Ciberseguridad

La clave es invertir en ciberseguridad y esto no implica únicamente la compra de herramientas tecnológicas, sino también apostar a la capacitación de todo el componente humano de las compañías.

De acuerdo a las afirmaciones del director de Information Security Services S.A, Lic. Ricardo Vera Falcón, ninguna región del mundo se escapa de los ciberataques, por lo que plantear una estrategia de ciberseguridad es la mejor alternativa de contingencia. El comentario guarda relación con un hecho acontecido recientemente en Paraguay que demostró la vulnerabilidad de nuestros sistemas informáticos y, que la carencia de planes de protección, puede resultar en un perjuicio verdaderamente grave. Respecto al ransomware, una variante de código malicioso o virus, como lo define Ricardo Vera, ganó amplia notoriedad en los últimos meses pese a ser poco conocido por el público común que no está del todo ligado al ámbito informático o, más bien, porque las empresas no hablan de él. Este virus, utilizado por ciberdelincuentes, cifra o secuestra la información de un usuario por medio de la ingeniería social, a fin exigir dinero por el rescate de los datos. 

Lic. Ricardo Vera Falcón, Director de Information Security Services S.A

“Cuando ejecutas un archivo desconocido que pudiste haber recibido por correo electrónico y que es un ransomware, la información sensible queda secuestrada (encriptada). Posteriormente piden una recompensa en criptomonedas para devolverte el control de tus datos”, mencionó el especialista. Refirió que los ciberatacantes recurren a las criptomonedas porque son ahora más fáciles de conseguir y no son rastreables. 

Vera Falcón dice que son varios los vectores de ataque del ransomware, sin embargo, en el 80% de los casos ingresa al sistema informático de una empresa a través del correo electrónico. Enfatizó que en este punto tiene mucho que ver el usuario que, en muchos casos, no está capacitado o no tiene conciencia de lo peligroso que puede resultar abrir archivos de contenido dudoso. “También hay mucho de ingeniería social en la que se aplica una estrategia para que el usuario ligado a una empresa ayude a concretar el ataque, sin darse cuenta”, añadió. 

Ransomware y un ataque personalizado

Ricardo Vera Falcón explica que la ingeniería social, detrás de un ciberataque con ransomware, es bastante personalizada. El ciberatacante analiza bien a la empresa que va a atacar, es la tendencia. “Son ataques dirigidos porque el ciberdelincuente sabe quién es el gerente general, el presidente o el auditor de la empresa. Entonces, se hace pasar por un alto funcionario administrativo que solicita credenciales o información y, normalmente, la persona que recibe la comunicación tiene la tendencia de entregar esa información, pensando que es su jefe”..

Las empresas no pueden evitar los ataques de ransomware. Sí pueden generar medidas para que, en caso de recibir un ataque, lo puedan contener y que la empresa logre una rápida recuperación.

El profesional enfatiza que anteriormente el objetivo de un ataque malicioso era comprometer la mayor cantidad de máquinas. En la actualidad se busca lucrar. Primero, se hace un trabajo para identificar todos los datos de una organización y luego lanzan el ataque que puede durar hasta meses. “Un código malicioso puede estar meses en la red de la empresa y el cliente nunca se da cuenta”, afirmó. Sobre los ataques usando el correo electrónico, Vera Falcón explicó que varía dependiendo del tipo de ataque. Comentó que algunos requieren de solo un click del usuario ejecutando un comanda o abriendo una fotografía. Aquí es donde resulta fundamental tener herramientas o soluciones para que ese correo electrónico no llegue al usuario. 

Ciberseguridad para las empresas

Vera Falcón indicó que no puede evitar un ataque de ransomware en una empresa. No obstante, sí se puede generar medidas para que en el caso de recibir algún ataque, se lo pueda contener y que la empresa logre una rápida recuperación.

Respecto a los costos, Vera aseveró que es difícil de determinar porque la estrategia de ciberseguridad contempla varias aristas y depende del tamaño de la empresa. 

