La ciberseguridad es una de las principales preocupaciones de las empresas. Son tantas las amenazas que las aseguradoras ofrecen productos para cubrir a las compañías frente a riesgos informáticos. ¿Qué papel juegan los proveedores de internet, las autoridades y las compañías especializadas en la detección y prevención de fraudes y otros ataques?
Por: Viviana Sánchez
A mediados de 2015 el escándalo estalló. Ashley Madison, un portal de citas canadiense que tenía como clientes principales a personas casadas o en una relación, fue atacado por hackers. Detrás de esta “ofensiva” digital estuvo el grupo Impact Team que, tras enviar una amenazante carta a los directivos de la organización para que cerra¬ran el portal, decidió revelar los datos de 37 millones de usuarios de más de 40 países.
Las brechas de seguridad del portal permitieron que los piratas informáticos no solo obtuvieran información confidencial sobre las tarjetas de crédito y las transacciones que los tarjetahabientes hacían con ellas a través de la página, sino que reveló detalles de las aventuras amorosas de los usuarios que pusieron en riesgo su privacidad y comprobó que ninguna empresa está exenta de sufrir estos ataques.
Sin embargo, en la mayoría de los casos, la piratería informática no tiene motivaciones ideológicas sino económicas. A diferencia de lo que ocurrió con Impact Team, que aparentemente buscaba cerrar Ashley Madison por considerarla inmoral, por medio de los ataques a las compañías los defraudadores buscan información confidencial de ellas o sus clientes y datos precisos sobre su comportamiento o actividad comercial.
Daniel Cuéllar, vicepresidente de Gemalto para el Pacto Andino y el Caribe, afirma que la información extraída ilegal¬mente por vía digital puede ser usada para fines como la extorsión de empresarios o particulares, la venta de información sobre los hábitos de consumo de las personas o los procesos internos de la compañía a terceros, la suplantación de identidad para acceder a plataformas empresariales y, desde ahí cometer otros delitos.
De acuerdo con Keith Farlinger, CEO de BDO International, los delincuentes informáticos, así mismo, buscan obtener información confidencial de la competencia para usarla a su favor, perjudicar los negocios de un tercero para lograr alguna ventaja y afectar la reputación de una compañía o avergonzarla con el fin de que esta ceda a las amenazas a cambio de no verse envuelta en un escándalo de proporciones mayores.
A nivel mundial, según el The Breach Level Index Report de Gemalto, que realiza la trazabilidad de las vulnerabilidades aprovechadas por defraudadores, en 2015 hubo más de 700 millones de registros de usuarios extraídos por personas no autorizadas. Colombia registra altos niveles de suplantación, secuestro o robo de identidad y delitos de ingeniería social para obtener datos de forma fraudulenta.
Estos delitos afectaron, en su mayoría, al sector financiero que maneja grandes sumas de dinero, las organizaciones gubernamentales que recopilan una cantidad inimaginable de datos, el sector petrolero y el de salud. “Es importante aclarar que no hay ningún sector económico que los delincuentes informáticos dejen por fuera de sus planes. Esto, desafortunadamente, incluye a las pequeñas y medianas empresas”, afirma Farlinger.
Nosotros, los vulnerables
La totalidad de delitos cibernéticos que se cometen en Colombia, explica el experto de Gemalto, ocurre porque las personas y empresas carecen de sistemas apropiados de prevención de fraude, aseguramiento de data y autenticación. Aunque se registra un mayor interés por parte de las compañías en implementar mecanismos para protegerse, un gran porcentaje espera a que haya sido perpetrado un ataque cuando ya es tarde para tomar correctivos.
John Jairo Echeverry, director de Servicios Forenses y Seguridad de la Información de Adalid, laboratorio privado de informática forense más grande de Latinoamérica, afirma que las empresas, especialmente las más pequeñas, cuentan con una seguridad informática débil. Es decir que no diseñan protocolos y estándares a nivel de hardware y software para concebir sistemas computacionales de información confiables y seguros.
Paralelamente, no han desarrollado un SGSI (Sistema de Gestión de Seguridad de la Información). “Este modelo -dice Echeverry- da lineamientos para proteger la información de las empresas. Para defi¬nirlo es necesario contar con una política de seguridad general y con políticas complementarias”. Se refiere a la identificación de activos de información (datos sensibles, infraestructura, aplicaciones, entre otros) y a la identificación de los riesgos.
