Hay otra pandemia, más silenciosa que la del Covid, que afecta a las empresas: los ciberataques.
La mayor parte no se denuncia a la Justicia. Son pocas las empresas que se animan a hacerlo público, temiendo quedar desacreditadas ante sus clientes.
Otras “valientes” se animan a hacerlo público, con la idea de que ya es un fenómeno propio de estos tiempos y que es mejor mantener informados a sus accionistas y clientes, siguiendo políticas de compliance (cumplimiento normativo) y transparencia.
Este fue el caso de Osde, a finales del mes pasado, que informó inmediatamente a sus usuarios sobre un ciberataque. “En forma inmediata, se activó el protocolo correspondiente para estos casos y por este motivo algunos de nuestros sistemas fueron afectados”, resaltó en ese momento.
La transformación digital, que se profundizó en pandemia por el avance del cloud computing (lleva todas sus operaciones a la “nube” de internet y arma allí sus servidores), fue más rápida que sus políticas de ciberseguridad.
Hay empresas que lo consideran un problema de segundo orden, hasta que pierden el control de sus datos.
A esto se agrega una comunidad cada vez más sofisticada de atacantes, en general del exterior, que aplican tecnologías como inteligencia artificial para actuar, ya no masivamente, sino de manera focalizada, en función de las vulnerabilidades de cada organización.
No hay estadísticas acabadas. La mayor parte son ransomware, un software que secuestra bases de datos, discos, billeteras virtuales, sistemas operativos y back up (resguardos).
Los vectores de ataque son múltiples: el phishing (robo de identidad); el fraude BEC (business email compromise), por el cual un agente externo utiliza un correo de un ejecutivo para derivar operaciones generalmente financieras; o plataformas como Shodan.io, que revela las vulnerabilidades de cualquier sitio con sólo poner el número de IP.
En general, el atacante circula durante una semana a 10 días por los sistemas de una compañía. Una vez vulnerados, se comunica y exige un rescate en criptomonedas. Las cifras son completamente variables, ya que como el atacante lo considera un negocio incluso hay margen para pactar el monto. Incluso algunos tienen CRM (plataforma) donde uno ingresa un usuario y contraseña para chatear con su agresor y concretar el pago.
Si una empresa se resiste, le presentan los datos de grandes compañías argentinas que fueron vulneradas, la información que secuestraron y cuánto pagaron. La última tendencia, denominada ransom leaks, es hacer públicos los datos secuestrados si la empresa insiste en no pagar.
“Estos casos no siempre son denunciados; para mantener la reputación, las empresas prefieren mantener en reserva y si no hay denuncia, no lo conocemos ni podemos actuar. Pero esto es una tendencia global”, explica Franco Pilnik, fiscal de Instrucción de la Fiscalía de Cibercrimen de Córdoba.
Según el funcionario, también se dan acciones implementadas por empleados infieles o que fueron despedidos.
Por esta oficina, mientras que en un fin de semana pueden registrarse hasta 45 denuncias de estafas a particulares, los casos de empresas no superan la decena por mes.
“Nosotros recomendamos hacer la denuncia, independiente del resultado, por una cuestión de responsabilidad empresaria, pero también porque así se puede generar un mapa del delito”, agrega el fiscal.
Iniciativas oficiales
En este marco, el Laboratorio de Innovación de la Municipalidad (CorLab) creó el Cyber-Security Hub, que reúne a 40 organizaciones entre empresas, universidades, compañías tecnológicas y startups (emprendimientos de base tecnológica).
La idea es concientizar acerca de esta problemática; generar espacios de capacitación para crear talento; formar equipos de trabajo y generar estadísticas.
“La idea es seguir el llamado Modelo Málaga, un hub de desarrolladores de soluciones que, con el apoyo de Google, convirtió a esta ciudad española en una referente europea”, explica Luciano Crisafulli, director general de CorLab.
La clave es la capacitación. De ahí que trabaja con la universidades Nacional de Córdoba (UNC), Blas Pascal, Siglo 21, Tecnológica Nacional (UTN) y el Instituto Universitario Aeronáutico (IUA) y preparan cursos de capacitación para empresas.
En Córdoba ya hay cerca de 30 empresas (con equipos en promedio de 15 a 20 personas) que desarrollan soluciones. Las líderes en este proyecto son la internacional Proofpoint, que en esta ciudad tiene 47 personas, y la multinacional argentina VU Security, fundada por Sebastián Stranieri, que en Córdoba tiene a una decena de personas. Ambas tienen exintegrantes de Intel y McAfee.
