Aumento de ataques cibernéticos pone en jaque a empresas uruguayas

El mayor contratiempo al que se enfrentan las compañías a la hora de trabajar con las tecnologías digitales son los ataques cibernéticos, que pueden comprometer todo tipo de información, y poner en jaque a empresas y particulares.

Un ciberataque es un conjunto de acciones contra sistemas de información, como pueden ser bases de datos o redes computacionales. Este tipo de acción puede atentar tanto contra los equipos y sistemas que operan en la red de una empresa, anulando los servicios, como contra bases que almacenan información, robando datos para extorsionar a una víctima.

Entonces, los ataques cibernéticos son un delito grave del que empresas y particulares deben —y procuran— cuidarse. Sin embargo, los casos en Uruguay mantienen una tendencia al alza. Según la Agencia de Gobierno Electrónico y Sociedad de la Información (Agesic), en 2020 se registraron 2.798 incidentes, lo que marca un crecimiento porcentual del 26% aproximadamente con respecto a 2019.

Aunque los datos de 2021 aún no están disponibles, el comisario mayor Paulo Rocha, director de la Unidad de Cibercrimen del Ministerio del Interior aseveró que se percibe un aumento. “Es un fenómeno mundial. Cuanto más se usa la tecnología, más personas se concentran e cometer ciberdelitos”, aseguró. 

Y, sin dudas, con la llegada de la pandemia el uso de la tecnología aumentó. Así lo evidencia, por ejemplo, el incremento tanto del comercio electrónico como del trabajo remoto. Por un lado, en el mundo se augura un crecimiento del 30% en transacciones del canal online. Al mismo tiempo, en la región, el trabajo a distancia aumentó 40% en el último año.

Si bien los casos crecen —a diferencia de otros delitos—, los ciberataques tienen remedio. Según Agesic, un incidente de severidad “alta” o “muy alta” puede enmendarse por un costo promedio de US$ 40.000. “Es necesario disponibilizar, en un corto periodo de tiempo, un equipo muy grande, de profesionales de alta especialización”, explicó a Café & Negocios el director de Seguridad de la Información de Agesic, Mauricio Papaleo. Este costo refiere a la contención de la situación: los intrusos afuera y las vulnerabilidades mitigadas. No incluye los gastos que pueden existir a posterior por tareas que se deban realizar para seguir operando, por el lucro cesante o por el impacto en la reputación de la empresa atacada.

De los 2.798 casos de ataques cibernéticos registrados por Agesic en 2020, 38 fueron clasificados como de severidad “alta” o “muy alta”. Dentro de la categoría “alta” entran delitos como la toma de control de los sistemas y el robo de información sustraída. El nivel “muy alto” puede conllevar a la interrupción de los recursos de tecnología de la información, con las graves consecuencias que puede tener para una compañía.

“Tenemos una mejora en la proactividad de la detección en forma temprana, que llega hoy en día al 55% de casos detectados en una fase temprana”, dijo Papaleo a Café & Negocios.

Los ataques más habituales

Según CIO Survey, el informe de KPMG en América del Sur, cuatro de cada 10 empresas han experimentado un aumento en la cantidad de incidentes reportados, específicamente en aquellos calificados como phishing y malware.

El phishing consiste en el envío de mensajes fraudulentos a las víctimas, usualmente a través de correo electrónico (aunque puede ser por otros medios). El principal objetivo de este tipo de ciberataque es robar datos personales como información sobre inicios de sesión o datos de tarjetas de crédito, entre otros. 

Rocha, de la Unidad de Cibercrimen del Ministerio del Interior, explicó que el phishing se suele hacer a través de ingeniería social, recabando datos que las personas aportan a las redes sociales. “Los delincuentes captan la información y la usan para generar situaciones que parecen reales, pero no lo son”, explicó.

“La vulnerabilidad mayor no es la tecnología sino la persona misma”, aseguró Rocha. No obstante, los intentos de phishing son cada vez más elaborados y suelen generar confusión en los usuarios, que a veces terminan brindando datos a los atacantes.

El malware hace alusión al software malicioso que incluye virus y gusanos. Básicamente, lo que hace es aprovechar las vulnerabilidades para ingresar a las redes de una empresa. Su impacto va desde la instalación de software dañino al bloqueo del acceso a componentes claves de la red (ransomware) o a la obtención furtiva de información (spyware).

Durante el 2020, el malware en general representó un poco más del 30% de los incidentes que se reportaron al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy).

Así como las personas deben cuidarse del phishing —y las empresas tienen que facilitar educación para evitar el robo de datos personales—, las compañías también deben tener cuidado con cualquier tipo de malware. “Tienen que comprender que asegurar su resiliencia luego de un ataque es parte de la transformación digital, ya que, como bien dijo Frank Shaw de Microsoft, ‘toda empresa es una empresa de software’”, sostuvo Papaleo.