Las empresas atacadas por hackers, generalmente, no cuentan tampoco con un sistema de gestión documental que debería contener manuales e instructivos para los empleados que expliquen cómo se concibe a la seguridad informática en la compañía. La definición de indicadores que permitan medir la eficiencia, eficacia y efectividad de un SGSI, entre otros, son elementos inexistentes o accesorios en las empresas atacadas por hackers.
El experto de Adalid, asimismo, hace énfasis en que una de las principales brechas que se abren para el libre gozo de los ciberdelincuentes es la formación profesional, que se desentiende de estudiar y cubrir los riesgos asociados a la seguridad de la información. En ese sentido, los empleados se constituyen como el eslabón más débil de la cadena de protección frente a los terroristas digitales.
“El principal riesgo que permite desencadenar amenazas virtuales es el desconocimiento generalizado de las personas sobre estos temas, a lo que llamo ignorancia virtual. Debido a esto, la seguridad de la información no está dentro de los objetivos estratégicos de las entidades y, por ende, no existen planes de acción que involucren recursos financieros, humanos y logísticos para que dichos planes sean sostenibles en el tiempo”, afirma Echeverry.
En Colombia, por otro lado, existen leyes que permiten a las empresas blindarse frente a los ataques virtuales y combatir estos delitos. Además, hay compañías especializadas, como BDO y Adalid, que pueden aportar pruebas forenses necesarias en caso de que los delincuentes sean llevados a juicio. Sin embargo, el desconocimiento sobre la normativa es otra vulnerabilidad que expone a las compañías a los ciberataques.
Conexiones seguras
Entidades como Asobancaria no dejan de advertirlo: “Tenga en cuenta desde dónde accede a internet. Siempre utilice su computador personal para realizar operaciones bancarias, nunca lo haga desde computadores de terceros o en sitios púbicos como un café internet”, reza su manual para realizar transacciones bancarias de manera segura en internet que adoptaron hace unos años todas las entidades bancarias.
Aunque la recomendación tiene sentido, frente a ella surge una duda. ¿Qué papel juegan los proveedores de los servicios de internet frente a la protección de delitos informáticos? Según Roger Santamaría gerente de Mercadeo Corporativo de Claro, esta entidad ofrece a las pymes no solo la conexión a la web, sino soluciones especializadas para proteger su información a un costo razonable a través de Claro Cloud.
Seguridad Empresas protege a los negocios de ataques de hackers, robos de contraseñas, virus y spam. Respaldo en Línea, por otro lado, recibe información crítica de los computadores o los servidores de las compañías para recuperarla cuando se necesite. “La oferta de servicios de seguridad crece y no siempre es fácil determinar qué se requiere o qué no. Este es el momento para pensar en la gestión de la seguridad como un todo”, recalca Santamaría.
El sector asegurador también juega un rol en la ruta de la cibercriminalidad en Colombia porque ha desarrollado portafolios para hacer frente a estos delitos. Este es el caso de Seguros Sura que, como parte de su filosofía de innovar para acompañar a los clientes frente a las dinámicas mundiales de riesgos, creó el Seguro de Protección Digital para cubrir a las empresas frente a eventos que amenacen su información y así garantizar su continuidad.
“Este seguro cuenta con coberturas de responsabilidad civil derivada de fallas en el tratamiento de datos personales, sin importar el medio de fuga, o información de terceros y daños propios como pérdida de activos digitales e interrupción del negocio”, asegura Estefanía Gómez, gerente de Negocios Patrimoniales y Empresariales de la entidad. La primera cobertura es la preferida por los clientes desde el lanzamiento del seguro en 2015.
AIG Seguros Colombia también evidenció esta necesidad y, en 2012, lanzó CyberEdge, un seguro cuya demanda registra un aumento, especialmente por parte de los sectores financiero, tecnológico y de telecomunicaciones y de empresas de todos los tamaños. De acuerdo con Andrés Navas, gerente de Líneas Financieras de la entidad, este año el banco incluyó un nuevo beneficio.
