Ciberseguridad: el gran problema que en Uruguay se mira de reojo

El riesgo de que alguien accione contra una empresa siempre está latente. Para reducir el impacto algunas de ellas invierten fuerte en ciberseguridad. Se trata de generar sistemas de seguridad que detecten los ataques y los frenen, para evitar que el servicio se vea afectado.

Los casos que más transcienden son los de los bancos, que han sufrido ciberataques y que deben suspender sus servicios online. Paradójicamente, las entidades financieras son las que más suelen invertir en estos sistemas. “El riesgo siempre está presente, pero claro, uno siempre lo puede minimizar”, comentó a Café y Negocios el experto en ciberseguridad y director de Eset Uruguay, José Luis López.

Para López, al ámbito empresarial uruguayo todavía le falta entender cuáles son los beneficios de invertir en ciberseguridad, sobre todo si se piensa en que la tecnología evoluciona constantemente y con ella los peligros de que sea usada con intenciones dañinas. “Tanto las empresas como el usuario común no son conscientes de esta problemática (…) es lo mismo que un martillo, se puede hacer un mueble con él pero también matar a una persona”, destacó López.

Los ataques suelen ser dirigidos o no. En el primer caso se tiene conocimiento sobre la dinámica de la compañía y se busca conseguir algo puntual. En caso de las acciones no dirigidas, se suelen hacer en masa y no buscan nada en específico. “A veces es un hacker novato que está haciendo sus primeras armas”, afirmó el licenciado en sistemas y co-fundador de FAS, Diego Sarro.

En cualquiera de los dos casos, para López, siempre se termina por afectar la imagen de la compañía ante los usuarios.

Tanto Sarro como López coincidieron que detrás de estas acciones siempre hay “una mano humana”. Aún es impensado llevar adelante ciberataques automatizados, aunque para Sarro no falta mucho para que pase.

Los detalles

Una de las características que suelen tener los ciberataques es que se filtran por aparatos que no son de gran importancia para la compañía. A modo de ejemplo, el experto en ciberseguridad mencionó que ha habido casos en donde se vulneran los sistemas de seguridad a través de cafeteras que se conectan a Internet. “Va a parecer increíble, pero una empresa muy importante en Europa fue atacada a través de una pecera que estaba conectada a Internet”, sostuvo López.

Las cámaras de seguridad suelen ser otro punto de entrada para los ciberataques. López afirmó que muchos hackers logran ingresar fácilmente y ver cuál es la operativa de la empresa: “Saben todo, y desde allí pueden planear un potente ataque dirigido”.

Agregó que ejemplos como estos denotan que las empresas no son conscientes de que cuantas más cosas estén conectadas a la red, mayor es el riesgo de sufrir un ataque. “Cuanta más tecnología haya dentro de la empresa, van a ser más los puntos de ataque. Por eso es necesario ser consciente de la importancia de la ciberseguridad”, afirmó. A su vez sostuvo que esto no quiere decir que no se pueda sumar tecnología a la empresa, pero se debe tener claro que cada aparato tecnológico “es una ventana sin rejas”.

Cuando alguien logra vulnerar los sistemas de las empresas, son muchas las acciones que puede llevar adelante. López destacó que se puede robar dinero, sacar datos de las transacciones que hacen las compañías o incluso hacer que la organización deje de funcionar.

“Cuanta más tecnología haya dentro de la empresa, van a ser más los puntos de ataque. Por eso es necesario ser consciente de la importancia de la ciberseguridad”

Sarro agregó que a veces las empresas no se enteran que están siendo atacadas, porque los hackers buscan hacer un ciberataque más potente en el futuro. “Se secuestran algunas computadoras y la empresa no se da cuenta, pero luego eso es usado para hacer caer su página web o cualquier otro tipo de acciones”, explicó.

Falta de educación

Uno de los motivos por los que se carece de conciencia en ciberseguridad es la falta de educación al respecto, según los expertos. Para López sería interesante que las empresas capacitaran a sus empleados para saber qué acciones tomar y cómo prevenir un ataque: “Como en una fábrica se enseñan a usar las máquinas, las empresas deberían educar a sus empleados para concientizarlos”.

Para el experto, la educación es fundamental porque las personas deben entender que por más seguridad que exista siempre el error humano suele ser determinante. Explicó que cada acción cotidiana que toman los empleados importa, por eso deben tener noción de la dimensión de algunos riesgos. “Por ejemplo, muchos pegan en sus monitores algunos usuarios y contraseñas para recordarlos luego, cuando se sacan una foto,  hay alguien que ve la imagen y usa esos datos en contra de la empresa”, dijo.

