilidad y sus potenciales beneficios, hoy se ponen en riesgo por el marcado aumento en las amenazas y riesgos existentes en el ciberespacio que todos compartimos. Por ello, en este momento es necesario y urgente una llamada a la acción sobre la ciberseguridad en todos los sectores.
Uno de los mayores retos en la ciberseguridad es su naturaleza global y de responsabilidad compartida. Es decir, que las amenazas y ataques cibernéticos se pueden originar desde cualquier lugar del mundo, pero más frecuentemente desde países que carecen de marcos legales y capacidades técnicas para perseguir y desarticular a los perpetradores, mientras que, en el lado de la víctima, la responsabilidad por mantener entornos digitales seguros recae en múltiples actores, y por ello, se requiere un plan estratégico coordinado y con suficientes recursos. En el mundo de la seguridad existe una máxima que también es aplicable al entorno digital: «La seguridad es como una cadena, es tan fuerte como el eslabón más débil».
Si bien el reto es enorme, también hemos respondido a lo largo de los años con instrumentos regulatorios y tecnológicos que nos han permitido neutralizar a los perpetradores. Caben destacar los acuerdos de cooperación internacionales en que participan los estados, los estándares internacionales adoptados por la industria tecnológica, los planes para mejorar la postura de ciberseguridad que desarrollan e implementan gobiernos, empresas, organizaciones de todo tipo, e individuos, así como las herramientas que adoptamos, para proteger nuestros entornos digitales.
La paradoja del sector es que mientras más soluciones y recursos adoptamos, los atacantes también cuentan con suficientes recursos, utilizan la innovación, las tecnologías emergentes, y la impunidad remanente para crear nuevas amenazas como lo son la creciente ola de los ataques llamados “ransomware” en inglés, o “secuestro de datos”, en español[3]. La noticia más alarmante es que el nivel de esta sofisticación no se detiene, y en la actualidad hemos entrado en la era de la automatización y aplicación de avanzadas tecnologías como la inteligencia artificial en la creación de los nuevos tipos de ciberataques.
En los últimos años, tanto los gobiernos, como los organismos internacionales, el sector privado, y particularmente la industria tecnológica intentan pasar de la modalidad defensiva a la ofensiva en materia de ciberseguridad. Sin embargo, este esfuerzo consume más tiempo y recursos que los empleados por los agresores para diseñar y ejecutar nuevos ataques. Ante este escenario global, necesitamos estrategias multidimensionales y acciones urgentes a todos los niveles. En este artículo nos referiremos a algunas recomendaciones que consideramos inaplazables, particularmente para América Latina.
A continuación, proponemos cinco (5) pilares para cimentar acciones urgentes en la región:
- Atender el déficit de profesionales del sector ciberseguridad en la región (estimado en más de 700,000)[4], mediante programas de capacitación acelerados y fortalecimiento de la oferta académica especializada. Las alianzas entre múltiples partes, así como el uso óptimo de herramientas de capacitación en línea serán claves para desarrollar el nivel de escala y capilaridad necesarias.
- Impulsar la cultura de ciberseguridad, educación de usuarios (desde la educación primaria) y capacitación de líderes en organizaciones de todo tipo y en todos los niveles de la población, dándole prioridad a los sectores más vulnerables (niñez, personas mayores, PYMES), sobre el potencial de cada uno para fortalecer su seguridad digital. La participación de los medios de comunicación masiva será fundamental para trasladar campañas de concientización a todos los lugares.
- Incrementar la prioridad en los gobiernos por el desarrollo e implementación de estrategias nacionales de ciberseguridad, las cuales vienen a definir la hoja de ruta para mejorar las capacidades y postura de ciberseguridad de los países. Una buena guía para apuntalar este esfuerzo es el estudio titulado, Ciberseguridad: riesgos, progreso y el camino a seguir en América Latina y el Caribe, publicado conjuntamente por el Banco Interamericano de Desarrollo y la Organización de los Estados Americanos en 2020[5], así como programas que estos y otros organismos internacionales están impulsando en la actualidad.
- Acelerar los esfuerzos por adoptar y aplicar acuerdos internacionales contra el cibercrimen como el llamado Convenio de Budapest sobre Delitos Cibernéticos de 2001[6] y su reciente actualización conocida como Segundo Protocolo Adicional de Convenio de Budapest sobre Ciberdelincuencia de 2021[7]. Hasta la fecha, solo doce (12) países de América Latina y el Caribe se han adherido o están en proceso de adhesión a este acuerdo internacional. El Convenio ya ha sido adoptado por ochenta (80) países (14 de ellos en proceso de adhesión) a nivel global. La reciente aprobación del Segundo Protocolo Adicional representa una oportunidad para redoblar esfuerzos en la región.
- Maximizar la armonización de la legislación y regulación asociada a la ciberseguridad a nivel regional para habilitar una aceleración del desarrollo de la industria local y regional de servicios de ciberseguridad.
Como decíamos al principio de este artículo: «La seguridad es como una cadena, es tan fuerte como el eslabón más débil». No seamos el eslabón más débil, llegó la hora de la ciberseguridad.
[1] https://unctad.org/system/files/official-document/der2021_overview_en_0.pdf
[2] https://unctad.org/system/files/official-document/tn_unctad_ict4d19_en.pdf
[3] Ataques ransomware han aumentado un 151% en 2021, según informe del Foro Económico Mundial: https://www.weforum.org/reports/global-cybersecurity-outlook-2022
[4] https://www.isc2.org//-/media/ISC2/Research/2021/ISC2-Cybersecurity-Workforce-Study-2021.ashx
[5] https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
[6] https://www.coe.int/en/web/cybercrime/the-budapest-convention
[7] https://www.coe.int/en/web/cybercrime/-/second-additional-protocol-to-the-cybercrime-convention-adopted-by-the-committee-of-ministers-of-the-council-of-europe