La empresa uruguaya Isbel, del grupo Quantik, realizó el foro de ciberseguridad “Estado de alerta: cómo proteger organizaciones en un mundo hiperconectado”, donde expertos plantearon los desafíos que implica el avance de los ciberdelitos tanto a nivel corporativo como personal. Una de las panelistas, la ingeniera telemática María Jesús Cresci, dialogó con La Mañana al respecto y destacó el uso de inteligencia artificial por parte de delincuentes para ataques más sofisticados.
En Uruguay ocurre un ciberataque cada 30 minutos, de acuerdo con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Certuy). ¿Cuál es el análisis que hace de esta situación?
Este no es un dato aislado, sino que es parte del cibercrimen, que es una amenaza creciente año a año. De hecho, a nivel del negocio –porque es un negocio en cuanto al volumen– ya supera a algunas actividades ilícitas como el narcotráfico. Los ciberdelincuentes están utilizando la inteligencia artificial como herramienta para potenciar esos ataques, para la creación de perfiles falsos, ataques de phishing, simulaciones de voces y de imágenes, fraudes más sofisticados. Entonces, como mencionaron en el evento, el cibercrimen está creciendo y lo estamos viviendo en muchos aspectos, no solo en ataques a gobiernos, a empresas, sino también a personas.
¿Falta conciencia en la sociedad de los riesgos que existen actualmente en el tema de la ciberseguridad?
Sí, falta mucha conciencia de los ciudadanos y también a nivel empresarial. Tenemos que ser conscientes de que somos el eslabón más débil de la cadena, porque muchas veces podemos tener la mejor tecnología, pero si hacemos clic en un enlace malicioso o usamos una contraseña débil y es vulnerada, podemos dejar expuesta toda la organización a un ciberdelincuente. Más allá de capacitaciones que se hagan en las empresas, también tiene que ser algo continuo que se debe acompañar con planes, simulacros, talleres, comunicaciones.
¿Cuáles son concretamente los riesgos que enfrentan las empresas uruguayas si no toman en serio la ciberseguridad?
Los riesgos son exponer los activos críticos de cada compañía, información sensible de la empresa, de los empleados, datos financieros, además de todo lo económico que está detrás de esto, porque los ataques apuntan a algo, a robar o a tocar alguno de esos puntos sensibles que mencionaba. Es un negocio, entonces lo que más atrae a los delincuentes en este caso es el dinero y lo hacen a través del robo de algún tipo de datos.
En ese sentido, ¿qué recomendaciones les daría a las empresas, pero también a las personas, de cómo tendrían que cuidar sus datos en internet para no sufrir este tipo de ataques?
Lo primero siempre es estar atentos porque en cualquier momento nos puede llegar un ataque de este tipo, tomarnos el tiempo para justamente leer bien lo que nos está llegando, porque a veces en el apuro del día a día hacemos clic en un enlace malicioso sin darnos cuenta. También, robustecer las contraseñas, siempre utilizar un doble factor de autenticación, para lo cual ya hay muchas herramientas que lo permiten. Después, a nivel empresarial se recomienda el uso de guías de buenas prácticas, hay algunos marcos internacionales que está siguiendo Latinoamérica y también Uruguay tiene su propio marco de ciberseguridad. Los tres pilares de la ciberseguridad son la tecnología, los procesos y las personas, y tenemos que estar con todo eso al día.
Mencionaba cómo ha influido la inteligencia artificial en esto. ¿Cómo ha visto la evolución que han tenido los ciberataques en los últimos años?
Cuando surgieron los primeros ataques eran mucho más manuales, se necesitaban muchas más herramientas y mucho más conocimiento técnico para poder llevar adelante un ciberataque, y hoy en día con el uso de la inteligencia artificial, que es como tener un asistente, podemos llegar a potenciar todo lo bueno y lo malo, entonces, nos da muchas más herramientas y con poco conocimiento se pueden llegar a obtener los mismos resultados que antes se lograban solo con un experto. Algo importante es la velocidad con la que se desarrollan los ataques, con la inteligencia artificial podemos hacer determinadas actividades de forma inmediata o con mucho menos tiempo. Y no solo eso, sino que también podemos replicarlo, no necesitamos hacerlo únicamente en un punto, sino que se pueden lanzar de forma masiva. Por tanto, potencia todo, la velocidad, la capacidad y el área de cobertura de los ataques. Además, hoy ya no son solo hackers solitarios como los que veíamos en las películas, sino que son organizaciones estructuradas que ofrecen ataques como un servicio. Y una novedad son los deepfakes de voz y de video, es decir, los delincuentes pueden replicar la voz o la imagen de un CEO para autorizar una transferencia, por ejemplo, y esto es gravísimo.
Considerando que, como decía, la inteligencia artificial funciona en este caso como un asistente, ¿también se podría utilizar al revés, es decir, para poder prevenir este tipo de ataques o diseñar una mejor defensa?
Sí, sin dudas. La defensa tiene que ser más una arquitectura de defensa que algo puntual como una barrera, o sea, es un diseño que se hace en capas y se puede armar utilizando inteligencia artificial para reconocer determinados patrones, por ejemplo, de tráfico que sea malicioso, enlaces maliciosos. Así como se puede utilizar en el ataque, también se puede utilizar en la defensa. Ya hay herramientas a nivel empresarial que se están desarrollando y expandiendo con el uso de la inteligencia artificial para detectar y cortar un ataque lo más rápido posible, incluso antes de que llegue al usuario.
En el evento, usted hizo énfasis en la importancia de pensar la arquitectura de defensa como una hoja de ruta. ¿En qué consiste esto?
Básicamente, es una combinación de tecnología, procesos y educación de las personas. Y a nivel de la hoja de ruta, tenemos que analizar la situación actual de las empresas y armar planes a corto, mediano y largo plazo para tener una defensa 360º, porque la realidad es que no nos podemos proteger con una única solución a nivel tecnológico, sino que se necesita una arquitectura que tenga una planificación, cimientos y la construcción de ese pilar.
¿Por qué todavía muchas empresas no tienen este sistema? ¿Es por un tema económico?
Hay una falta de conciencia, por lo menos en Latinoamérica, y muchas veces se ve la ciberseguridad como un gasto, y hasta que las empresas no sufren un incidente, no valoran realmente lo que es tener una plataforma de ciberseguridad o una arquitectura diseñada estratégicamente para tener esa defensa total. Quizás también evolucionó muy rápido el ciberataque en Uruguay y las empresas no habían hecho aún las inversiones adecuadas para poder enfrentar eso.
¿Cuál es la importancia de la inversión de las empresas en ciberseguridad?
Invertir en ciberseguridad va a permitir identificar todos los puntos débiles y prepararse de forma continua para los siguientes ataques, es decir, va a permitir hacer una gestión de riesgo de forma continua, asumiendo que los incidentes van a ocurrir. Las empresas tienen que asumir que van a tener un incidente de ciberseguridad, entonces tienen que prepararse para minimizar el impacto y cuidar esos activos críticos que mencionaba.
Una empresa que decide invertir en esto, ¿necesita el involucramiento de todos sus funcionarios, independientemente de en qué área se encuentren?
Sí. Todos los empleados de cada una de las empresas tienen que estar al tanto de todo lo relacionado a las amenazas de ciberseguridad, porque todas las áreas, tecnología, administración, finanzas, marketing, son un punto de exposición al mundo. Un correo malicioso con un phishing le puede llegar a cualquiera de ellos, entonces es importante concientizar a nivel global sobre los riesgos a los que se exponen como empleados.
