Si algo nos enseñó el ataque del grupo internacional de hackers Maze a una entidad financiera costarricense, es que Costa Rica puede estar en la mira de los cibercriminales. En los últimos dos años hemos presenciado noticias de ataques a sectores claves para la economía como el sector público, academia y banca que evidencian que el país tiene enormes retos en ciberseguridad.
El Estudio Global de Ciberseguridad 2018 de la Unión Internacional de Telecomunicaciones (UIT), colocó a Costa Rica en la posición 115 del ranking global y en el lugar 18 del continente americano en compromiso con la ciberseguridad. Una posición bastante baja.
Aunque el informe nos coloca en la categoría de países que ya han iniciado esfuerzos en esta materia, existe todavía mucho camino por recorrer, sobre todo en términos de concientización. En nuestra nación, muchas empresas asumen estar listos para detener cualquier tipo de ataque a su red, sin realmente estarlo. Esto es claro en casos donde estos ataques de alto perfil están llegando al corazón de los centros de datos y dejan al descubierto la falta de mecanismos para prevenir y defender.
Las vulnerabilidades son muchas, desde software y licencias desactualizadas que no cuentan con parches de seguridad y representan un altísimo riesgo de hackeo, hasta falta de políticas de seguridad y equipo especializado que pueda hacer frente a las nuevas tácticas de los cibercriminales.
En el caso del Ministerio de Hacienda, por ejemplo, la Contraloría General de la República reportó que no se ejecutaban las actualizaciones de los servidores desde hace seis años y que en una muestra fueron detectados 2.160 agujeros de seguridad.
La situación se agrava en medio de la pandemia global, donde han salido a relucir estrategias de phishing basadas en el incrementos de las búsquedas web que contengan información del Covid-19, como falsificación de dominios y phishing disfrazado de campañas de información. Todas representan tácticas que se aprovechan del incauto y cuyos objetivos principales son extraer y encriptar información sensible para la institución con el fin de extorsionar a la víctima con solicitud de dinero a cambio de los datos.
El otro objetivo común es obtener los credenciales bancarias de los clientes para que, en conjunto con otros métodos, los criminales puedan acceder a cuentas bancarias.
Investigar huellas en casos de ciberataque es muy difícil porque no hay evidencia física. Un atacante experimentado deshabilita o borra cualquier mecanismo o archivo en equipos de red que sea capaz de guardar logs o auditoría.
Así, los atacantes son capaces de no solo infiltrar nuestra red, sino permanecer dentro de ella por días, semanas e incluso meses.
El impacto de los ataques
El costo de estos ciberataques tiende a ser muy elevado. El Reporte Anual de Cibercriminalidad de 2019, realizado por Hervajec Group, firma consultora y proveedora de servicios administrados, predijo que los daños del cibercrimen podrían generar un costo de US$3 billones en 2021.
Además del valor económico, los riesgos en la reputación de la compañía pueden ser todavía más graves. Según Jessica Soto, comunicadora social especializada en imagen y reputación corporativa, la reputación se construye a lo largo del tiempo en la relación que se crea entre consumidor y empresa. Su base es la confianza y un ciberataque lesiona este componente vital de la relación.
Este tipo de delincuencia podría impactar a más de 5 pilares de la reputación, según sea el manejo que la empresa realice (la oferta, la transparencia, las finanzas, el empleo, la innovación, el liderazgo).
“Los ciberdelincuentes analizan contextos y entornos y se aprovechan de ellos para generar sus estrategias. La pieza más vulnerable siempre será la persona ya que, aunque hay ataques que afectan la integridad financiera de las empresas, es mediante las personas que obtienen la información sensible que no está en el ambiente digital”, comenta la experta.
Desde la gestión de Vinet, hemos detectado que en el país hay conciencia del riesgo que estos ciberataques pueden significar, pero muchas veces solo se queda en preocupación. Ahora, esto ocurre en un contexto donde no existen los recursos adecuados – profesionales capacitados, herramientas actualizadas, entre otros- en el área de seguridad.
La poca disponibilidad de profesionales se suma al reto de comunicar el riesgo técnico fuera del departamento de tecnología.
¿Qué hacer?
Podemos prever que en el futuro cercano los métodos de hackeo y la variedad de técnicas solo seguirán creciendo en número y complejidad. En esta batalla constante, las empresas tendrán que preparar sus armas.
Generar un plan o arquitectura de seguridad es un trabajo que va más allá de la responsabilidad de un departamento, es decir, debe trabajarse en crear mayor conocimiento de nuestro ambiente de red y entender cada una de las partes que componen mi infraestructura de negocio, analizando todas las unidades para poder canalizar posibles puntos vulnerables.
Si tenemos muy claro el contexto de nuestra red vamos a entender que solución requerimos y no se perderá tiempo ni recursos en inversiones innecesarias.
La recomendación es buscar asesoría de los expertos en el área para que en conjunto puedan examinar las diferentes soluciones o arquitecturas que beneficiarán la seguridad y continuidad del funcionamiento de la red con todos los elementos que eso implica.