Ciberseguridad, el desafío de la preservación de datos

La avanzada tecnológica, la accesibilidad, la globalización de la información e incluso el Internet de las Cosas (IoT) parecen facilitar la ruptura de las barreras que resguardan informaciones y datos en los entornos digitales.

La ciberseguridad comprende básicamente a todos los mecanismos y procesos de protección de información a través del tratamiento de elementos que suponen una amenaza para la información almacenada y procesada por sistemas interconectados.

Se trata de una realidad que sigue siendo una cuestión de análisis para expertos y usuarios comunes de las diferentes plataformas de servicios en estos entornos.

Farah Urrutia, secretaria de Seguridad Multidimensional de la Organización de Estados Americanos (OEA), destacó durante una entrevista con La Estrella de Panamá que las micro, pequeñas y medianas empresas (mipymes) suelen ser los objetivos favoritos de los cibercriminales, debido a que no cuentan con los recursos suficientes para tener una estructura de ciberdefensa avanzada.

Ante esta realidad, ‘hemos hecho un ‘libro blanco' para mipymes sobre la materia, para ofrecerles guías y líneas de acción que permitan contrarrestar las amenazas', informó.

La también abogada remarcó que los diferentes ataques cibernéticos han ido evolucionando, hasta la penetración de las infraestructuras críticas, ‘esto es lo que más daño puede causar, porque buscan la generación de efectos en masa'.

‘Vulnerar plantas potabilizadoras, hospitales y centros de energía, por ejemplo, son hechos que causan daños mayores y es lo que nos lleva a trabajar para mantener el ciberespeacio seguro y evitar que la delincuencia pueda aprovecharse de brechas para ocasionar daños', afirma.

Urrutia, quien desde la Secretaría de Seguridad Multidimensional de la OEA trabaja en la evaluación, prevención, enfrentamiento y respuesta efectiva a las amenazas a la seguridad, afirmó que hoy día se requiere la profesionalización de las mujeres con el objetivo de cerrar la brecha en materia de género para que se interesen en la ciberseguridad como profesión. ‘Necesitamos que las mujeres integren este grupo de profesionales y entiendan que la ciberseguridad es una profesión de gran relevancia mundial'.

VISTAZO GLOBAL

Explicó que en esta materia, ‘Panamá ha trabajado con la OEA por más de una década para fortalecer sus capacidades de seguridad informática; desde nuestra instancia apoyamos al Istmo en el diseño de su estrategia nacional de ciberseguridad y en el establecimiento de su Centro de Respuesta ante Incidentes Cibernéticos; este es un tema que evoluciona y el trabajo es sostenido, continuo y creciente'.

‘Está demostrado que si la intención política es trabajar en materias de ciberseguridad, es posible tener un mayor control del ciberespacio', añadió.

Durante su participación en el ‘Cyberwomen Challenge', cita que la ubicó recientemente en el Istmo, indicó que ‘América Latina y el Caribe han presentado una de las tasas más rápidas de crecimiento de Internet desde el comienzo del siglo, con un aumento de más de dos mil por ciento en el número de usuarios de Internet entre los años 2000 y 2018'.

Y ‘si bien este profundo proceso de digitalización ha traído numerosas oportunidades a ciudadanos, empresas y gobiernos en la región, también ha venido acompañado de nuevos riesgos y amenazas cibernéticas cada vez más sofisticadas, que nos exigen actualizar las políticas públicas para disfrutar un Internet abierto y seguro para todos', argumentó.

Urrutia manifestó que ‘la seguridad cibernética es una prioridad en la agenda de todos los países. Nuestros ciudadanos, empresas y gobiernos se enfrentan o amenazas cada vez más sofisticadas que generan un vacío entre nuestra capacidad de respuesta y el riesgo al que nos enfrentamos'.

Según la experta de la OEA, reducir las brechas y dar visibilidad a la temática es fundamental.

CUESTIONES COMUNES

Por otra parte, Jorge Lara, ingeniero experto en Seguridad Informática, expuso que en materia de ciberseguridad, ‘Panamá está empezando a despertar, pero aún falta mucho por caminar'.

