beebright - stock.adobe.com
Falta de marco legal y personal capacitado hacen endeble la ciberseguridad en México
Un estudio de IQSEC muestra que más de 80% de los encuestados cree que la ciberseguridad en México es baja; las principales vulnerabilidades percibidas son el ransomware, el phishing y la suplantación de identidad o apropiación de cuentas.
Los retos de ciberseguridad son cada vez más exigentes, pues los ataques son tan variables que hacen que la población y las empresas se vean afectadas por igual.
Para conocer más la percepción que se tiene sobre estos delitos, y en el marco de sus primeros 15 años, IQSEC analizó las ciberamenazas y los riesgos digitales que actualmente vive el país, presentando los resultados de la mano de Manuel Moreno y Sergio Navarro, director de Habilitación de Ventas de Seguridad y director de Arquitectura y Consultoría, respectivamente.
Los directivos explicaron que hace 15 años se dio el primer gran ataque que sirvió como un preludio de lo que venía: en 2007, las páginas del gobierno de Estonia fueron blanco de ataques que consistían en el empleo de botnets (redes de robots informáticos) y en el envío de grandes cantidades de mensajes basura (spam), provocando la saturación de los servidores y ocasionando que los ciudadanos estonios se quedaran sin usar varios servicios, como los cajeros automáticos.
“Hace 15 años se hablaba de cuestiones como las contraseñas débiles, de spyware y de otros temas menos graves, pero no hablábamos de incidentes de fraude financiero de gran impacto por incidentes de infraestructura crítica de alto impacto, ni de sabotajes masivos o de ataques a gobiernos; eso no sucedía y ha cambiado rotundamente. Antes eran prácticamente ataques que se limitaban al ámbito personal, de ciertas comunidades, (pero) hoy en día prácticamente trasciende las fronteras”, menciona Sergio Navarro.
Y estos dichos de Navarro se refuerzan con los números obtenidos en el estudio: 51.1% se dijo prepcupado por un ataque que le robe información personal, sin embargo, unicamente el 20.8% hace algo por protegerla adecudamente; mientras que un 44.7% ve con mayor preocupación el robo de su información financiera, y el 66.3% busca protegerla de manera adecuada.
El estudio de IQSEC muestra que las principales vulnerabilidades son el ransomware, el phishing y la suplantación de identidad o apropiación de cuentas. Para atender estos casos liberaron un “teléfono rojo”, en el cuál atienden a diversas organizaciones para evitar así más daños a por ciberataques; con esto buscan revertir la alta cifra de 82.1% de encuestados que cree que la ciberseguridad en México es baja.
También para apoyar los temas de ciberseguridad, crearon en 2016 el Centro de Operaciones de Seguridad (SOC). Este centro cuenta con sólidos mecanismos y prácticas, IQSEC protege y resguarda los activos de información más importantes de sus clientes.
Preparar al factor humano
Pero no solo es un tema de tecnología, pues Navarro lo ve más como una estrategia integral, que “no solamente implica procesos y tecnología, también requiere de conocimiento”, y aquí es donde brinca una alerta, pues “hay más de 3 millones y medio de plazas no cubiertas a nivel mundial de gente que sepa desarrollar su vida digital; tan sólo en México hay 400 mil vacantes abiertas.”
Y es que, para las empresas, tener una estrategia integral es un “habilitador para que puedan hacer sus negocios sin dolores de cabeza; (es como tener) un seguro de auto, el cual asegura la disponibilidad y asegura que todo va a estar funcionando sin ningún altercado.
Navarro mencionó que también esto es un tema de evangelización, citando la filtración de información de la que fue víctima Banorte, ejemplificó: “siendo un banco que tiene todo el dinero, toda la infraestructura, que tiene soluciones de seguridad y es uno de los bancos más grandes de México, entonces el problema se relaciona más con la evangelización.”
Estos ataques van de la mano con dos vulnerabilidades que IQSEC ha observado: la primera es el abuso de APIs, que permiten acceso no autorizado a información corporativa, generan fraudes financieros y exfiltración de datos, entre otras cosas. La otra es el ataque a las cadenas de suministro, de las que se pueden filtrar datos sensibles, comprometer la infraestructura de TI y provocar disrupciones en los procesos de negocio.
Para poder acabar y castigar estos delitos Sergio Navarro, consideró que la falta de leyes en la materia hace difícil poder crear un entorno ciberseguro en México. “En 2008 se modificó el artículo 112 Bis de la Ley de Instituciones de Crédito, con lo que se estableció sanción a quienes accedan a equipos o medios electrónicos para obtener recursos económicos, entre otras disposiciones. En el Congreso hay 15 iniciativas de ley que buscan regular este tipo de delitos, pero ninguna de ellas está actualmente en discusión.”
Biometricos e inteligencia articial, otro campo de batalla
Para el futuro, de acuerdo con Israel Quiroz, fundador y CEO de IQSEC, “es un hecho que la aparición de nuevas ciberamenazas es un riesgo latente que afecta a cualquier nación. Al ser emergentes, la cantidad de preparación que se requiere para protegerse contra ellas no puede determinarse con demasiada certeza”, pues, de acuerdo con el directivo, se involucran diversos factores como:
- Imitación de comportamientos pasados conocidos de otras amenazas
- Explotación de nuevas formas de ofrecer productos y servicios a través de canales digitales
- Aprovechamiento de nuevas tendencias tecnológicas como el metaverso o los activos digitales (NFTs)
Quiroz menciona que en nuestro país las ciberamenazas a aplicaciones basadas en biometría e inteligencia artificial “tienen mayor probabilidad de materializarse debido al gran auge que está teniendo la contratación remota de productos y servicios financieros.”
Esto traerá desafíos relacionados con la detección de falsificaciones de datos personales para combatir el robo de identidad, “sobre todo porque ya existen investigaciones sobre la generación de rostros parlantes, que van desde ejercer un control detallado de las características faciales, como ojos y dientes, el movimiento de cabeza y expresión de emociones, hasta la generalización de la identidad y el cuerpo”, finalizó el CEO de IQSEC.