Este se denomina Gastos de investigación forense y cubre los honorarios profesionales de expertos forenses que lleven a cabo investigaciones para determinar la causa de una violación de información personal, información corporativa o seguridad de datos. Así se complementa esta solución de gerencia de riesgos cibernéticos que cubre la responsabilidad frente a terceros derivada de fallas de seguridad de la red del asegurado o fallas en la protección de los datos. Así mismo, responde frente a acciones legales como demandas judiciales por la pérdida de datos.
“Ciberdetectives”
En lo que va corrido de 2016, de acuerdo con la Dijin (Dirección de Investigación Criminal e Interpol de la Policía Nacional), el hurto por medios informáticos y semejantes es el delito informático por el que más se han recibido denuncias con 2.044. Le siguen violación de datos personales (686) y acceso abusivo a un sistema informático (571). La modalidad delictiva más reportada ha sido la suplantación de identidad con 327 casos.
A este se suman 217 reclamaciones por phishing, 126 por malware, 30 por ransomware y 16 por spoofing. ¿Cómo actúan los “ciberdetectives” para capturar a los culpables de estos delitos? Una vez la Fiscalía general de la nación recibe la denuncia, se define un grupo investigativo que traza la hipótesis del caso e identifica los hechos y modus operandi para hallar a los responsables.
De acuerdo con el teniente coronel Fredy Bautista, jefe del Centro Cibernético Policial de la Dirección de Investigación Criminal e Interpol, para esto se emplean actividades judiciales como búsqueda selectiva en bases de datos, allanamientos, entrevistas, interrogatorios, interceptación de comunicaciones e inspecciones. Estas investigaciones, asociadas a la Ley 1273 de 2009 referente a delitos informáticos, pueden tardar un año, según su complejidad.
“En 2016, el Centro Cibernético ha tenido un porcentaje de éxito de 85% en las operaciones asociadas a la captura de ciberdelincuentes”, afirma el teniente coronel. Esto ha sido posible gracias al trabajo articulado con otras unidades y seccionales de investigación criminal, al trabajo conjunto con instituciones del Estado y a los acuerdos de cooperación trasnacionales que permiten desarticular organizaciones criminales que trascienden fronteras.
Así mismo, existen en Colombia compañías que reciben casos de delitos informáticos cuando estos ya han generado gra¬ves consecuencias. “Usualmente, estos casos llegan antes de que sean denunciados porque las organizaciones no cuentan con un Equipo de Respuesta a Incidentes de Seguridad de la Información que les permita entender qué ocurrió y su impacto. Tampoco tienen conocimiento en recolección de evidencias digitales para de-mostrar la existencia del fraude”, afirma John Jairo Echeverry, director de Servicios Forenses y Seguridad de la Información de Adalid.
Mediante una metodología de investigación forense, esta compañía obtiene dichas evidencias, presentes en cualquier medio de almacenamiento y/o infraestructura tecnológica, con el fin de encontrar información eliminada de manera intencional, recuperar información de mensajería instantánea, entre otros. Además, conserva su valor probatorio para que puedan ser aportadas en cualquier proceso legal.
“Hemos entendido que estos temas también deben referirse a la prevención, teniendo en cuenta la cantidad de modalidades delictivas basadas en el crecimiento tecnológico. Tenemos un portafolio de aseguramiento de la información y una línea de capacitación con cursos especializados para la atención de incidentes de seguridad. Estas actividades permiten generar hábitos de autoprotección”, concluye el experto.
¿Hackeado?: tenemos la solución
El ingeniero de sistemas Arthuz Díaz y el ingeniero electrónico Robin Salcedo se conocieron en 2006 cuando trabajaban como consultores y analistas junior para una compañía de seguridad informática. Se acababan de graduar de la Universidad Distrital y UIS, respectivamente, y se hicieron amigos. Quien cuenta la historia es Robin, que desde joven empezó a investigar sobre hacking y convirtió a esta práctica en su estilo de vida.
A raíz de la visibilidad que ganaba en el medio como experto en el tema, fue contratado por la empresa de seguridad donde conoció a Arthuz. Luego, sus caminos se separaron porque los dos se dejaron tentar por el “bichito” del emprendimiento, pero no les fue bien. Un día se encontraron en un café al norte de Bogotá para hablar de sus experiencias y ahí decidieron convertirse en socios de negocios.
