La ciberseguridad es un problema grave y creciente en Uruguay, con ataques cada vez más frecuentes debido, entre otros factores, al avance de la digitalización. Santiago Ingold, experto y fundador de BlackPitbull –consultora especializada en la defensa de las empresas frente a amenazas digitales–, conversó con La Mañana acerca de los errores más comunes de los usuarios en el ámbito virtual y brindó recomendaciones para evitar caer en las trampas de los cibercriminales.
¿Qué tan grave es hoy el problema de la ciberseguridad en Uruguay?
Con base en la cantidad y gravedad de los incidentes ocurridos últimamente, nadie puede pensar que el problema de la ciberseguridad no es grave. Los ataques tienen impactos cada vez mayores y ocurren más frecuentemente, así que es un problema en crecimiento en Uruguay, pero también en el mundo.
En el sector privado ya no es solamente un problema tecnológico, sino que es un problema de negocio y las empresas que no lo ven así, lamentablemente, están más expuestas a los riesgos reales de sufrir un incidente. Por otro lado, en el sector público la ciberseguridad tampoco es solamente un tema tecnológico y tiene que ver con cómo los incidentes de seguridad a nivel estatal pueden afectar los derechos ciudadanos y, en casos de ataques externos a infraestructuras críticas, la soberanía digital del país.
Afortunadamente, Uruguay cuenta con instituciones como CERTuy y Agesic que hacen un buen trabajo, pero creo que no han tenido el apoyo necesario para adaptarse a esta nueva realidad de mayores riesgos y el ecosistema en general necesita más articulación entre el Estado, las empresas y la academia.
¿Qué factores explican el aumento sostenido de los ataques y estafas digitales de los últimos años?
Hay varios factores, pero el principal es el crecimiento exponencial de la digitalización en todos los aspectos de nuestras vidas. Cada vez más hacemos online cosas que antes hacíamos presencialmente o por teléfono: trámites, reservas, consultas, compras, reuniones y un largo etcétera. Obviamente que la digitalización es algo que trae muchos beneficios que son incuestionables, pero en contrapartida trae otros riesgos que, aunque no sean necesariamente mayores, son diferentes y muchas veces no estamos acostumbrados a pensar en ellos. Antes la gente iba al banco a depositar o retirar una cantidad importante de dinero y tenía ciertas precauciones al momento de entrar o salir y de trasladarse. Hoy en día debemos tener precauciones para proteger nuestros dispositivos y contraseñas con los que accedemos al home banking. Pero como lo hago desde mi casa, puedo sentirme más seguro y no ser tan consciente del riesgo al que estoy expuesto.
Pero también hay otros factores: los ciberdelitos ya no son obra de individuos aislados, existen redes criminales que operan profesionalmente, con estructuras organizacionales bien definidas y con fines económicos claros.
También hay un avance muy grande a nivel de herramientas que los profesionales en ciberseguridad utilizamos para mejorar la seguridad de las organizaciones, pero que los delincuentes pueden utilizar para sus fines, incluso sin tener demasiados conocimientos.
Por último, es importante tener en cuenta que, como se trata de organizaciones con fines económicos, eligen sus objetivos pensando en ecuaciones de costo-beneficio. Esto hace que, cuando regiones más llamativas económicamente como Estados Unidos o Europa mejoran sus capacidades de protección, regiones como América Latina empiezan a ser más llamativas porque, aunque sea menos rentable, la falta de protecciones implica menos esfuerzo para los atacantes. Esto explica la aparición en el último tiempo y cada vez más frecuente de grupos de cibercrimen internacional operando en Uruguay.
¿Cuáles son los errores más comunes que cometen los usuarios por los cuales pueden terminar siendo víctimas de ciberdelitos?
Algunos de los errores más comunes son: reutilizar la misma contraseña en múltiples servicios, lo que hace que, si roban tu contraseña en un servicio vulnerado, puedan acceder a otras de tus cuentas con la misma contraseña. Además, no activar la autenticación de dos factores, lo que sirve para que incluso si nos roban la contraseña no puedan acceder a nuestras cuentas –el ejemplo más común es el código que piden los bancos para hacer transferencias, pero se puede aplicar al login de cuentas de correo o redes sociales de la misma forma–. Otro error es no mantener los dispositivos, sistemas operativos y las aplicaciones actualizadas. También, confiar en correos, mensajes o llamadas que aparentan ser de entidades legítimas sin verificar su autenticidad, el famoso “cuento del tío” versión digital.
