Especial ciberseguridad
Colombia es blanco del 30 por ciento de los ataques de ransomware de América Latina. ¿Cómo puede proteger su empresa?
Felipe Antonio Silgado, director de Cyber Security Services de KPMG en Colombia, explica en qué consisten las amenazas más comunes y detalla cómo las compañías, gobiernos y empresas pueden estar más seguros.
La pandemia aceleró el uso de medios electrónicos y la transformación digital de empresas alrededor del mundo. Así mismo, aumentaron los riesgos en temas de seguridad. Felipe Antonio Silgado, director de Cyber Security Services de KPMG en Colombia, explica que la ampliación tecnológica representó todo un cambio de paradigma para las organizaciones, un desafío, inclusive para procesos manuales que parecen tan sencillos y elementales en una empresa como elaborar un formato que luego tenía que ser rubricado a mano. En un principio tocaba imprimirlo, firmarlo, escanearlo, y enviarlo; ahora se puede hacer ciento por ciento digital. “Se empezaron a abrir otras brechas, otros riesgos. Las compañías tuvieron que implementar otra serie de controles a medida que se incrementó la operación remota. La seguridad de la red de las empresas pasó a depender de qué tan seguros son los equipos que están por fuera de esa red”.
Las compañías concentraron esfuerzos en ampliar el perímetro de seguridad que dejó de ser el edificio principal desde donde operan. “No solo los hogares de los empleados, sino el mundo entero pasó a ser ese perímetro, porque ahora es posible trabajar desde cualquier lugar”, precisa Silgado. Como resultado, las compañías hicieron cambios en sus políticas de seguridad, lo que implicó flexibilizar las posibilidades de conectarse a sus sistemas, con diferentes tipos de restricciones dependiendo de cada modelo de negocio. “De hecho, normalmente no era posible conectar el computador personal en la oficina y ahora el computador de la oficina pasó a estar junto al de la casa. Eso ha incrementado los riesgos. Por ejemplo, si el equipo de la casa tiene un virus, puede pasarse al de la oficina si no hay una protección adecuada”, explica Silgado.
Los cambios en materia de ciberseguridad demandaron recursos, en menor o mayor medida, dependiendo del nivel de protección al que cada compañía quería llegar. De hecho, esos costos son proporcionales a los riesgos. Silgado precisa que un esquema de conexión remota para una organización de entre 3 mil y 5 mil empleados puede costar entre 70 mil y 100 mil dólares, entre adquisición e implementación. “En primera instancia, lo importante es contar con un sistema que permita conectarse; luego incorporar controles, como sistemas de autenticación fuertes, de dos factores, más allá del ingreso de usuario y contraseña, además de protecciones adicionales”. Estas decisiones fueron determinantes para empresas tradicionales de sectores como, por ejemplo, el financiero, de energía o de recursos naturales, por mencionar algunos ejemplos, cuyo esquema estaba centrado en operar exclusivamente desde unas oficinas.
Ataques
El ransomware figura como uno de los mayores peligros alrededor del mundo. “El ataque consiste en que secuestran tus datos para que pagues un rescate, de lo contrario no tienes posibilidad de recuperarlos”, explica Silgado. La vulnerabilidad alcanza a gobiernos, sectores como el educativo, financiero y de servicios. En algunos países los afectados tienen la posibilidad de reservarse el derecho de divulgar el ataque, pero en otros, las entidades que son reguladas están obligadas a ser transparentes en ese aspecto y, por lo tanto, deben difundir este tipo de información.
Lo más leído
“Entre lo que se venía incrementado y lo que se disparó en estos dos últimos años, solo el ransomware ha crecido seis veces más de lo que venía reportando antes de la pandemia. Puede venir en el adjunto de un correo o en un link que se descarga en el equipo”, precisa Silgado, quien detalla que estos ataques están generando gastos de hasta 75 billones de dólares al año a nivel mundial. Esta cifra contempla lo que les cuesta a las organizaciones pagar el ransomware o, aunque no lo hagan, estima los recursos que deben destinar para recuperarse, y esto incluye costos para recobrar la imagen de la organización que se vio afectada a nivel de reputación; inclusive para poder retomar la operación o multas por incumplimiento de servicio. La estadística podría incrementarse al cierre de este año “a valores de trillones, es decir, más de 10 veces más de lo que venía costando en 2020″.
Sin embargo, el experto de KPMG aclara que la recomendación generalizada es no pagar, porque con esto se sigue fomentando el delito, aunque manifiesta como comprensible que las empresas “paguen lo que tengan que pagar” para recuperar la operación y es lo que hace que la tendencia de esa cifra sea al alza. Colombia es el foco del 30 por ciento de los ataques de ransomware en América Latina.
Otro ataque muy popular hoy en día es Business Email Compromise (BEC) o compromiso del correo electrónico de negocio que está costando, globalmente, hasta 12 billones de dólares al año. Luego de que logran vulnerar el usuario y contraseña de una persona, desde su servicio de correo se envía información falsa. “Allí existe el fraude del CEO y en su nombre se solicitan transferencias bancarias, por ejemplo, al vicepresidente financiero de una compañía”.
También es recurrente el ataque a las infraestructuras críticas, como aquellas que prestan servicios de acueductos, energía o gas. En Estados Unidos hay casos relevantes como el de una empresa de petróleo, que debido a un ataque dejó de transportar gasolina, diésel y combustible para aviones, y generó impactos en varios estados y una subida en el precio de combustible, y otro ataque dirigido a una empresa de acueductos en La Florida, donde alguien trató de cambiar las composiciones químicas que purifican el agua, con el riesgo de envenenar a la población.
Otra cifra interesante, es que el 70 por ciento de los ataques se siguen gestando al interior de las organizaciones, por los mismos empleados o colaboradores, o los terceros que trabajan para la organización. “Muchas veces no es intencional. Los empleados no necesariamente están sensibilizados con el tema de ciberseguridad y pueden, por desconocimiento, hacer parte de este tipo de incidentes”.
Medidas de protección
Hay controles básicos que toda empresa, sin importar su tamaño, debería tener como protecciones básicas de red o de conectividad. Sin embargo, existen unos pasos en los que todos deben avanzar como el Zero Trust o redes de confianza cero. Este consiste en hacer el máximo posible para que cuando alguien se vaya a conectar a un sistema esté lo suficientemente cercado para que no se pueda desviar. “Esto quiere decir, por ejemplo, que si se va a conectar al sistema 1, no haya posibilidad de conectarse al sistema 2 si no lo requiere”, explica Silgado. En lo respectivo a la seguridad en la nube, se sugiere adoptar e implementar algún framework de protección, asegurando los aspectos de acceso a los servicios, seguridad en el flujo de información, prevención de fuga de datos, gestión de las identidades, autenticación multi-factor, monitoreo, data y analítica de eventos de seguridad.
Otras medidas recomendadas son: tener un servicio gestionado de detección y respuesta antes ataques (Managed Detection and Response), y un plan detallado de respuesta ante posibles ataques (Disaster Recovery Plan). De hecho, la firma KPMG acaba de presentar una solución, recién patentada, para poder identificar en el menor tiempo qué está pasando cuando se está teniendo alguna amenaza (KPMG Digital Responder).