“Cansados de que no nos valoraran, sin dinero y con miedo acordamos montar una empresa. Decidimos que yo -dice Robin- sería el socio capitalista y trabajaría a tiempo parcial y que Arthuz, a cambio, estaría al frente de la empresa a tiempo completo. En el mundo digital el yo real deja de ser tan importante como el yo digital. Así creamos Identian en 2013 cuando en Colombia nadie sabía aún qué significaba esto”.
En sus trabajos anteriores, los ingenieros realizaban pruebas cibernéticas para determinar la vulnerabilidad o fallas de seguridad en las plataformas tecnológicas de los clientes y encontrar correctivos. Ese se convirtió en el ADN de su nueva compañía. El término hacker tiene dos aproximaciones, una positiva y una negativa, los emprendedores optaron por la primera y crearon un portafolio para grandes empresas y otro para pymes.
“Cuando se habla de hackers, generalmente, se hace referencia a delitos informáticos, “chuzadas” o robo de datos. Quienes cometen estos delitos son considerados hackers negros. Los blancos, usamos sus metodologías para ayudar a nuestros clientes. Ellos son el Correcaminos y nosotros, El Coyote. Aprendemos de ellos para poder ofrecer servicios innovadores y confiables a nuestros clientes”, afirma Robin.
Las soluciones de Identian son diferenciales porque abordan segmentos que tienen necesidades frente a su seguridad digital, pero no siempre cuentan con el presupuesto para cubrirlas, lo que puede poner en juego su competitividad. Así mismo, le apuestan a la formalización de las empresas porque no contar con un sello de protección de su información las puede dejar por fuera de procesos de contratación o cadenas de valor.
“La ciberseguridad debe ser un derecho. Por eso, nuestro servicio Ciberseguridad Total Pyme contempla pruebas de seguridad y vulnerabilidad, ethical hacking para encontrar debilidades, asesoría en la norma ISO 27001 que obliga a las entidades a implementar sistemas de gestión de seguridad de la información, soluciones para proteger el correo electrónico, antispam, entre otros”, aclara el fundador.
Tras reinvertir en utilidades, lograr un crecimiento a todo nivel, hacer parte de la junta directiva de la Andi del Futuro y ser beneficiarios del programa Springboard de Connect Bogotá, Identian se prepara para fortalecer su estrategia de marketing y modelo comercial. Es un emprendimiento de alto potencial que le apuesta al desarrollo del país a través de la protección digital de quienes están expuestos a un ataque.
Al ataque: estos son los principales ataques cibernéticos que afectan a las empresas
– Phishing: técnica para capturar datos a través de la suplantación de sitios web utilizando ingeniería social.
– Ingeniería social: obtención de información personal a través de la búsqueda de datos en la red, generando un perfil de la víctima.
– Malware: programa informático que ejecuta acciones ilegitimas y sin autorización del usuario, comprometiendo información confidencial.
– Soopfing: técnica para capturar datos a través de la suplantación de sitios web.
– Ransomware: tipo de malware que restringe el acceso de un usuario a un sistema. Para recobrar su contraseña se le exige que pague dinero.
El costo del cibercrimen
Según el informe del Observatorio de Ciberseguridad de América Latina y el Caribe, revelado por el Banco Interamericano de Desarrollo, “el cibercrimen le cuesta al mundo cerca de US$575.000 millones anuales, lo que representa 0.5% del PIB global”. En América Latina, el costo por estos delitos asciende a US$90.000 millones al año.
En el mundo empresarial se registran altos porcentajes de afectación por estos delitos. De acuerdo con el ESET Security Report 2016, que analiza el estado de la seguridad informática en Latinoamérica, 40% de las empresas de esta región sufrió un incidente por malware en el último año. Colombia se ubica hacia la mitad del ranking de países que registraron vulnerabilidades. El pishing es el segundo “mal cibernético” más frecuente en el continente.
Denuncie en línea
En Colombia el Centro Cibernético Policial cuenta con un Cai virtual desplegado en diferentes canales para interponer denuncias relacionadas con delitos cibernéticos. El portal www.ccp.gov.co contiene un chat disponible en todo momento para atender requerimientos ciudadanos. En la cuenta de Twitter @CaiVirtual y en la de Facebook, caivirtual, se difunden constantemente alertas relacionadas con diferentes modalidades utilizadas por los ciberdelincuentes. En el teléfono (571) 4266302 también se puede hallar respuesta a dudas sobre el tema y solicitar al ciberpolicía especilizado las sugerencias para interponer denuncias.