A la par del avance tecnológico en todas las industrias, el incremento de ataques que vulneran la ciberseguridad se ha convertido en un dolor de cabeza para las empresas de la región. Por ello, los esfuerzos e inversiones para sortear la cibercriminalidad son cada vez mayores, en un 2024 donde los riesgos amenazan con agudizarse.
En la víspera de Año Nuevo, el colombiano Brian Quintero descubrió que cibercriminales accedieron a su cuenta bancaria y vaciaron todo el dinero que tenía: unos US$760, aproximadamente. A través de correos electrónicos, el neobanco Nequi le notificó que hubo un intento de acceso exitoso a la aplicación mediante la opción de reconocimiento facial. Quintero se comunicó con un asesor de Nequi, quien le indicó que era muy probable que los cibercriminales hayan usado inteligencia artificial (IA) para generar movimiento en las fotografías y burlar, así, el sistema de reconocimiento facial de la aplicación.
“El asesor que atiende mi llamada es quien me dice que lastimosamente es un método que están utilizando en este momento los delincuentes cibernéticos. Prácticamente utilizan aplicaciones para generar movimiento en tu rostro”, comentó el cliente afectado al medio colombiano CityTV. Tal evento, sin embargo, es sólo uno de miles de ejemplos vistos durante los últimos meses. Y ponen nuevamente sobre el tapete la fragilidad de los sistemas informáticos de empresas de diversos rubros en toda la región.
En Latinoamérica, las instituciones más atacadas son los bancos, seguidos por las instituciones de salud y las educativas. Si hablamos de países específicos, según Bruno Santiago, gerente de ciberseguridad de Oracle para América Latina, Brasil es la nación con más ciberataques, seguido de México y Colombia en la región. “Aunque esto no reduce la frecuencia ni la gravedad de los ciberataques en otros países latinoamericanos”, precisa Santiago.
La lista de violaciones en proveedores de servicios registradas en los últimos meses es larga. “El ataque de ransomware a GTD en Chile, por ejemplo, afectó a cientos de clientes que utilizaban sus servicios de Infraestructura como Servicio (IaaS), incluyendo entidades gubernamentales. En Colombia, un ataque a la operadora de telecomunicaciones IFX Networks interrumpió las operaciones del Poder Judicial, el Ministerio de Salud y otros organismos gubernamentales, así como a 700 empresas, también de otros países”, detalla el ejecutivo de Oracle.
¿INVERSIÓN SUFICIENTE?
2023 fue, sin duda, el año del ransomware. Y es que muchas empresas de la región se vieron afectadas por el ahora llamado ransomware-as-a-service. “Este se convirtió en una realidad y un peligro palpable”, dice a AméricaEconomía Robert Calva, Business Leader y especialista en automatización de Red Hat Latinoamérica.
El mundo se conecta cada vez más y, con ello, el número de superficies de ataque también se multiplica exponencialmente. Los ataques han construido poco a poco una industria millonaria que busca la ganancia financiera mediante la interrupción del servicio y el robo de datos. Y, para evitarlo, las empresas han respondido con una creciente inversión en ciberseguridad. “En 2023, el costo del cibercrimen alcanzó los US$ 10,5 billones y va en aumento”, indica Walter Montenegro, gerente general de Cisco Chile.
Según estimaciones de la empresa de ciberseguridad Cybersecurity Ventures, el costo global de los ciberataques en 2023 fue de US$ 6 billones y se espera que esta cifra aumente a US$ 10 billones en 2025. En Latinoamérica, la filtración y vulneración de datos alcanzó un costo promedio de US$ 2,46 millones. Se trata de un máximo histórico para la región y un aumento del 76% desde 2020, según el estudio Cost of a Data Breach.
El gasto para protegerse de la cibercriminalidad vale, entonces, su peso en oro. Sobre todo, considerando que un ciberataque es capaz de afectar toda la estructura de una organización. “El riesgo es muy alto. Desde la pérdida de la ventaja competitiva, la reducción de la calificación crediticia y el aumento de las primas de seguros cibernéticos hasta el impacto en el precio de su valor de mercado y pérdida de información sensible de sus clientes. Del lado de las personas, el impacto va desde extorsiones hasta filtración de información personal, suplantación de identidad y fraudes”, comenta Andrés Cariño, director de arquitectura de nube de Oracle.
En Latinoamérica, IDC estima que el gasto de las empresas en ciberseguridad se desglosa en un 56% para servicios de gestión de ciberseguridad, 17% en servicios de consultoría, 14% en integración de servicios y 12% en servicios de soporte. Dentro de esa gama, los líderes de negocio están identificando a la seguridad como el caso de uso principal para la IA generativa en sus empresas. “Esa es la razón por la que el 84% de las empresas priorizará soluciones de seguridad con IA generativa en vez de las tradicionales a nivel global, de acuerdo con el estudio de IBM sobre la IA generativa Empresarial”, agrega Pamela Skokanovic, CyberSecurity Sales Manager de IBM Sudamérica Sur.
