Expediente Abierto
►Ciberseguridad ♦ Reportaje
Cómo proteger información crítica
México es el segundo lugar entre los países latinoamericanos con mayor número de incidentes cibernéticos, solo por detrás de Brasil. En este contexto, los gobiernos tienen a su alcance herramientas para evitar ataques que pongan en riesgo los datos sensibles de la ciudadanía
►Por Luis Alberto Hernández
FOTOS: DREAMSTIME
De acuerdo con Unit 42, un grupo de inteligencia de amenazas y consultoría de seguridad global de Palo Alto Networks, México es el segundo lugar entre los países latinoamericanos con mayor número de incidentes cibernéticos, solo por detrás de Brasil.
En un estudio publicaron que, durante los últimos 12 meses, el país sudamericano sufrió de 39 incidentes cibernéticos; México tuvo 23; Perú 14; Argentina 12 y Chile 10. En tanto, Haití, Guatemala, Cuba y Bolivia fueron los únicos países sin registros de ransomware.
Asimismo, el documento indica que el principal grupo criminal de ransomware que actúa en Latinoamérica es LockBit 2.0, un grupo cibercriminal que comenzó en 2019 y actualizó su programa de ransomware en 2021.
“LockBit 2.0 fue responsable de al menos uno de cada cuatro incidentes de ransomware (23 por ciento) en Latinoamérica. El segundo más relevante es el grupo Prometheus, responsable de 19 por ciento de los ataques en Sudamérica. LockBit 2.0 también encabezó los rankings por incidentes de ransomware en México, con 22 por ciento”, señala el informe.
De acuerdo con el estudio, la Ciudad de México fue la entidad más atacada, con un total de 11 incidentes, seguida de San Luis Potosí con tres y Michoacán con dos. Y en cuanto a municipios o alcaldías, Azcapotzalco, Cabo San Lucas y Guadalajara ocuparon los tres primeros lugares, respectivamente.
Destaca también que, en Latinoamérica, la industria de servicios profesionales y legales fue la más atacada, al recibir 28 atentados, por delante de la industria manufacturera y del Gobierno Federal, estatal, local y el sector educación. “Por su parte, el mismo sector público fue el principal receptor de estos incidentes en México, con tres eventos registrados, seguido de la industria de materiales y los servicios al consumidor (dos)”, apunta el documento.
Por lo anterior, es imperativo que todas las organizaciones, tanto del sector privado como público, estén preparadas con estrategias de ciberseguridad para combatir estas amenazas.
RECURSO HUMANO, CLAVE EN CIBERSEGURIDAD
Jefferson Gutiérrez, Socio Líder de Asesoría en Tecnología Forense de KPMG México, comenta en entrevista que publicaron un documento llamado La triple amenaza en las Américas, que se compone por resultados de encuestas realizadas a organizaciones en tema de ataques cibernéticos. A partir de dichos datos, explica el especialista, se detectaron tres riesgos para las organizaciones de distintos sectores: cibercrimen, cumplimiento regulatorio y fraudes.
“Ocho de cada 10 organizaciones reportaron algún tipo de ciberataque significativo, y por significativo queremos decir que tuvo algún tipo de impacto relevante en el negocio. Y esto era, digamos, a lo largo y ancho de todas las industrias. El cibercrimen no tiene una preferencia”, subraya el entrevistado. En dicho contexto, explica Jefferson Gutiérrez, el phishing —que significa pescar y viene del término en inglés fishing— es la práctica más común en cuanto a ciberataques y el precursor de estos mismos. “Consiste en ‘pescar’ datos personales o información sensible a través de engaños virtuales, como una liga o un archivo que son enviados vía correo electrónico o por aplicaciones de mensajería instantánea”.
Detectar un ciberataque toma, en promedio, 2 semanas desde que comenzó. En tanto, contenerlo puede llevar alrededor de un mes
En otras palabras, puntualiza, cuando los hackers logran engañar a alguien para que dé clic a un archivo, da el primer acceso para otros delitos: suplantar identidad, robar datos, etcétera. “El cibercrimen es un negocio (si se le puede llamar así) que, para 2025, generará 10.5 trillones de dólares, es decir, si fuera una economía, sería la tercera más grande del planeta, apenas después de Estados Unidos y China”, advierte el socio de KPMG.
Por ello, resalta que como primer paso se debe conocer qué es lo que están buscando los atacantes, lo cual puede ser desde suplantar a una persona u organización completa hasta un acto de activismo.