“En muchos casos, representa la compra de herramientas, en otros, la compra de servicios profesionales para realizar las configuracions adecuadas de las herramientas”. Agregó que una Mipyme (Micro, Pequeña y Mediana Empresa) obviamente tiene menos infraestructura para proteger que un banco o una procesadora de tarjetas de crédito y, por esta razón, los requerimientos son diferentes. En cualquiera de los casos, toda empresa, sin importar su tamaño, debe tener una estrategia en ciberseguridad. Dependiendo del tamaño, deberá contar con recursos humanos para sostener sus herramientas cibernéticas o contratar un servicio gestionado o soporte tercerizado. En el caso de este último, la tercerización debe ser controlada o auditada. “No hay protección del 100%. Es imposible garantizar que una empresa nunca sufrirá un ataque cibernético, especialmente de ransomware. Se deben implementar soluciones y definir estrategias para minimizar el área de riesgo, para identificar y contener posibles incidentes y, sobre todo, poseer un plan de acción para una recuperación eficiente. Su estrategia de Ciberseguridad de hoy, permitirá que su negocio funcione mañana”, finalizó Vera Falcón.

Recomendaciones 

1. La empresa debe prepararse para detectar y evitar el ataque además de generar soluciones para una recuperación de desastres. 

2. Habrá que definir buenas prácticas, esto implica tener una hoja de ruta donde se especifiquen varias normas y se incluya el modo de aplicar un listado de tareas para evitar ser atacado.

3. Conseguir que la alta gerencia apoye todo lo relacionado a ciberseguridad, debido a que las soluciones muchas veces requieren de una inversión económica. 

4.Son prioritarias las actividades de concientización para operadores en las empresas. Deben conocer los riesgos y, si les llegan correos maliciosos, deben estar capacitados para reconocerlos. 

¿Cómo estamos en materia de ciberseguridad?

Para ampliar sobre la situación del país en ciberseguridad, también recurrimos al especialista, Miguel Ángel Gaspar de Paraguay Ciberseguro y delegado técnico de la Unión Europea (UE) para el programa Eurofront.

Miguel Ángel Gaspar de Paraguay Ciberseguro y delegado técnico de la Unión Europea (UE)

Gaspar abrió la conversación con la siguiente anécdota…

“En nuestras capacitaciones acostumbramos sortear una remera que dice: Dios es paraguayo, porque es lo único que explicaría por qué Paraguay no ha pasado todavía por ataques graves de gran escala como han pasado otros países de la región”. 

Gaspar agrega que hace más de cuatro años estamos en el epicentro de los ataques de ransomware, de la suplantación de identidad y la estafa online, problemas que acontecen todos los días, incluso a niveles estatales. Puso de ejemplo a la Argentina, que se vio vulnerada en la base de datos del Registro Nacional de las Personas, en la Policía Federal, su Juzgado, el Senado de la Nación Argentina, el Instituto Nacional de Tecnología Agrícola (INTA) y otras varias organizaciones. 

Siguió con otros ejemplos internacionales como el Banco de Chile, la Secretaría Nacional de Defensa en México, e incluso Costa Rica, que fue vulnerada durante un mes, tiempo en que sus autoridades no pudieron usar ningun tipo de dispositivo ni sistema electrónico, teniendo que volver al lápiz y al papel. 

Para el profesional en ciberseguridad, la situación en Paraguay es crítica en cuanto a medidas de control cibernético. “Recién empezamos a sentir los ramalazos”, haciendo alusión a lo ocurrido recientemente con la empresa de telecomunicaciones que recibió un ataque de ransomware.

Si bien para muchos, este ataque cibernético fue una sorpresa, Gaspar comentó que nuestro país ya pasó por situaciones similares. Destacó un ciberataque al departamento de Identificaciones de la Policía Nacional hace dos años. 

“Tuvimos la brecha de datos con la Policía Nacional en agosto. Tuvimos ransomware en varios bancos, muchos no salieron a la luz. Tuvimos ransomware en cooperativas; 85 servidores comprometidos cuando salió el ransomware “Wannacry”. 

