“No hay transformación digital si no pensamos en seguridad”, resalta Jorge Zeballos, gerente general de Eset Perú. La reflexión, a propósito del ciberataque global del fin de semana del 17/8, toca en particular al sistema financiero peruano, que hace un par de años aceleró la marcha de la digitalización de sus operaciones. Pero es también un llamado a la sociedad en general, encaminada sin marcha atrás hacia el Internet de las cosas.
En efecto, el ataque del fin de semana pasado -que hizo que la población bancarizada temiera estar expuesta y que en algunos casos reportara sustracciones sospechosas- ha puesto en evidencia varios retos por delante para afrontar a los ciberdelincuentes.
En primer lugar, la necesidad de una mayor inversión en seguridad informática, señalaron analistas en ciberseguridad consultados para este informe. El guiño es sobre todo para el sector privado, no regulado.
“El sector más preparado es el financiero. Pero ¿qué puede ocurrir con el de consumo masivo, la industria o la construcción?”, advierte Paolo Bisso, gerente general de Bafing. A eso, Zeballos, suma la alta exposición de las organizaciones que usan software pirata, no actualizable.
Un segundo desafío es el monitoreo en un escenario de alta probabilidad de nuevos ataques. En efecto, según Bafing, desde el 2010 a la fecha los ciberataques han aumentado en 600% en el Perú.
“El crecimiento de amenazas es exponencial. Se mantendrán los ataques al sistema swift y el malware que afecta a los cajeros ATM y dispositivos POS, todo esto orquestado con movimientos laterales dentro de las redes de los bancos para seguir recabando información”, sostiene Bruno Sánchez, country manager para GMS Perú.
Hay un sentido de urgencia en el mensaje, que busca alejar el posible pánico y poner paños fríos sobre el asunto. “Hay que trabajar en una estrategia de monitoreo, alertas tempranas que den visibilidad inmediata a todo el sector”, agrega.
En el Perú, existe el PeCert, la coordinadora de respuestas a emergencias en redes teleinformáticas de la administración pública del Perú. Es parte de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros. Día1 consultó a la PCM sobre la manera en que previó el ataque, pero no obtuvo respuesta. El consenso es que debería existir un organismo público -símil al Senamhi o al IGP- capaz de alertar y tranquilizar a la población ante este tipo de eventos.
EL RETO DE LOS BANCOS
Lo que sucedió el fin de semana pasado y cómo se restableció al 100% -como informó Asbanc- en 48 horas es probable que no terminemos de conocerlo. Esto intuyen los analistas, que argumentan que es parte de la estrategia de las entidades para no poner sobre alerta a los delincuentes.
Tampoco es probable que se pueda cuantificar el impacto, que BCP, Interbank y BBVA aseguraron a Día1 no haber registrado en sus operaciones. “Me aventuro a decir que los clientes se han afectado más por las medidas preventivas que por el mismo ataque”, analiza Bisso en relación a la implementación de protocolos, que suponen entre otras acciones identificar el punto de origen del ataque, mitigar el problema y recuperar los sistemas.
Más allá de estos procedimientos, el sector reconoce que es necesario mejorar los canales de comunicación para compartir información con los clientes de manera oportuna. De hecho, tras el ataque, están trabajando en diversas iniciativas a nivel gremial para ello, informa César Andrade, vicepresidente de Operaciones de Interbank.
Al respecto, los analistas apuntan que existe un vacío de información en la población sobre este tipo de delito y cómo prevenirlos, pero también anotan que el regulador debería establecer un plazo límite para resolver el asunto de manera privada y luego hacer públicos los efectos del hackeo.