“La aproximación de suplantación de identidad, por ejemplo, puede realizarse hacia un directivo o funcionario de alto nivel para hacer que otros empleados o funcionarios de menor nivel tomen ciertas acciones, como pagar a un tercero dinero o enviar información a un supuesto asesor y así robar datos”, comparte el experto.
Aclara que el objetivo de la ciberseguridad no es evitar los ciberataques. El objetivo es disminuir la probabilidad de un ciberataque a un nivel de riesgo aceptable por la organización, de tal suerte que lo pueda manejar con las medidas de contención que tiene, porque ninguna organización y ninguna persona puede, ya que no se puede “elegir” quién realiza un ataque cibernético. Lo que las organizaciones sí tienen bajo su control es cómo se preparan y cómo responden.
Por ello, Jefferson Gutiérrez subraya que el objetivo de la ciberseguridad no es evitar los ciberataques, sino disminuir la posibilidad de que estos pongan en riesgo a la organización o ente público y emite tres recomendaciones para evitar robos de identidad en los gobiernos que denomina como “la triada de la ciberseguridad”: detectar amenazas, sensibilización a las personas y tecnología.
“Lo primero es tener un buen análisis de riesgos para saber a qué se está expuesto, y te ayuda a identificar quién estaría interesado en atacar a la organización. Un 95 por ciento de los ataques es exitoso porque alguien le da clic o abrió algún archivo que no debía. Toda organización debe insistir en el entrenamiento y sensibilización sobre el tema.”
Y desde un punto de vista más técnico, los hackers suelen suplantar los sitios web o dominios, por lo que las organizaciones deben tomar medidas en cuanto a reservar un nombre para protegerse de ese tipo de ataques. También se deben monitorear las redes sociales y asegurarse de verificar la “palomita” que certifica la identidad.
“Existen estrategias como prime protection, que es un concepto que como organización busca conocer si alguien está tratando de suplantarme en redes sociales o aplicaciones de mensajería instantánea. Este es un monitoreo a través de los diferentes medios y entrenamiento a los empleados y análisis de riesgos”.
En cuanto a tecnología, refiere el entrevistado, hay para todos los gustos, tamaños y presupuestos.
DE LA MANO DE EXPERTOS
En entrevista, Sergio Aguirre Zurita, Director General de Warriors Labs, expone que se debe contar con personal experto, tanto en la parte técnica como en la gobernanza, así como un experto en ciberseguridad o Chief Information Security Officer (CISO), para establecer e implementar las políticas, procedimientos a seguir, controles y roles de usuarios, aplicaciones, responsabilidades y alcances de los servicios, y las normatividades que deberán regir dentro de cada localidad.
En ese sentido, explica, con respecto al presupuesto, es probable que los municipios pequeños no tengan la capacidad económica para contratar el personal especializado en ciberseguridad, pero posiblemente sí puedan contratar servicios administrados de empresas especializadas que les pueden apoyar en desarrollar una estrategia básica de seguridad, basada en políticas y procedimientos, así como infraestructura y software en un modelo de renta para estar dentro de sus capacidades de pago.
“En caso de que el presupuesto sea demasiado limitado, sugerimos utilizar herramientas de software libre, la desventaja de usar estas soluciones es que se requiere de personal muy especializado, por lo que se vuelve un ciclo no necesariamente virtuoso, pero en la medida que puedan contratarlo, éste podrá hacer uso de las herramientas libres y aplicarlas exitosamente en el ambiente de la infraestructura a proteger, aunque no necesariamente con la misma potencia y granularidad que una solución privada.”
Para finalizar, el directivo comenta: “Desde nuestro punto de vista, es importante que cualquier gobierno de cualquier tamaño tenga en cuenta que va a ser atacado, con esa premisa, es importante establecer las estrategias de ciberseguridad e integrar inteligentemente tanto recursos humanos como financieros y tecnológicos para evitar que la información del contribuyente pueda ser expuesta”.
Dentro de la estrategia a seguir, puntualiza, deberán establecerse los marcos normativos, siguiendo normas internacionales y mejores prácticas en seguridad informática; definir cómo será la gobernanza de la información; adquirir tecnología de punta, configurarla con controles estrictos, no laxos, y usar sistemas tipo GRC (gobernanza, riesgo y cumplimiento) para administrar las políticas, sistemas, actualizaciones y mitigaciones de los riesgos, así como mantener en todo momento el monitoreo de los sistemas para que, en caso de un probable ataque, éste pueda ser controlado sin repercusiones, ya sea de forma automatizada o manual.