Nacional > Según el BID

Uruguay necesita 600 especialistas en ciberseguridad; daños dejan pérdidas millonarias

Según el BID, hay un desfase entre los esfuerzos por proteger el espacio y el proceso de digitalización
Tiempo de lectura: -'
11 de noviembre de 2019 a las 05:04

Uruguay es uno de los países más desarrollados en la región en materia de gobierno digital, comercio electrónico y uso de las Tecnologías de la Información y la Comunicación (TIC) según un estudio de Naciones Unidos y, a pesar de ser uno de los estados más avanzados en materia de ciberseguridad en el contexto latinoamericano, el país exhibe vulnerabilidades importantes que anualmente ocasionan pérdidas millonarias.

“Los esfuerzos por proteger el espacio no han avanzado al mismo ritmo que el proceso de digitalización lo cual deja el espacio cibernético uruguayo vulnerable a posibles ataques”, afirma el documento “Fortalecimiento de la ciberseguridad en Uruguay” del Banco Interamericano de Desarrollo (BID). Ese informe -que constituye el perfil de un proyecto por US$10 millones que financiará el BID en un 80%- basa su diagnóstico en el Informe Ciberseguridad 2016 que muestra que Uruguay “no alcanza la mitad de la puntuación del modelo de madurez que representa una adecuada política de ciberseguridad para países con un desarrollo comparable”. Uruguay obtuvo 149 puntos en 245 posibles y un país desarrollado en esta materia como Israel alcanzó 200.

Lejos de ser una paradoja, existe una relación entre el lugar privilegiado que tiene Uruguay en materia de agenda digital en el mundo (posición 42 de 176 según la International Telecommunications Union) y el aumento de los riesgos que ellos involucra. 

“La elevada penetración de las TIC en todos los ámbitos de la sociedad incrementa tanto el número de posibles vulnerabilidades como de incidentes potenciales, y del impacto que los mismos pueden generar al aumenta lo que los expertos denominan superficie de ataque”.

Uruguay también es el país con mayor desarrollo de gobierno digital en América Latina y el Caribe y ocupa la posición 34 de 193 a nivel mundial. 

Por eso, el principal desafío del proyecto, que se ejecutará entre 2019 y 2023, es mejorar el “bajo nivel de implementación” de la política de ciberseguridad del país que lo deja vulnerable ante la eventualidad de ataques cibernéticos. “El programa contribuirá a fortalecer la capacidad del país para proteger su espacio digital mejorando la prevención, detección y respuesta a los ataques cibernéticos”, establece el proyecto como su objetivo principal.

Debilidades que cuestan millones

El informe del BID reconoce que si bien Uruguay ha creado institucionalidad y procesos para hacer frente a las amenazas digitales, con la creación del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Cert.uy) en 2008 y el Government Security Operation Center (GSOC) en 2017, la insuficiencia de recursos deriva en la imposibilidad de estar a la altura de la demanda.   

“La capacidad técnica y el equipamiento tecnológico del Cert.uy no han sido actualizados al ritmo que demandan los rápidos cambios que se producen en el mundo digital, y el GSOC no ha sido equipado con todos los recursos que precisa para cumplir adecuadamente su función”, afirma el documento.

Y agrega: “Esta falta de capacidad en el Cert.uy y en el GSOC hace que sea difícil detectar los ataques cibernéticos o que la detección se produzca de forma tardía y por tanto los daños ya se hayan producido”. 

El incremento de la capacidad tecnológica es un punto medular, puesto que hay evidencia que a mayor capacidad, aumenta la habilidad para detectar incidentes. De hecho, desde el año 2017 cuando se instaló el GSCO la detección de ataques cibernéticos incrementó en un 69%.

Sin embargo, la “falta” de capacidades operativas de monitoreo, detección y respuesta de incidentes hizo que 40 de los 2000 incidentes detectados el año pasado generaran un “alto impacto” debido a que se detectan tardíamente. 