‘La seguridad informática muchas veces es vista como un gasto y no como una inversión. Algunas empresas no ven la necesidad de invertir en seguridad informática hasta cuando ocurre un incidente'.

Agregó que la seguridad informática ‘debe ser preventiva y no reactiva. Los costos asociados a recuperarse de un incidente de seguridad informática son mucho mayores a la inversión que se debe realizar para prevenirlos'.

Sobre los riesgos, manifestó que las personas naturales están expuestas principalmente a fraude, robo de identidad y ataques de malware , principalmente de tipo ransomware. Además, los fraudes y robos de identidad normalmente se dan a través de ataques de tipo phishing .

Expertos pronostican dificultades en materia de ciberseguridad

Una reciente publicación de Forbes destaca que las jugadas de los ciberatacantes serán más avanzadas durante este 2019.

Según el artículo, el vicepresidente de Ciberseguridad de la compañía Trend Micro, Greg Young, señaló que ‘a medida que vamos entrando en el año 2019, las organizaciones deben comprender las implicaciones de seguridad de una mayor adopción de la nube, la convergencia de TI y OT, y el aumento del trabajo remoto'.

Agregó que ‘los cibercriminales continuarán con una fórmula ganadora: explotar las fallas existentes, la ingeniería social y las credenciales robadas para generar ganancias'.

Por otra parte, el texto señala que el ‘SIM swapping y el SIM-jacking' serán una amenaza creciente para aprovecharse de los empleados remotos y los usuarios cotidianos', un asunto que permite a los delincuentes ‘secuestrar un teléfono celular sin el conocimiento del propietario, lo que dificulta a los usuarios recuperar el control de sus dispositivos'.

Además, los hogares inteligentes serán un objetivo cada vez más atractivo para los ataques que aprovechan los routers domésticos y los dispositivos conectados, advirtió la empresa de ciberseguridad.

De acuerdo con Trend Micro, los atacantes utilizarán estos métodos contra la creciente adopción de la nube, en donde encontrarán un mayor número de vulnerabilidades en este tipo de infraestructura.

Señaló que en cuanto a las empresas, ‘se suman factores de riesgo como amenazas internas (colaboradores) y amenazas externas ( hackers malintencionados) que buscan tener acceso a datos confidenciales sin los debidos permisos para beneficio propio, exponerlos o extorsionar'.

De acuerdo con el experto, ‘es común que las compañías cuenten con aplicaciones web (en la nube), lo que las convierte en un objetivo atractivo para los hackers ya que son una puerta de acceso a datos a la que es fácil llegar y sin los debidos controles de seguridad, fácil de vulnerar'.

La realidad es que, con el incremento en el uso de dispositivos inteligentes además del IoT, se ha visto un creciente número de ataques a los equipos, ‘que van desde cámaras de seguridad hasta controles de iluminación y de acceso físico a locales, departamentos y oficinas'.

Un asunto que muestra una serie de factores de riesgo que deben contemplarse en la estrategia de seguridad informática de la organización.

EL ‘HACKER'

Para el también ingeniero en Sistemas de Información, el hacker es un delincuente cibernético, distinto a los estereotipos y paradigmas sociales y distante de lo que nos presentan las series de televisión o películas. Esta figura ‘puede ser cualquier persona que, de forma intencional o incluso accidental, obtiene un acceso no autorizado a datos, información y/o equipos informáticos a los que no debería tener acceso bajo circunstancias regulares'.

‘El uso legítimo del término describe a una persona con mucho conocimiento de informática, y capaz de realizar tareas poco convencionales. El término empezó a utilizarse para referirse a delincuentes cuando personas con estos conocimientos comenzaron a utilizarlos para acceder de forma no autorizada (o ilegal) a sistemas de cómputo', enfatizó.

Explicó que en la actualidad, han nacido términos para diferenciar a los tipos de hackers como ‘hackers de sombrero negro' (delincuentes) y ‘hackers de sombrero blanco' (consultores de seguridad informática que utilizan sus conocimientos para ayudar a las empresas a encontrar fallas de seguridad y atenderlas).

