María Rodríguez (ALN).- El fuerte desarrollo de los negocios digitales en la región aumenta la exposición a los ciberriesgos. Las pérdidas ya suponen el 15% del cibercrimen mundial. Mientras, las medidas de prevención y toma de conciencia continúan siendo limitadas.
Los hackers se frotan las manos con el panorama de la seguridad cibernética en Latinoamérica. La región es altamente vulnerable a ciberataques, definidos como potencialmente devastadores. Así lo constata el informe Ciberseguridad 2016: ¿estamos preparados en América Latina y el Caribe?, elaborado conjuntamente por el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA). Su coordinador, Miguel A. Porrúa, especialista líder de gobierno electrónico en el BID, se muestra firme ante esta cuestión. ¿Está la región preparada? “La respuesta es categóricamente no. Y no es una valoración subjetiva”.
El presidente del BID, Luis Alberto Moreno, reconoce en el informe que hay mucho en juego. “El cibercrimen le cuesta al mundo hasta 575.000 millones de dólares al año (aproximadamente 538.500 millones de euros), lo que representa el 0,5% del PIB global. Esto es casi cuatro veces más que el cómputo anual de las donaciones para el desarrollo internacional”. Pero aún hay más. “En América Latina y el Caribe, este tipo de delitos nos cuestan alrededor de 90.000 millones de dólares al año (84.200 millones de euros) [el 15% en el cómputo mundial]. Con esos recursos podríamos cuadruplicar el número de investigadores científicos en nuestra región”, insiste Moreno.
Brasil y México son los países más expuestos a los ataques cibernéticos de toda Latinoamérica
El informe de Ciberseguridad 2016 se basa en una metodología desarrollada por el centro de seguridad cibernética de la Universidad de Oxford, adaptada a América Latina y el Caribe. En él se analiza el estado de 32 países a través de 49 indicadores, agrupados a su vez en cinco áreas: política y estrategia, cultura y sociedad, educación, marco legal y tecnología. Este informe es la primera radiografía en profundidad del nivel de preparación de América Latina y el Caribe ante la creciente amenaza del cibercrimen. Y vistos los datos, “en general, la región está muy poco preparada en cualquiera de las cinco dimensiones que se analizan”, reconoce Porrúa.
Entre los datos más relevantes del estudio hay varios reseñables: que cuatro de cada cinco países de la región no tienen estrategias de ciberseguridad o que dos de cada tres no cuenten con un centro de control de seguridad cibernética. Además, la gran mayoría de los Estados carece de capacidad para perseguir los delitos cibernéticos.
A mayor negocio digital, mayor exposición
América Latina es el cuarto mercado más grande en el uso de teléfonos móviles. La mitad de su población utiliza internet y en los últimos años el uso de este ha crecido más rápido aquí que en ninguna otra región. Esta situación también ha hecho que crezca el cibercrimen de forma significativa, tal y como apunta Carolina Daantje, directora de ciberriesgos del broker asegurador Willis Towers Watson.
La experta señala que Brasil y México son los países más expuestos a ciberataques de toda la región. Coinciden además en ser los que más han crecido en negocio digital y los que tienen un nivel de preparación ante ciberataques intermedio, según el Informe de Ciberseguridad 2016. En ese peldaño también estarían países como Uruguay, Argentina, Chile y Colombia, aunque lejos de las cotas alcanzadas en otros estudios con los mismos indicadores por economías como Estados Unidos, Israel o Estonia.
Ante este panorama de brechas de seguridad, tanto empresas como particulares se enfrentan a numerosos riesgos, pero “sobre todo al fraude informático en instituciones financieras, banca online y malwares (programas maliciosos) en teléfonos móviles”, subraya Daantje.
El informe La evolución de la gestión de ciberriesgos y seguridad de la información, elaborado por la consultora Deloitte, pone sobre la mesa los problemas existentes con la gestión de los ciberriesgos y la seguridad de la información en las empresas de América Latina. Incluyen datos llamativos, como que cuatro de cada diez organizaciones de la región sufrieron una brecha de seguridad en los últimos 24 meses. Además, menos del 20% de las organizaciones latinoamericanas cuentan con un centro de operaciones de seguridad, es decir, una central informática que prevenga, monitoree y controle sus redes. Incluso menos del 10% de las empresas disponen de indicadores específicos que les permitan evaluar la gestión de ciberriesgos y de seguridad de la información.
Las pérdidas en brechas de seguridad en América Latina y el Caribe ya suponen el 15% del cibercrimen mundial
En la encuesta llevada a cabo por la consultora, los ejecutivos responsables de administrar la seguridad de la información consideran que aún no cuentan con recursos suficientes para hacer frente a estas amenazas y son conscientes de que tienen un largo camino por recorrer.
En este sentido, destacan diversos desafíos. Entre ellos, la implementación de herramientas para monitorizar los riesgos y mejorar la capacidad de respuesta ante incidentes y brechas de seguridad. También insisten en la importancia de tomar conciencia sobre los peligros de la red, especialmente en los niveles ejecutivos de las organizaciones, y conocer el nivel de exposición a los riesgos.
Carencia de formación y de profesionales
Fomentar la confianza cibernética se torna complicado. Según el citado estudio, solo en el 5% de los países de América Latina, los ciudadanos se consideran preparados frente a un ataque. De ahí que el BID y la OEA apuesten firmemente por una campaña de sensibilización acerca de los peligros y mecanismos de protección.
