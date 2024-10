En diálogo con El Comercio, Alejandra Guevara, subject matter expert of Cybersecurity for Compliance Assurance de HSBC en Estados Unidos, explicó que el concepto ‘compliance’ como el conocimiento de una regulación para su aplicación por parte de las empresas. En el marco del VIII Congreso Internacional de Compliance y Lucha Anticorrupción, consideró crucial los contratos para que las empresas puedan saber qué tipo de información entregan a sus proveedores.

De acuerdo con el Centro de Operaciones de Seguridad (SOC) de Appgate, los casos de fraude cibernéticos crecieron un 74% en el Perú en el 2023. ¿Cómo ha evolucionado este tema tras la pandemia?

A partir de la pandemia mucha gente en casa empezó a usar su celular y a compartir datos sin saber a dónde iban. [En] muchas aplicaciones donde puedes pedir algo involuntariamente entregas tu nombre, tu teléfono y quizás tu correo electrónico, pero lo más importante, también entregas la dirección de tu domicilio. El fraude empieza cuando comienzas a unir datos, empiezas a tener llaves para llegar a algo llamado ‘huella digital’. En cualquier buscador vas a encontrar registros de personas. Empezamos de forma muy irresponsable a entregar nuestra propia información.

Este tema digital cobra relevancia porque no te das cuenta de lo que hay en ese mundo. Al entregar libremente tu información en el mundo digital, pierdes el control de quién la tiene, dónde está y hacia dónde se fue.

¿Cuándo se vuelve lícito compartir esta información y cuándo se vuelve un riesgo?

Cada uno de nosotros tenemos datos, pero uno mismo decidirá qué datos quiere que se sepan. Al mismo tiempo debes tener un número de identidad. Cada vez que te registras en una página de Internet o adquieres un servicio con alguna empresa, están los llamados avisos de privacidad o términos de condiciones. Esos documentos te dicen qué datos recaban de ti. Puedes negarte, decir que no quieres que utilicen tus datos para mercadotecnia.

Como dueño de tus datos eres el único responsable de saber a quién se los das, pero también te vuelves responsable de saber a quién se los estás entregando y qué es lo que van a hacer con ellos. Tienes que leer, no nada más vas a firmar un documento en blanco.

Con ello en cuenta, ¿cómo entra a tallar el tema del ‘compliance’ y la protección de datos?

Se vuelve triangular, porque cada uno como titular de los datos adquiriere esa responsabilidad de saber qué hacemos con nuestros datos. A su vez, necesitamos saber qué va a hacer el gobierno o las empresas privadas con nuestros datos y necesitamos saber qué leyes nos protegen.

¿Qué retos tienen las empresas y los gobiernos para prevenir filtraciones de la información personal de los usuarios o ciudadanos? En California existe una normativa como la Ley de Privacidad del Consumidor (CCPA, por sus siglas en inglés).

Precisamente ese fue el objetivo del Congreso, tomar en cuenta las regulaciones que existen en otras zonas. Mencionaste la CCPA, pero también existe en Europa el GDPR (Reglamento General de Protección de Datos en sus siglas en inglés), que es el estándar o la regulación más avanzada en poseer este tipo de regulaciones.

Por un lado, las empresas deben de estar bien documentadas sobre los estándares globales de seguridad de la información y adoptar estas buenas recomendaciones. Uno de ellos es el ISO 27000 o en Estados Unidos [existe] el NIST (Instituto Nacional de Estándares y Tecnología) de ciberseguridad o de privacidad, organización que se dedica a emitir estándares a nivel de industria.

¿Cuál es la diferencia en el avance en América Latina frente a Europa y Estados Unidos? ¿La informalidad se vuelve un obstáculo para avanzar en regulación en ciberseguridad?

Depende de la regulación del país, de la regulación de leyes aplicables y vigentes en este momento. Como seres humanos, no entendemos las cosas si nos las llegan a platicar. Solamente con una multa económica por algún castigo es cuando llegamos a entender la magnitud de las cosas.

La zona de Europa tiene mucha relevancia, porque desde hace años cuentan con esta regulación, la han ejercido y acuñado. Han ejercido multas hacia organizaciones y a raíz de eso es que empiezan a tener conciencia y empiezan a aplicar ahora sí los controles.

¿Llega a haber interés de las empresas en implementar ciberseguridad o hay desinterés cuando se conocen los costos? ¿El perjuicio no se vuelve mayor ahí?

Sé que es muy complicado para las empresas adoptar estas buenas prácticas. A todas las empresas, las organizaciones lo que les importa es el costo. Cuando empiezan a mencionarle que tienen que comprar una herramienta o hacer la instalación de un software y va a costar un millón de dólares anuales, es cuando nos espantamos.

Las buenas prácticas, cada una de ellas, empiezan por cada uno. No compartir usuarios y contraseñas es una buena práctica, por ejemplo. Otra buena práctica es cambiar la contraseña cada 90 días. Este tipo de cosas son gratuitas, todo el mundo las puede aplicar en sus dispositivos digitales y no nos lleva ningún gasto. El objetivo del Congreso fue generar consciencia, hacernos conscientes de qué está sucediendo o cuáles son los riesgos a los que somos objetivos simplemente al tener un teléfono celular en las manos.

¿Qué industrias son las más vulnerables a los delitos cibernéticos?

Las tres industrias que son más vulnerables son los bancos, los militares -que es la protección de un país- y la industria farmacéutica. La industria financiera es como uno de los referentes buenos para temas de aplicación de controles.

Ahí justamente, ¿cómo terminan siendo los perjuicios cuando se ven afectados por estos temas?