LA PRESA

En este contexto de jugadas cibernéticas, vale la pena preguntarse ¿quiénes suelen ser una presa fácil? Para Lara, los usuarios desprevenidos y descuidados son blanco fácil.

‘El canal de entrada más sencillo para un hacker es lograr que un usuario haga exactamente lo que él desea', aclaró. ‘La seguridad informática personal es básica para el uso doméstico de nuestros equipos y también para asegurar la seguridad en las empresas', citó.

El error más común que cometen los usuarios, y que puede significar ‘jaque mate' para sus datos o los datos de la empresa en la que labora es, sin duda, la falta de cuidado al momento de hacer ‘clic' en algún correo electrónico, archivo o enlace en la web. Este descuido puede llevar de forma subsecuente a otros componentes que terminan de complementar la labor de un hacker malintencionado y ayudarlo a lograr sus objetivos.

Tan solo un mal ‘clic' basta para infectar un equipo con algún tipo de malware , abrir un enlace que descargue algún programa o archivo sin conocimiento del usuario, o incluso darle control total a un tercero sobre el equipo actualmente en uso. En cualquiera de los casos arriba mencionados, las consecuencias son potencialmente devastadoras'.

MÁS QUE UN ‘PASSWORD'

Este jueves 2 de mayo se celebra internacionalmente el Día de la Contraseña, una iniciativa que buscar recordar su importancia en el manejo seguro de datos.

‘Panamá ha trabajado con la OEA por más de una década para fortalecer sus capacidades de seguridad informática',

FARAH URRUTIA

SECRETARIA DE SEGURIDAD MULTIDIMENSIONAL DE LA OEA

Si bien la contraseña es el recurso de seguridad básico de cualquier usuario, ¿con qué características debe contar para que sea un elemento de blindaje a nuestra información? Lara formula que entre más extensa sea, mucho mejor; debe combinar el uso de letras mayúsculas, minúsculas, números, símbolos y caracteres especiales, no se deben emplear palabras simples, jamás deben usarse datos fácilmente identificables, como fechas de cumpleaños o aniversarios, nombres de familiares o mascotas.

Además, ‘hoy día, las mejores contraseñas, más que palabras, utilizan frases complejas pero fáciles de recordar y por más segura que sea, si está escrita en un papelito y pegada al monitor de su computadora, pierde todo propósito', acota.

PREVENIR, NO LAMENTAR

Aunque no existe una solución definitiva para evitar los ciberataques, ‘la prevención de incidentes se da con una combinación de esfuerzos entre las personas y la tecnología'.

El ingeniero destaca educación y capacitación del personal en las empresas; inversión en tecnología de seguridad de datos (tanto hardware como software ), monitoreo constante, asesoría externa periódica que le brinde a la empresa un panorama real de su situación de seguridad informática y niveles de exposición y vulnerabilidad ante amenazas internas y externas.

‘La seguridad informática no es tarea de una sola vez, debe ser un proceso recurrente y en constante evolución, acorde a los cambios en el entorno',

JORGE LARA

EXPERTO EN SEGURIDAD INFORMÁTICA

En cuanto a la ciberseguridad personal, menciona que es preciso ‘tener cautela con los sitios web que visitamos y los datos que ingresamos en los mismos; ser cautelosos en el manejo de correos electrónicos, incluso si parecen provenir de contactos conocidos; mantener software antivirus actualizados; la mayoría de las cuentas en línea permiten activar doble factor de autenticación; es recomendable activarlo y utilizarlo siempre que sea posible; utilizar contraseñas seguras y/o gestores de contraseñas; realizar respaldos frecuentes de los datos importantes; utilizar de forma segura nuestros dispositivos móviles'.

Hay que recordar, además, que ‘la seguridad informática no es tarea de una sola vez, debe ser un proceso recurrente y en constante evolución, acorde a los cambios en el entorno' y estos tiempos de tecnología disruptiva, lo ameritan hoy más que nunca.