Por su parte, el Ministerio de Ciencia y Tecnología de la Provincia creó el CSIRT Córdoba. Los CSIRT (Computer Security Incident Response Team) son centros de respuesta y alerta temprana de seguridad informática, que gestionan este tipo de eventos. Pueden gestionar, asesorar, capacitar y sensibilidad sobre la ciberseguridad y ser referentes en el registro de incidentes y la difusión de buenas prácticas para ciudadanos, empresas, instituciones y el estado.
Allí la idea es trabajar con las empresas que manejan grandes volúmenes de datos y con los proveedores de internet y de servicios de ciberseguridad, en base a dos líneas de abordaje.
“Por un lado, se trabaja con las empresas con equipos responsables de ciberseguridad y que manejan grandes volúmenes de datos y transacciones. El plan es sumarlos como adherentes al proyecto y construir soluciones, programas y acciones de prevención. Por el otro, se busca crear una plataforma para que las empresas y personas que sufren algún tipo de ciberataque puedan encontrar algún asesoramiento, respuestas y buenas prácticas”, explica Gonzalo Valenci, subsecretario de Vinculación Tecnológica Productiva.
Inversión
Los bancos, a nivel mundial, fueron los primeros blancos del ciberataque. Por eso, son los que más avanzaron.
El Banco de Córdoba (Bancor), por ejemplo, invertirá este año más de 1.000 millones de pesos –10% del gasto administrativo de la entidad sin contar salarios– en prevención, tecnología y mitigación del ciberdelito.
Hace dos años, lanzó su campaña Alerta de Seguridad, la primera a nivel nacional en medios tradicionales de comunicación, apuntando directamente a capacitar a los clientes. Al año siguiente inició Ojo con la Ciberestafa, cuya segunda versión se está realizando actualmente.
También trabaja en cooperación con la UNC en capacitación. Con el Ministerio Público Fiscal de la Provincia firmó convenios para perseguir judicialmente estafas que lograron la imputación y prisión de 70 ciberdelincuentes. A su vez, Bancor selló convenios con 38 bancos para perseguir cuentas delictivas.
Paralelamente, tiene la línea 0810-222-0044 que atiende las 24 horas los siete días de la semana. Realiza capacitación continua y cuenta con planes para cada contingencia posible, destinados a recuperar los procesos que puedan llegar a verse afectados ante un posible ciberataque y así mantener los niveles operativos afectando lo menos posible al servicio.
“Desde que comenzaron las campañas de difusión masiva, se ha registrado una baja en los ciberfraudes por redes sociales, ya que los clientes están más alertas. Sin embargo, el delito migra y se crean nuevos vectores de fraudes”, destacó la empresa ante una consulta de La Voz.
Qué se puede hacer: prevención y planes de contingencia
No importa que la compañía tenga servidores físicos o estén en la nube. Lo importante, aseguran los especialistas, es estar preparados y entender que esto forma parte de una nueva realidad.
Enrique Dutra, socio gerente Punto Net Soluciones, advierte que es importante verificar qué se conoce de la empresa en internet, por lo cual lo ideal es hacer test de vulnerabilidad y recorrer plataformas como Shodan.io, que exponen las debilidades.
Lo segundo es tener un plan de contingencia, que incluya desde las acciones técnicas –por ejemplo, recomienda no apagar los servidores ante un ataque–, cómo y a quiénes comunicar y cómo continúa el negocio sin sus sistemas informáticos habituales –facturación manual, por ejemplo– de manera tal de evitar situaciones de caos –que generen más pérdida de información– y que el proceso de trabajo sea ordenado.
“Muchas empresas protegen la tecnología, cuando lo que hay que proteger son los datos según los procesos de negocios. Hay que entender que cualquier organización puede ser víctima de un ciberataque”, agrega.
Por su parte, Miguel Solinas, profesor de las facultades de Ciencias Exactas, en carrera de grado, y de Famaf, en cursos de posgrado, de la UNC, apunta a la capacitación permanente porque, advierte, la mayor parte de las empresas e individuos son “analfabetos” en temas de ciberseguridad.
En este marco, recomienda definir espacios seguros para los activos basados en tecnología; es fundamental comprometer al “número uno” de la compañía; capacitar en prevención y mantener actualizada la tecnología contra los ciberataques.
Al respecto, reflexiona: “A nadie le dijeron que tenga cuidado porque internet es insegura, nadie instruyó a los usuarios para hacer el uso debido y minimizar los riesgos. No es una cuestión de presupuesto, sino de una política que incluya la tecnología, la capacitación de las personas, las políticas (las directivas) y el compromiso de la máxima jerarquía de una empresa”.