¿Qué recomendaciones les daría a las personas para mejorar la seguridad en sus dispositivos?
Desconfiar de lo urgente y lo gratuito, o más en general, desconfiar de cualquier cosa que parezca demasiado buena para ser verdad. La mayoría de los fraudes apelan a sentimientos como el miedo y la urgencia para reducir nuestra capacidad de razonamiento. En caso de que aún tengas dudas de si esa llamada realmente es de tal banco u organismo, lo mejor que podés hacer es llamar directamente a los números oficiales y confirmarlo.
Actualizar todo regularmente, tanto el sistema operativo como las aplicaciones. Esto no requiere demasiado esfuerzo y protege nuestros dispositivos de una gran cantidad de ataques.
Usar contraseñas únicas y seguras, preferiblemente gestionadas con un administrador de contraseñas, que es una aplicación segura donde guardar las contraseñas de nuestras cuentas. Esto nos permite tener contraseñas diferentes y complejas para todas nuestras cuentas.
Activar el doble factor de autenticación en todas las cuentas que lo permitan.
Por último y pensando que siempre pueden pasar cosas, hacer copias de seguridad periódicas de la información importante. Qué es información importante depende de cada uno, puede ser respaldos de documentación, recibos de pagos online o fotos de esas vacaciones inolvidables con tu familia. Si no te gustaría perderlo, vale la pena hacer una copia de seguridad en un disco externo.
A nivel de las empresas, ¿qué tipos de ataques son los más frecuentes actualmente y qué consecuencias pueden tener en la continuidad del negocio?
El ransomware, que es el cifrado de archivos pidiendo un rescate para liberarlos, tiene mucha prensa, pero en muchos casos es solamente la última etapa del ataque. Ya entraron, revisaron todo lo que querían, estuvieron varios meses dando vueltas por tu empresa y para que te des cuenta y exigirte dinero ejecutan el ransomware. Además, este ha evolucionado a lo que llaman múltiple extorsión: no solamente te piden el rescate para devolverte el acceso a tus datos, sino también para no publicarlos, y en algunos casos para no atacar a tus clientes.
Así como está el phishing a nivel personal, es decir, correos que intentan engañar al usuario para robarle las credenciales, también es cosa de todos los días para las cuentas corporativas. En estos casos, las consecuencias pueden ser incluso más graves según los accesos que tenga la persona de la empresa que fue víctima del ataque.
Algo que viene creciendo en los últimos años son los ataques a la cadena de suministro, es decir, no atacan directamente a tu empresa, sino que atacan a algún proveedor tuyo y a partir del acceso al proveedor te atacan a vos. Esto hace que la seguridad de una empresa ahora no dependa solamente de lo que hace la empresa, sino también de lo que hacen sus proveedores.
Las consecuencias de todos estos ataques pueden ir desde la interrupción de servicios hasta pérdidas millonarias, sanciones regulatorias o pérdida de confianza de clientes. En general, lo que les duele más a las personas que están al mando de las empresas es el daño reputacional, pero existen muchos casos de empresas de todos los tamaños que tuvieron que cerrar como consecuencia de un ciberataque. Así que al final la continuidad de la empresa puede depender de un ciberataque.
¿El Estado debería reforzar sus sistemas de ciberseguridad luego de los ataques que ha sufrido?
Lo que nos demuestran los ataques recientes es que el Estado tiene que poner la ciberseguridad como prioridad, no hay otra opción. Para eso se deberían generar las estructuras necesarias que permitan una implementación efectiva. Así como en su momento fue necesaria la creación de Agesic para impulsar la digitalización en el país, hoy no alcanza con que la ciberseguridad sea parte de un organismo, se necesita un organismo independiente y con capacidad de acción, que debería funcionar como punto central de la comunicación y colaboración entre el sector público, el sector privado y la academia.