Y para apostar por esa sensibilización, el primer paso está en contar con profesionales de seguridad cibernética. Sin embargo, “el mundo tiene un déficit de más o menos un millón, un millón y medio de profesionales. Puestos de trabajo que están ahora mismo abiertos y que no se pueden cubrir por falta de gente preparada. El problema en la región se acentúa. Un plan serio de educación y formación de profesionales ayudaría a generar confianza cibernética”, reconoce Porrúa.
Otro dato destacado es que “en el 90% de los casos, las Administraciones Públicas de América Latina no tienen profesionales para la prevención y la persecución de la ciberdelincuencia. Cambiar esta dinámica generaría un entorno de mayor seguridad”, insiste Porrúa. El experto reconoce igualmente que el sector público está algo más consciente que el privado porque siente más presión frente a la sociedad.
La legislación también cumple su papel
Nada es un crimen, tampoco en el mundo cibernético, a menos que esté definido por la ley. Es la máxima de Alexander Seger, director de la división de cibercrimen del Consejo de Europa, y que también participó en el Informe de Ciberseguridad 2016.
Para Seger, la legislación a este respecto debe cumplir con tres requisitos:
– Ser lo suficientemente neutral, tecnológicamente hablando, como para responder a la evolución constante del crimen y la tecnología.
– Que garantice igualmente el cumplimiento de los requerimientos del Estado de derecho y de los derechos humanos.
– Y ser compatible con las leyes de otros países.
Además, este experto constata que las medidas de seguridad cibernética y la justicia penal contra la ciberdelincuencia son complementarias. Igualmente insiste en la importancia de formar parte del Convenio de Budapest, un acuerdo internacional para la prevención de ciberdelitos: “Este Convenio sirve a los países de América Latina como guía para la preparación de la legislación interna”.
En este contexto, Seger define como un desafío particular en América Latina la lentitud a la hora de adoptar reformas legislativas. “El cibercrimen se considera una seria amenaza en la mayoría de estos países y, sin embargo, algunos de ellos tardan años en avanzar y en adoptar el Convenio”, reconoce.
República Dominicana y Panamá ya son miembros de este tratado. Argentina, Chile, Colombia, Costa Rica, México, Paraguay y Perú tienen su invitación para adherirse.
El ciberriesgo 0 no existe
“Aunque inviertas grandes cantidades de dinero en ciberseguridad, toda empresa es vulnerable porque las personas cometen errores. Las empresas no pueden evitar que un empleado malintencionado quiera causar un daño al sistema, robar información confidencial o que un hacker después de mucho intentarlo logre acceder al sistema o introducir un virus. No existe el riesgo cero”, explica Daantje.
Y precisamente porque el ciberriesgo 0 no existe, las políticas de ciberseguridad miran hacia la gestión del riesgo. Hasta no hace mucho, la mayoría de las empresas utilizaba los antivirus como única protección digital, insuficiente frente a los ciberdelincuentes. “A la hora de hacerles frente, es necesario adoptar nuevas estrategias para aplicarlas en una cultura de seguridad digital”, reconocen desde Willis Towers Watson.
Resulta inevitable convivir con un cierto nivel de riesgo, en el que el garante parece ser el mercado de los ciberseguros. “En los países de referencia mundial, donde los seguros son un mercado desarrollado, también lo es el de los seguros cibernéticos. Existen compañías especializadas y pólizas específicas de seguridad cibernética que van evolucionando constantemente en función de los nuevos riesgos y amenazas. Éstas tienen unas tarifas en función de los diferentes niveles de coberturas y de riesgos. En definitiva, hay un mercado de seguros cibernéticos que en América Latina no existe”, declara Porrúa, del BID.
El mundo tiene un déficit de entre un millón y un millón y medio de profesionales de seguridad cibernética
Carolina Daantje expone otra visión: “Aunque el ciber es algo relativamente nuevo, las compañías de seguros en Latinoamérica ofrecen coberturas no solo para cubrir las brechas de seguridad sino también la pérdida de beneficio por la caída del sistema, la ciberextorsión y los gastos en los que se incurren, de defensa, de informática… Y ofrecen paneles de expertos que ayudan a responder ante un incidente”.
La experta reconoce que cada vez más las empresas en América Latina están tomando medidas de seguridad ante los ciberataques, como aumentar las inversiones en esta materia o adquirir una póliza de seguros.
A la hora de minimizar los riesgos, Daantje recuerda que hay una serie de pasos que se deben seguir: primero, entender que la ciberseguridad no es un problema solo del departamento de informática, sino de la alta dirección de la compañía. En segundo lugar, que todos los empleados con conexión a internet han de tener la responsabilidad de mantener la compañía y la información que manejan segura. En este sentido, la formación de los empleados también es importante a la hora de responder ante un incidente. En tercer lugar, es necesario realizar mapas de riesgos periódicamente para identificar las vulnerabilidades y definir la tolerancia a los ciberriesgos de las empresas. Por último, considerar cómo respondería la compañía ante un ciberataque, aunque parezca algo remoto. Tener un plan de continuidad que pueda minimizar el costo financiero y de reputación se torna fundamental. En este contexto, Daantje destaca la labor de su sector: “Las soluciones aseguradoras pueden ayudar a las compañías a manejar y mitigar el riesgo”.
Vistos los acontecimientos, el futuro de la ciberseguridad en América Latina está en juego. En palabras del experto del BID, tanto su organización como la OEA esperan que más países acometan el diseño de políticas de seguridad cibernética. En la medida en que esto sea así, “el riesgo de que los ciberataques generen un daño económico descenderá mucho para tratar de acercar ese riesgo lo más posible a cero”, vaticina Porrúa y reconoce: “Nunca va a poder ser cero porque del otro lado, el de los ciberdelincuentes, el mercado crece de forma imparable”.
