Los usuarios suelen cuidar su comportamiento al estar en línea. No es un tema solo de personas o de empresas. Las amenazas de ciberseguridad nos afectan a todos y, aunque se ha mejorado en la prevención, falta mucho por recorrer. Así lo asegura a El Comercio Martín Fuentes, de CenturyLink Latinoamérica.
¿Cuál es el panorama de la seguridad digital en la región? ¿Ha mejorado o ha empeorado?
Hay una mejora significativa en el esfuerzo que realizan las compañías en trabajar todos los temas referidos a ciberseguridad. Todavía hay un camino largo por recorrer, ya que muchas empresas no ven la ciberseguridad como una inversión sino como un gasto, es decir no forma parte del ADN de las organizaciones, y sigue siendo parte de algo exclusivo de las áreas de tecnología.
Hoy en día hay información crítica en todos los sectores que conforman una compañía y toda esa información debe ser resguardada, no sólo con medidas tecnológicas sino también mediante la adecuada implementación de procesos, procedimientos, y capacitación a los recursos, elementos que no todas las compañías a la fecha tienen en cuenta.
Si bien podemos decir que el panorama está mejorando, se debe trabajar para que las altas gerencias entiendan la seguridad como un punto fundamental en su proceso de transformación digital y apoyen políticamente a quienes lideran estas iniciativas.
¿Cuáles son las principales amenazas para el usuario final y para las empresas? ¿Varían por país o suele ser el mismo tipo de amenaza?
Hay diversos tipos de amenazas desde el punto de vista técnico, pero sin duda el principal riesgo que hoy día existe tanto en el ámbito privado como corporativo, es la excesiva confianza y la falta de concientización de los usuarios.
Una acción del usuario final sin el debido cuidado que en el ámbito privado puede traer consecuencias (perdida de bienes, robo de identidad, etc.), se vuelve aún más grave en el entorno corporativo.
Es en este ámbito en donde la falta de cuidado al abrir un correo electrónico o ingresar a página apócrifa en busca de algún contenido que no es posible obtener de formas legítimas, puede causar que no solo su máquina se infecte y se vea afectada, sino que toda la operación de la compañía quede expuesta y en riesgo.
En la región hay países que por su nivel de exposición y aplicación de la tecnología en el día a día, son más pasibles de recibir un ataque cibernético. Tal es el caso de los Estados Unidos y algunos países Europeos.
Conforme las compañías en Latinoamérica empiecen a llevar adelante su proceso de transformación digital, y aumentando su presencia en internet, más pasibles serán de ataques.
Ya sea para afectar su imagen, robar su información o simplemente evitar que durante un lapso de tiempo generen negocios, es una realidad que el nivel de protección que poseen deberá aumentar conforme aumente su dependencia en internet.
Ya estos comportamientos, que pueden verse frecuentemente en Brasil y México, comienzan a reproducirse en otros países de la región hasta ahora ignorados por los atacantes.
¿Ha mejorado la educación en seguridad informática en la región?
Afortunadamente gracias a iniciativas de gobiernos e instituciones privadas hay muchas campañas que buscan concientizar en diversos temas de seguridad.
Esto es importante no solo para las compañías, sino para proteger a nuestras familias: el uso de dispositivos móviles en niños es cada vez más habitual y por causa de esta hiperconectividad, están sometidos a tipos de amenazas que antes no existían por lo que es importante que sepan cómo moverse en el cibermundo para que no estén en riesgo.
¿Qué tanto influye la popularidad de dispositivos móviles?
El tema de redes 4G, el futuro 5G y los dispositivos móviles generó un cambio de paradigma muy importante. Antes la información crítica se almacenaba y movía exclusivamente en ambientes de alto control (PC, Notebook) por lo que el “desplazamiento” de la información era bastante acotado y las compañías la mantenían dentro de lo que se denominaba “perímetro”. Era poca la información que podíamos trasladar en nuestro móvil (algunos mails y contactos a lo sumo).
