Por Pablo Dubois, gerente regional de Productos, Data Center y Seguridad de Level 3 Communications América Latina.
Según el “Informe Ciberseguridad 2016, ¿Estamos preparados en América Latina y el Caribe?”, publicado por el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA), el phishing, el malware y la piratería informática son las principales riesgo en seguridad en Latinoamérica.
El cibercrimen le cuesta al mundo más de 445 mil millones de dólares al año. Según el informe del Centro de Estudios Estratégicos e Internacionales de Intel Security (Center for Strategic and International Studies) y McAfee, Net Losses: Estimating the Global Cost of Cybercrime, esta cifra incluye tanto las ganancias de los delincuentes como los costos que suponen a las empresas la recuperación y defensa.
De acuerdo al Informe Ciberseguridad 2016 del BID, en Latinoamérica y el Caribe el crimen virtual cuesta alrededor de 90 mil millones de dólares al año. Lo más preocupante es que cuatro de cada cinco países no tienen estrategias o planes de protección de infraestructura crítica, dejando mucha de la información gubernamental, empresarial y personal de los usuarios en las manos de los cibercriminales.
Varios países latinoamericanos y caribeños están tomando pasos para combatir este delito, pero es una tarea que no se puede hacer sólo a nivel nacional; tiene que ser a nivel regional, y la cooperación es la clave.
A nivel regional, algunas de las conclusiones y sugerencias macro del reporte del BID incluyen los continuos esfuerzos diplomáticos y la cooperación internacional; el desarrollo de capacidades contra el cibercrimen en todos los países; mejorar la cooperación y el intercambio de información sobre mejores prácticas, amenazas y vulnerabilidades; establecer alianzas y medidas entre las comunidades académicas y empresariales; continuar la labor de creación de una base jurídica armonizada para abordar estos delitos y formular estrategias nacionales de seguridad cibernética.
Las amenazas que están sufriendo actualmente las empresas no son nuevas, sino “viejas conocidas”. El problema al que nos enfrentamos hoy es que, dada la alta conectividad de todos nuestros dispositivos, el aumento considerable de conexiones a Internet, y su uso intensivo, hacen que las empresas sean vulnerables a diversas amenazas o combinaciones de éstas, como es el caso del phishing – obtención de información confidencial de manera fraudulenta, por lo general a través del correo electrónico-; malware- software creado para extraer borrar o modificar datos de los servidores-; la piratería informática -es el uso de software licenciado y pago, adquirido ilegalmente, pudiendo utilizar para su activación códigos robados, Key Generators, parches. O la aparición de nuevas variantes, como el caso de los ransomwares, que combinan malwares con potentes técnicas de encriptación, para luego pedir un rescate por el contenido comprometido.
Las amenazas mencionadas para Latinoamérica -phishing, malware y la piratería informática- ponen a todos los sectores en riesgo, ya que las empresas manejan información sensible para su negocio, por lo que cualquier robo que puedan sufrir podría impactar negativamente en su empresa.
No solamente me refiero a efectos económicos, sino al impacto en prestigio, confiabilidad y reputación de marca. Esto, por supuesto, incide en mayor medida en empresas grandes, entidades financieras y entes gubernamentales.
Actualmente, todas las empresas cuentan con una gran cantidad de dispositivos conectados, que pueden ser víctimas y pasar a formar parte de una gran Botnet. Esto nos demuestra que todas las empresas tienen que estar preparadas para contrarrestar de la forma más eficiente posible todo tipo de amenazas. Por ello, es bueno recordar que la seguridad no solamente está vinculada a la tecnología, sino también a las personas, lo que significa que los especialistas deben capacitarse y actualizarse continuamente con el acontecer en el área para, de esta forma, ser cada vez más eficientes en la prevención y mitigación de incidentes, ya sea a través de un proveedor de servicios para proteger los datos críticos antes de que ocurra un incidente; entrenando a los colaboradores en prácticas relacionadas a la protección de información empresarial y de los clientes; o estructurando un plan de contingencia para saber qué hacer ante un incidente y actuar en el momento adecuado.
Autor
