Tecnología > CIBERSEGURIDAD
Qué tan protegidas están las empresas uruguayas contra filtración de datos
La filtración de datos personales de miles de usuarios que utilizaban los sitios web de envíos de paquetes uruguayos evidencia una falta de preocupación por las empresas locales ante los problemas de seguridad informática, señala una encuesta y aseguran expertos.
Una de cada cuatro empresas locales aseguró estar "nada" preparada ante hackeos o robos de información, según una encuesta realizada en 2019 a 600 compañías locales elaborado por el Grupo Radar y la firma Datasec. Una de cada 10 dijo "no saberlo". Casi la mitad aseguró estar parcial o completamente preparada para un ataque de esta índole.
Las más expuestas a ataques de este tipo son las pequeñas y micro empresas, que presentan mayores fragilidades que las grandes y medianas, indica el estudio. Si se analiza por rubros, el comercio dijo estar menos preparada que el de industria y que el de servicios.
El estudio revela que el 77% no cree necesario hacer un análisis de seguridad.
"A pesar de los ciberincidentes son uno del riesgo operativo más importante para las organizaciones a nivel mundial, las empresas uruguayas no han toman aún conciencia de la relevancia de custodiar su continuidad invirtiendo adecuadamente en la materia", señala la investigación.
En el mismo sentido se expresó José Luis López, director de ESET Uruguay, una compañía que brinda soluciones de seguridad informática: "La mayoría de las empresas no tienen conciencia de lo que significa la ciberseguridad. En algunos casos se limitan a tener un antivirus y poco más. Tampoco tienen personal dedicado dentro de la empresa a cuidar la seguridad informática. Por supuesto que hay empresas que lo tomaron en serio, pero la inmensa mayoría no".
Datos al descubierto
En Uruguay, el 20%de las empresas dijeron haber sido víctimas de phishing en el último año (ataques donde el ciberdelincuente se hace pasar por una entidad para robar datos o dinero), el 14% dijo haber recibido virus y el 3% manifestó haber sufrido un ransomware (secuestro de información de una computadora por la que a cambio se pide una suma de dinero) y hackeos (intentos de ingresar al sistema).
La mayoría de los ataques que se están produciendo últimamente son los ataques de phishing "dirigido". "Es un ataque estudiado: localizar qué personas trabajan en una empresa para mandarle un mensaje, ganándose la confianza de ellos y pedir que envíe, por ejemplo, cierta cantidad de dinero", comentó.
Los últimos episodios más importantes ocurrieron en los últimos dos años en Uruguay y refieren a vulnerabilidades generales. El último estuvo vinculado a la filtración de datos personales de UES y DAC, que investiga el gobierno y por el que ya ha emitido una resolución en donde se intima a una de estas compañías a corregir las fallas.
El estadounidense que halló esta vulnerabilidad encontró firmas de personas, contratos de telepajes, documentación que bancos enviaron a juzgados con información personal de clientes y hasta firmas de miles de uruguayos.“Lo que hace que esta filtración sea mala es que tiene información de mucha gente en ella y con datos críticos impresos y la parte escrita a mano. La parte escrita a mano se puede usar para ‘firmar’ documentos y falsificar cosas con su propia letra. Todos esos datos en un solo lugar son malos”, señaló Jayson Minard, el programador de software que detectó este problema.
Otras involucran a sitios web del Estado. Una de ellas refiere a una falla de seguridad informática del sitio web de la biblioteca de la Universidad de la República. Cuando un analista intentaba ingresar allí, se percató de que en esa web cualquier usuario podía poner su usuario y contraseña y acceder a una cuenta personal, donde aparecía. El problema fue que miles de estudiantes y exestudiantes desconocían esta web, donde aparecían sus datos personales (nombre, teléfono, dirección y carrera en la que cursan).
Un tema legal y de conciencia de valor del dato
El país tiene marco jurídico que permite controlar lo que las empresas y el Estado hace con la información de los usuarios y ciudadanos. Desde que existe la ley de datos personales, en 2008, la Unidad Reguladora y de Control de Datos personales vela para que la información que un usuario o cliente deja en un hotel o servicio tecnológico se utilicen para el fin que se solicitaron. Por eso, las empresas están obligadas a registrar sus bases ante este organismo de forma que éste pueda llevar un control. Si no hay un registro, la firma está violando la ley. De hecho, además de empresas privadas hay muchos organismos estatales que incumplen la ley.
Uruguay ha actualizado este año la normativa. Y desde ahora se establece que las entidades públicas estatales y no estatales, las entidades privadas que traten datos sensibles como negocio principal y las que traten grandes volúmenes de datos deben designar un delegado de protección de datos personales. Esta persona, que debe cumplir ciertos requisitos, debe hacer valer que la empresa esté protegiendo la normativa.
Y, a su vez, las personas están asignándole un valor mayor a la información que le otorgan a las empresas y aplicaciones que descargan, según expertos jurídicos en la materia. "Lo que yo veo es un cambio de paradigma que tiene que ver con la conciencia de los ciudadanos sobre la importancia del dato. Las empresas están entendiendo que más allá de que el Estado puedan regular en mayor o menor medida, lo ven como un valor", indicó Mariano Aron, abogado experto en privacidad y datos personales que brinda servicios en Uruguay.
Según datos actualizados de la Encuesta de Conocimiento, Actitudes y Prácticas de Ciudadanía Digital (CAP), elaborado por el gobierno, el 53% de los uruguayos mayores de edad saben que existe normativa que protege los datos personales (en 2016 eran 42% y en 2014, 36%). Apenas un 6% reconoce que ha sufrido por Internet alguna violación de privacidad (por ejemplo, de fotos o videos) o abuso de información personal que suministró.