Pero lo esencial de cualquier inversión o decisión será su eficacia en la gestión del riesgo. “La ciberseguridad se convierte en un elemento transversal que permea todas las áreas de la empresa, evidenciando que su importancia va más allá de una cifra monetaria. Y reside en cómo se adopta y se vive dentro de la estructura organizacional. Para ello, no se necesitan grandes cifras”, asegura Alan Mai, CEO de Bloka, firma argentina de asesoría en ciberseguridad.
Lo que sí requerirá la ciberseguridad es un fundamental blindaje a los sistemas digitales, a través de la implementación de medidas de seguridad robustas. “Como firewalls, cifrado de datos, autenticación de dos factores, entre otros”, remarca Mauricio Ramírez, ejecutivo de Palo Alto Networks en Latinoamérica.
También será necesario disminuir las brechas de vulnerabilidad con la actualización constante de la infraestructura, el software y los sistemas. Algo que deberá ser complementado con la capacitación y concientización del personal en materia de ciberseguridad. “Hemos observado casos emblemáticos en donde la solución siempre estuvo a disposición de las instituciones, pero no fue implementada por distintos factores, como la falta de presupuesto asignado a ciberseguridad, sistemas desactualizados y la falta de inversión en nuevas tecnologías de defensa”, cuenta Ramírez.
Aun así, las fuentes consultadas para este informe coinciden en que ningún plan ni solución es 100% segura y que no es cuestión de si los ataques van a ocurrir o no. Lo importante es cuándo ocurrirán y estar preparados para ese momento. “Clientes y proveedores de ciberseguridad deben saber exactamente qué hacer cuando eso ocurra, ya sea para contener el ataque o poder recuperar la información”, agrega Mauricio Gálvez, CISO de TIVIT.
Para ello, la formación de profesionales en ciberseguridad y una legislación adecuada serán claves. Respecto de regulación, países del continente americano que han ido aprobando marcos para regular la protección de datos, como Argentina, Chile, Brasil y México, son los que avanzan con mayor celeridad.
En el caso particular de Chile, país donde se aprobó en 2023 la llamada Ley Marco de Ciberseguridad, se obligará a todas las empresas a tener un plan de ciberseguridad, ya sea propio o externo. Este, luego, será auditado. Y lo mismo aplicará para las firmas que proporcionan servicios de ciberseguridad.
AMENAZA CRECIENTE
De cara al 2024, muchos de los riesgos agudizados en el 2023 seguirían en aumento. Oracle, por ejemplo, anticipa una escalada de ataques de ransomware, ingeniería social predictiva basada en IA y las arquitecturas Zero Trust /o seguridad de confianza cero).
Esto convertirá a la autenticación por múltiples factores y la seguridad alrededor de dispositivos móviles en dos aspectos de particular importancia. Y también anticiparía el crecimiento de la demanda de profesionales de TI con conocimientos profundos de ciberseguridad. “Este año la IA generativa empezará a asumir ciertas tareas tediosas y administrativas en nombre de los equipos de seguridad. Pero, más allá de esto, permitirá que los miembros del equipo con menos experiencia asuman tareas más desafiantes y de niveles superiores”, señala Pamela Skokanovic, de IBM.
Por otro lado, las amenazas internas también apuntan a crecer entre las empresas latinoamericanas. “Muchas veces la omisión de los estándares de seguridad [de parte de los empleados] puede traducirse en una brecha de la seguridad, que será aprovechada por terceros. Y también es posible que alguno de los empleados sea el responsable directo de las filtraciones de datos, ya sea de forma involuntaria o no”, indica Fernando Luna Guzman, Co-Founder & CEO de Lyra para Chile, Argentina y Perú.
A todo eso hay que sumarle los gusanos, troyanos y spywares. Ataques a IoT, de Hombre en el Medio, Zero Day Exploit, Whale Phishing, Spearphising y BEC. “Estos son los ataques más comunes en Latinoamérica”, enfatiza Pamela Skokanovic, de IBM Sudamérica Sur. “Otros temas importantes son las vulnerabilidades en la cadena de suministro, incluyendo el software utilizado por la empresa o incorporado en sus productos, y ataques respaldados por gobiernos o estados, que pueden afectar desde servicios a infraestructura crítica hasta redes eléctricas, suministro de combustible y agua para un país o región”, detalla Santiago, de Oracle.
Así, este año la ciberdelincuencia amenaza con seguir posicionándose como uno de los negocios criminales más rentables y en alza de la región. “Ya no son personas, sino que son entidades contratadas a veces por gobiernos o por la competencia para hacer algún dato específico o robar información clasificada (...) datos sensibles que puedes vender y que entregan un inmenso poder”, confirma Mauricio Gálvez, de Tivit.
Los ataques cibernéticos tendrán nuevos jugadores y nuevas tecnologías, con la IA como una protagonista de peso. El escudo o salvavidas que las empresas empleen para blindarse de estas ciberamenazas serán determinantes para que sus operaciones y rendimiento se afecte lo menos posible.