En este sentido, aseguró que se encuentran mejor preparadas las empresas que cuentan con respaldo fuera de línea porque, si se almacenan en la red afectada, seguramente sean encriptadas. Sin embargo, el respaldo adecuado no es suficiente. Los atacantes, al ver que no es posible recibir recompensa, exigen rescate por no publicar o vender los datos. Por ello la protección debe de ser completa, y es más que oportuno contar con una política que asegure los datos frente a posibles robos, no solo pensando en la continuidad del negocio, sino también en la reputación de la empresa frente a sus clientes.

Además del secuestro de datos, el robo de dinero

El phishing y el malware son los ataques más habituales, pero si el delincuente logra acceder a una cuenta bancaria, el dinero es su botín.
A fin de evitar estos atentados, hace varios años que la ciberseguridad está en el centro de los riesgos gestionados por los bancos tanto a nivel mundial como local, y su importancia ha ido en aumento a partir del fuerte proceso de digitalización de las operaciones bancarias.

“Para Itaú la ciberseguridad tiene máxima prioridad”, aseguró el director de riesgos de Itaú, Fernando Barrán. El banco evalúa en forma continua la seguridad de sus sistemas y de los aplicativos y productos utilizados por sus clientes, incorporando nuevas tecnologías y estableciendo planes de contingencia para asegurar la continuidad de las operaciones en eventuales situaciones extremas.

Además, en el banco fomentan la cultura de riesgos: “Concientizar y capacitar a todos nuestros colaboradores porque creemos que todos somos gestores de riesgos”, explicó Barrán. En este sentido, se envían periódicamente materiales del área de Seguridad de la Información para repasar los aspectos más importantes y resaltar la importancia de la actitud y el compromiso para el éxito de este proceso. 

Las inversiones y gastos anuales directos en ciberseguridad realizadas por Itaú en Uruguay involucran “varios millones de dólares al año”, habiéndose incrementado significativamente en los últimos años.

Inversiones para evitar los ataques

Los ciberataques están entre los tres riesgos que más han crecido en el último año, según el informe CEO Outlook 2021 de KPMG. 

Esta premisa deriva en una revisión de la inversión que realizan las empresas en aspectos de ciberseguridad. El desembolso debe considerar el impacto económico y el de la imagen de una empresa que afronta incidentes de ciberseguridad, que pueden ser de alto valor aun sin considerar la perdida de información.

Marcelo Cagnani, director de Advisory Services en KPMG Uruguay, dijo que las empresas suelen contratar recursos internos o servicios profesionales para evaluar el nivel de madurez y adecuación de sus soluciones para ataques cibernéticos. Una vez que identifican brechas, las empresas asignan presupuesto para mejorar la ciberseguridad.

Según Cagnani, los servicios que aumentaron estos últimos años son los referidos a la continuidad operativa del negocio, auditorías para evaluar el grado de madurez de la ciberseguridad en la empresa, apoyo en cuestiones de ciberseguridad y gestión de riesgos de seguridad de la información.

Consultado sobre cuánto se han preocupado por la ciberseguridad las empresas uruguayas en los últimos años, Papaleo de Agesic aseguró: “Uruguay se encuentra dentro de los mejores países de América en este tema” y agregó: “El área de Seguridad de la Información de Agesic viene preocupándose por la ciberseguridad desde su creación, hace ya casi 15 años”. 

La inversión en ciberseguridad en Uruguay está creciendo hace años. Un estudio realizado previo a la pandemia muestra que el 74% de las empresas contrataban servicios de ciberseguridad y un 80% preveía un incremento de la inversión. 

Protección privada y pública

Aunque las empresas invierten en seguridad, se siguen enfrentando a ciberataques porque, tal como sostuvo Rocha, “si el botín es grande, el delincuente trabaja para encontrar una vulnerabilidad y poder cometer el delito”. 

No obstante, cuanta más seguridad tenga la empresa, las posibilidades de ser víctima de un ataque son menores. Por consiguiente, tanto la protección privada como pública es importante. 

Además de las inversiones ya mencionadas, en Uruguay la policía trabaja para convertir el mundo digital en uno más seguro. Ante cada ataque cibernético reportado, se hace un trabajo de seguimiento para detectar y atrapar a la persona u organización que comete los delitos. 

“La tecnología va a seguir avanzando y cada vez va a haber más delincuentes prontos para cometer delitos. En la policía se están fortaleciendo las unidades de combate para reprimir los ataques”, concluyó Rocha.

¿Cómo evitar los ciberataques?