Esto es muy palpable para los bancos. Son muy altas las pérdidas o el pagar multas por ser objetivo de un ciberataque y, a raíz de ello, tener una filtración de datos o que los ciber-atacantes hayan mezclado los datos personales.

Nuevamente con el aumento de casos de fraude cibernético en Perú, según Appgate un factor que explica dicho aumento es el uso de la inteligencia artificial. ¿Qué beneficios y perjuicios tiene la IA hoy?

Cuando tenemos herramientas, podemos invertir menos tiempo en realizar una tarea y la podemos ejecutar más rápido y con un costo menor. Una herramienta nos va a abaratar tareas que comúnmente nos llevarían mucho tiempo. La IA es un concepto sombrilla, vamos a llamarlo así, porque existen diferentes herramientas debajo de ese concepto, entre ellos modelos generativos como Chat GPT.

Lo que tenemos que hacer es aplicar principios éticos y estar conscientes de que los algoritmos o las herramientas de automatización por sí solas no van a entender qué datos son personales y qué información no son datos personales. Siempre debe haber una persona responsable de hacer una validación de los resultados que está entregando la IA y también vigilar cómo fue programada para que el resultado no sea contraproducente.

Un caso muy famoso fue el de Amazon. Dejaron de contratar mujeres porque el algoritmo fue entrenado para descartarlas y solo dar paso a las solicitudes de los hombres [razón por la cual Amazon abandonó el proyecto de la IA para reclutamiento]. Continuamente hay que estar evaluando esos algoritmos, vigilando cómo entregan la información, cómo la procesan para verificar que estén apegados a principios de ética.

Ahí vuelve a entrar el ‘compliance’: sin supervisión la IA puede ser perjudicial.

Exactamente. ‘Compliance’ al final del día es saber que existe una regulación, un marco legal de buenas prácticas para que nos podamos apegar a él. Puede ser muy instructivo de cómo sí hacer las cosas y hacerlas bien.

¿Cuáles son los delitos digitales más comunes y perjudiciales?

El más perjudicial es suplantación de identidad, porque no sabes quien tiene tus datos y para qué los están utilizando. Lo más palpable o sencillo es que solicitan un crédito a tu nombre o sacan el dinero que había en tu cuenta bancaria, pero no sabes si utilizan tus datos para ejecutar un crimen. Muchas veces vemos crímenes que se ejecutan y los asaltantes o ‘hackers’ dan información que incrimina a otra persona.

La suplantación de identidad o la identidad sintética, que es la fabricación de identidades falsas, son los crímenes o situaciones más presentes últimamente.

¿En qué situación se encuentran los pagos por fraude digital?

Hay muchas consideraciones sobre el tema. Tomando el cuenta el fraude por identidad digital, se descubre que puede ser la base del lavado de dinero. Digamos que vas a vivir a Argentina y se genera una nueva cuenta con datos tuyos, pero al final no eres tú. Se genera una cuenta bancaria y ahí empiezan a existir depósitos para blanquear lavado de dinero. Ese es el fraude de identidad sintética, el que termina en un sistema de pagos.

También está el caso de que lleguen a robar tu celular. Los asaltantes pueden [llegar a] solicitar un crédito a tu nombre, se llevan el dinero y te quedas con el registro de una deuda que no solicitaste.

¿Y en qué nivel se encuentra el ‘pishing’?

Parte de la población más vulnerable se vuelve relevante. Los niños y la gente mayor no se dan tiempo de leer qué es lo que les llega, no tienen sensibilidad para ver con cuidado el correo electrónico y ver que el correo o mensaje que les llega no es para ellos. Simplemente es un anzuelo y, quizás por las prisas del día, uno le da clic a un enlace sin saber que lo mandó una persona que no conoces.

Volviendo al tema empresarial, ¿qué nivel de confianza deben tener las empresas con sus proveedores y viceversa?

Ese fue el objetivo del Congreso. En toda la parte legal, los abogados de organizaciones son los que deben estar bien pendientes y alertas de la elaboración de contratos. A través de los contratos, son los únicos acuerdos o herramientas que tienen las organizaciones para saber a quién se le va a entregar información y cómo la van a utilizar, y si realmente están de acuerdo en que así sea.

También hay otra cosa importante, podemos pedirle a las organizaciones que borren nuestros datos si alguien fallece, a Disney, Instagram o Facebook, por ejemplo, y pedirle que olviden esos datos o cierren esas cuentas porque el titular de la cuenta ya no está.

Mencionó a Facebook, que hace años afrontó el caso de Cambridge Analytica, donde se usaron los datos de forma indebida para la campaña electoral de Estados Unidos de 2016. ¿Qué retos tienen las empresas para no perder esa confianza ante sus usuarios?

Lo más importante para todos es la confianza de saber que si le doy mis datos a Facebook los va a procesar de manera responsable. No lo sabemos hasta que entramos a ver los términos y condiciones. Si estamos de acuerdo en cómo ellos nos anuncian que van a procesar nuestros datos, seguimos en el juego y adquirimos una cuenta. Nos vamos con la idea de querer una cuenta pero nunca pagamos por ella y el precio que pagamos es invisible, con nuestros propios datos.

Quizás los datos de una persona no son suficientes. En el caso de Cambrigde Analytica, juntas los datos de una zona geográfica, en este caso Estados Unidos, y sabes que con ciertas publicaciones puede influir en tu decisión de voto. Ahí no hay ética. Las empresas deben apegarse a los principios de ética, no engañar a sus usuarios y saber que la responsabilidad que tienen es mucha. Están conscientes de ello, pero quizás los usuarios somos los que no vemos cuál es el precio que pagamos al dar nuestros datos.

El apego a los principios de ética y el cumplimiento con el marco legal es lo más importante para todas las empresas y para nosotros como usuarios.