De todos estos, solo 15 o 20 salieron a la luz. Sin embargo, nosotros recibimos entre 7 y 10 denuncias de ransomware por semana que provienen de empresas y particulares, lo que muestra que es un verdadero problema”, relata. 

Añadió que al ransomware se suman la suplantación de identidad, que creció 3.000% en toda Latinoamérica en 2023. 

“No estamos bien. Paraguay no tiene una red nacional de fibra óptica funcionando”, enfatizó. 

CIS Controls, marco de referencia en ciberseguridad

Respecto al uso del marco de prácticas de seguridad recomendadas y consensuadas a nivel mundial, conocido como CIS Controls, que fue promovido por la anterior Secretaría Nacional de Tecnologías de la Información (Senatic), hoy Ministerio de Tecnologías de la Información (Mitic), Gaspar menciona que solo un par de instituciones públicas han cumplido con dos o tres de los 18 controles básicos que plantea. “El resto, nada”, remarca el profesional y sostiene que lo mismo ocurre con las empresas privadas. Solo 37% de las empresas locales posee alguna estrategia de ciberseguridad.

“Hay empresas monstruosas que no tienen mecanismos de seguridad adecuados, un plan de contingencia o un plan de continuidad de negocio; conviven los dispositivos personales con los dispositivos corporativos y esas son las malas prácticas que encontramos a groso modo”. Gaspar explica que la ciberseguridad es una ciencia multidisciplinaria y las soluciones son transversales a toda la empresa. Detalla que en el momento en que uno desea aplicar una estrategia en este ámbito, no solo debe participar el técnico y el decisor de la empresa, también el contable, administrativos, el personal de recursos humanos, marketing, de tecnología, la alta gerencia, en fin, todos. 

“Si no hay una orden de arriba y una comunicación fluida de las medidas que se van a tomar, no va a funcionar. No es solo poner reglas en un rúter o instalar políticas desde un switch para que un fulano se conecte, porque el punto más débil siempre es una persona, un ser humano. La ciberseguridad comienza por la parte jurídica, por el contrato que le hacemos firmar a los empleados y a los funcionarios donde dice de qué manera se debe tratar la información, de qué manera deberán tratar los activos digitales y activos físicos”, destacó. 

¿Cómo se puede infectar la red de una empresa?

Gaspar explicó de una forma muy sencilla cómo la red de una empresa puede infectarse con un agente malicioso. Por ejemplo, si no existen medidas de seguridad cibernética y el personal de la empresa estuvo bajando películas pirata o aplicaciones la noche anterior, o incluso le prestó a su hijo el celular para descargar diamantes o pases de batalla para juegos electrónicos, allí se contamina su teléfono. Este mismo dispositivo, conectado a la PC del trabajo con un cable USB, ya infecta el sistema. Todo esto sin tener la mínima intención de hacerlo. Gaspar afirma que son muy pocas las empresas que toman en serio la ciberseguridad, siendo muy reactivos sin aplicar medidas al respecto. 

Por esta razón, la primera inversión es la capacitación de todo el personal debido a que los ciberataques ingresan por el eslabón más débil. Después de la capacitación habrá que decidir las herramientas a utilizar, en función de lo que se tiene que proteger. “No es lo mismo proteger la florería de don Pepe, que tiene dos PCs para los pedidos y un sistema, que proteger un ecosistema de 40 máquinas que tengan datos financieros o datos sensibles de las personas”, añadió. 

La protección se basa en lo crítico de las labores de la empresa y en la calidad de los datos. Y se dimensionan los equipos necesarios con protección de firewall, acceso, monitoreo, auditoría, entre otros. A esto le siguen las políticas, procedimientos y la adopción de un marco de referencia. “No hace falta que la gente vaya por un ISO. Están los CIS Controls o el NIST un marco de referencia norteamericano utilizado por muchísimas empresas en todo el mundo para mitigar los riesgos en ciberseguridad. Con esto, una empresa en tres meses puede tener una visión de sus vulnerabilidades y adoptar medidas que van a hacer que la empresa funcione mejor”, sentenció Gaspar.