Sarro, por su parte, sostuvo que el factor educativo es determinante, ya que incluso en las carreras que tienen que ver con la tecnología casi  no se enseña sobre ciberseguridad. “Entonces es muy difícil capacitar a los empleados, porque incluso quienes tendrían que saber sobre el tema no lo hacen”, consignó. Las organizaciones, agregó, deben entender que la seguridad no es un factor operativo, pero sí colabora para que el funcionamiento sea exitoso.

Cuando se habla de ciberataques se suele pensar en los bancos o en las grandes empresas, ya que por su tamaño están más expuestas. Sin embargo, López argumentó que todas las empresas pueden ser atacadas sin importar su tamaño. Esto se da por el hecho de que la tecnología suele estar presente en la mayoría de las compañías. “Si tenés una computadora, eso ya es una punto de entrada para un ataque”, dijo el experto.

“El usuario sentado frente a una computadora suele ser uno de los puntos más vulnerables”, afirmó López y explicó que hay lugares en donde los riesgos no se pueden reducir, por ende, lo más conveniente es que la empresa tenga un protocolo establecido cuando se da un ciberataque.

Este tipo de plan no siempre está dado y muchas veces es por un tema generacional dentro de la empresa. López argumentó que en el empresariado uruguayo hay muchos líderes que no son nativos digitales, por lo que no entienden cabalmente cómo se fusionan la seguridad y la tecnología. “Hacer conscientes a las personas de que todos somos vulnerables es el gran desafío que actualmente tenemos”, sostuvo López.

El punto de inflexión

En la medida que el problema se hizo más recurrente, algunas empresas en tecnología decidieron comenzar a ofrecer servicios en ciberseguridad. Una de ellas es Logicalis, quien desde hace ya algunos años viene potenciando esta vertical dentro de la compañía.

Para ello creó la Unidad de Negocio de Seguridad Informática, para "conocer y entender la infraestructura de los clientes y anticipar sus necesidades", comentó el analista de preventa en Seguridad Informática de la compañía, Matías Baíllo.

Para Baíllo, el punto de inflexión fue cuando la población se dio cuenta de que los ciberataques ya no eran simples infecciones de virus, sino que pasaron a ser acciones organizadas que buscaban generar un mal mayor. Por eso el directivo señaló que todos los rubros suelen necesitar servicios de ciberseguridad, ya que ninguna compañía está exenta de sufrir un ataque. “Se ha notado un gran incremento de ataques a instituciones médicas desde que se comenzó a digitalizar toda la información de sus clientes, sobre todo los historiales médicos. El sector industrial también deberá estar preparado, represas, centrales nucleares, centras eléctricas”, comentó.

Baíllo señaló que una práctica que puede resultar interesante para lograr concientizar a los empresarios, es someter su propia red a diferentes pruebas para saber qué tan expuesta está.

Desde el punto de vista de Logicalis, las empresas cada vez más están recurriendo a contratar estos servicios para prevenir los ataques. “En los últimos años la inversión en soluciones de ciberseguridad ha aumentado, así como también la contratación de personal capacitado en la misma”, apuntó Baíllo.

Al igual que Sarro, Baíllo cree que el debe actualmente está en formar más profesionales en seguridad informática, ya que la demanda seguirá en ascenso de cara al corto plazo.

Una potencial fuente laboral

Si bien los especialistas creen que desde este lado del mundo se está atrasado en relación a las tendencias, algunos consideran que con el paso del tiempo las empresas apuntarán con más fuerza hacia la ciberseguridad.

En este sentido, el presidente de la Cámara Uruguaya de Tecnologías de la Información (CUTI), Leonardo Loureiro, sostuvo que en el corto plazo más especialistas podrán trabajar en el negocio de la ciberseguridad porque el rubro crecerá. 

Con motivo de fomentar estas oportunidades laborales, en el año 2018, la CUTI hizo un llamado para que algunos profesionales en tecnología formen parte de las mesas de trabajo internas de la cámara. “Este tipo de labor está orientada exclusivamente en ciberseguridad”, comentó.

Si bien hay algunas empresas que tienen claro qué pasos seguir, para Loureiro se debe dar un trabajo en conjunto dentro del ámbito empresarial. De esta forma, habrá una especie de contagio y solo así se podrá lograr el cambio social que se busca.

Loureiro, en sintonía con los especialistas, afirmó que en el sector público se están dando grandes pasos. Sin embargo, sostuvo que en el ámbito privado no pasa lo mismo y comparó la situación con la enfermedad de un animal: “Si vacunas a un solo animal de los que están enfermos, el resto se va a contagiar (…) por eso es importante que todas las organizaciones tengan en cuenta la seguridad en el mundo de la tecnología”.

No coincidió con Sarro y López ya que considera que Uruguay es uno de los países más avanzados en materia de ciberseguridad. “Somos uno de los que más pasos ha dado. Tanto así que muchas empresas locales exportan sus servicios”, argumentó.