En la actualidad, el GSOC solo cuenta con monitoreo perimetral para los organismos de la Administración Pública, lo cual deja fuera del monitoreo los sistemas internos de cada institución. Además, existen limitadas capacidades de analizar las alertas que se generan: el sistema actual de monitoreo no cuenta con funcionalidades de big data, information sharing e inteligencia de amenazas. Por último, no existe un mecanismo seguro y confidencial para compartir información con el sector privado relativo a ataques e incidentes, según el documento del BID.

Esto redunda en un mayor tiempo de respuesta para solucionar el problema causado y, por ende, en un costo mayor para los implicados. Según estimaciones de la Agesic, en promedio, cada incidente de severidad “alta” o “muy alta” tienen un costo de US$48.000 en gastos operativos. En 2018 hubo un total de 2.046 incidentes detectados, 43 de los cuales eran de severidad alta o muy alta (2,10%), lo cual totalizó la suma de dos millones de dólares. 

Sin embargo, calcular cuál es el impacto económico real de los ataques cibernéticos es difícil por razones metodológicas y porque, en general, “las víctimas de los ciberataques tienden a no compartir información acerca de los daños causados por el riesgo reputacional asociados o temor a invitar ataques a futuro”. 

Por eso lo que hace el BID es una estimación que consiste en un “escalamiento” a Uruguay de cifras auto‑reportadas de individuos y empresas de Estados Unidos. La cuenta final da que para el total impacto de los ciberataques en Uruguay asciende a US$34,27 millones, y un tercio de esa cifra impacta en el gobierno. Sin embargo, el propio análisis económico se encarga, en una nota al pie, de valorar esa cifra como “conservadora" considerando que una extrapolación de una estimación de CSIS y McAfee daría que "el impacto total para Uruguay es de entre US$75-150 millones”. 

Esos 11,4 millones de afectación para el gobierno (un tercio de 34,27)  no es una cifra definitiva, ya que debe ser ponderada a la luz de las diferencias en materia de ciberseguridad, entres Uruguay y  Estados Unidos. “Considerando esta mayor exposición a ciberataques por menor capacidad, el impacto económico para el gobierno de Uruguay sería de US$24.1 millones. Es monto que se utiliza como la línea de base para el impacto proyectado del proyecto”. El aumento de la capacidades que propone este programa hace que se proyecte disminuir esa cifra en un 30% para el 2023.

Recursos humanos insuficientes

Un segundo problema que se menciona es la escasez de profesionales capacitados para trabajar en materia de ciberseguridad. “Se estima que Uruguay cuenta actualmente con 650 profesionales en ciberseguridad y precisa duplicar esa cifra en los próximos dos años. Esta brecha de profesionales tiene además un importante elemento de género. Menos del 10% de los profesionales de ciberseguridad del país son mujeres de acuerdo con Agesic”, afirma el documento. 

La necesidad de duplicar esa cifra parte de una consultoría que hizo la empresa israelí Avnet para Agesic, en la que marca la necesidad de 600 profesionales en ciberseguridad en Uruguay.

Esta situación se explica, entre otros factores, por la pobre oferta formativa en seguridad informática. De las cuatro universidades uruguayas, solo la Universidad de la República ofrece un curso de especialización en seguridad de la información, según el BID. 

Por este motivo es que dos componentes del programa hacen foco en la formación profesional en esta materia y se concluye que, dada la necesidad nacional y regional, sacar expertos en materia de ciberseguridad es redituable. 

Comentarios

Registrate gratis y seguí navegando.

¿Ya estás registrado? iniciá sesión aquí.

Pasá de informarte a formar tu opinión.

Suscribite desde US$ 345 / mes

Elegí tu plan

Estás por alcanzar el límite de notas.

Suscribite ahora a

Te quedan 3 notas gratuitas.

Accedé ilimitado desde US$ 345 / mes

Esta es tu última nota gratuita.

Se parte de desde US$ 345 / mes

Alcanzaste el límite de notas gratuitas.

Elegí tu plan y accedé sin límites.

Ver planes

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Si ya sos suscriptor Member, iniciá sesión acá

Cargando...