Aun con la posibilidad de trabajar en un lugar distinto a casa, había una enorme diferencia entre eso y la capacidad actual de tener acceso a todos nuestros datos (fotos, videos, accesos a sitios transaccionales, archivos) en la palma de la mano. El hecho de perder o que nos sustrajeran una notebook, podía ser algo que ocurriera, pero sin duda bastante más atípico que un hurto o pérdida del celular.
A las consecuencias producto de la información almacenada en los móviles por los adultos, se le suma algo más grave para los niños y jóvenes: La posibilidad de conectarse a través de las redes sociales, en un uso no controlado, puede traer acarreados otros riesgos que pueden afectarlos (grooming, redes de pornografía infantil, etc.).
El cuidado que históricamente hemos tenido en nuestra billetera, debería a estas alturas replicarse para la protección de nuestro celular, para estar preparados para cuando éste, la reemplace totalmente.
¿Por qué la gente sigue cuidando más sus terminales de escritorio o laptops, pero se descuida con los dispositivos móviles?
Todavía hay una falta de conciencia importante en lo que hace a cuidado de nuestra información. Se minimiza el móvil como en la época cuando el celular sólo se utilizaba para hablar por teléfono o mandar mensajes de texto y a veces uno omite que tiene más accesos e información crítica en el móvil que en la PC.
No se ha entendido cabalmente el volumen de información que tenemos en el celular o el acceso creciente a sistemas críticos e información sensible que tenemos cada vez más a través del móvil.
¿Cuáles son las nuevas vulnerabilidades que aprovechan los ciberdelincuentes?
Como se mencionó anteriormente, un enorme porcentaje de los eventos de seguridad, se producen por acción (voluntaria o involuntaria) de un usuario, que accede a un link que recibe por correo, carga sus datos en sitios que en realidad no debía entrar, o abre archivos de orígenes desconocidos.
Estas acciones disparan una multiplicidad de consecuencias, que son aprovechadas por los ciberdelincuentes.
Como ya se mencionó, el usuario y sus comportamientos no siempre adecuados, suelen ser una de las vulnerabilidades más explotables.
A nivel técnicos, uno de los puntos donde se debe poner especial cuidado, debido que han mostrado ser víctimas de varios ataques en este último tiempo, es en los elementos IoT, (cámaras, sensores y demás elementos que se emplean para la automatización del hogar), que en la mayor parte de los casos no fueron pensado con una cultura de seguridad sino buscando ser los primeros que posicionen y vendan la tecnología.
Estas fallas de diseño han provocado que aprovechando debilidades, inescrupulosos puedan acceder a las mismas desde internet y terminen vulnerando la privacidad del hogar o empleen equipos comprometidos como parte de redes zombie para generar ataques de denegación de servicios (conocidos por sus siglas DDoS).
¿Cómo ve el futuro de la ciberseguridad en la región?
La ciberseguridad se está volviendo un tópico importante a nivel mundial. Cada vez las empresas están interiorizándose en la problemática de la seguridad y su importancia en un proceso de transformación digital, con lo cual no tengo duda que en un mediano o largo plazo va a formar parte de la agenda de las organizaciones e instituciones gubernamentales.
Cada vez más los gobiernos de diferentes países se están empezando a involucrar en estos temas y generar normativas, solicitar información a los prestadores de servicios y tener una interacción un poco más fluida buscando controlar la actividad criminal en internet.
Gran porcentaje de nuestra vida se ha transferido a los medios digitales, también gran parte de la información que posee valor en el mercado. Lo que antes podía cuidar en una caja fuerte, ya no se almacena ahí. Hoy en día esos activos están en la nube y sin duda hay que hacer un esfuerzo mayor para que esos datos estén protegidos, la confidencialidad esté asegurada y sobre todo para que cualquier evento que ocurra no cause un perjuicio significativo en las personas y organizaciones.