Los impactos de la transformación digital y las criptomonedas cambiaron el paradigma de la ciberdelincuencia. Mientras la transformación digital incrementó de forma exponencial la superficie de ataque y/o la cantidad de víctimas potenciales, las criptomonedas mejoraron las oportunidades de negocio del atacante.

La descripción fue realizada por Alan Mai, especialista en ciberseguridad en América latina, quien analizó en la siguiente entrevista de iProfesional la evolución de la ciberdelincuencia en los últimos años, signados por la pandemia del coronavirus.

Licenciado en estudios internacionales de la Universidad ORT Uruguay y MBA de la Universidad Internacional de La Rioja (España), Mai complementó sus estudios en la Sungkyunkwan University (Seúl, Corea del Sur); la Florida International University; y la Universidad de Tel Aviv, donde se formó en liderazgo y estrategia de ciberseguridad.

Hoy se desempeña como director general ejecutivo de Bloka, empresa de servicios gestionados de ciberseguridad para empresas y organizaciones públicas y privadas.

-¿Puede existir la transformación digital sin contemplar a la ciberseguridad?

-¿Puede alguien construir un edificio sin contemplar si los planos están bien hechos o si se va a caer? Y si hay una zona de terremotos, ¿puede no contemplarse eso a la hora de su construcción? Con la ciberseguridad pasa exactamente lo mismo. No es un mito. Es un riesgo que debe gestionarse, como tantos otros que se gestionan a diario, desde siempre.

Entonces, si a ese riesgo que ya existía, le agregamos el condimento de la transformación digital, o de su profundización o aceleración, entonces el riesgo crece de forma exponencial, se vuelve más inminente, y es mandatoria su consideración.

Comprender esto debiera ser muy simple: estamos ampliando nuestra superficie de ataque. Si en lugar de construir una casa en un barrio "seguro", la hacemos en uno más periférico, vulnerable o de mayor riesgo -como se le quiera llamar-, ¿acaso no tomaríamos otras precauciones para protegerla?

Alan Mai, CEO de Bloka.

Quizás las rejas sean necesarias, pero no suficientes, el servicio de alarma con respuesta igual, entonces tendremos que incluir consideraciones como las de cerrar el portón antes de bajar del auto al llegar cuando ya haya oscurecido. Se entiende el punto.

Ahora bien, cualquier proceso de la denominada "transformación digital" supone incrementar el uso de la tecnología para hacer procesos más eficientes aprovechando justamente la tecnología.

Eso supone más horas hombre delante de pantallas, más automatización de procesos mediante PLC, etc. Todo eso es "hackeable". Y eso es lo que, de una forma u otra, aumenta nuestra superficie de ataque y vuelve a las organizaciones más vulnerables cuando eso no se gestiona de manera adecuada.

-¿La ciberseguridad es hoy relevante en la conducción de las grandes y medianas empresas?

-Efectivamente, hoy más que nunca, la ciberseguridad tiene que ser relevante en la conducción de las grandes y medianas empresas. Me atrevería a decir que de las pequeñas también. No estoy diciendo que el presupuesto de ciberseguridad de una empresa pequeña o mediana deba ser igual al de la grande.

De hecho, en estudios de este año, en países desarrollados, en el 99% de los casos de ransomware (software malicioso que secuestra archivos y pide un rescate a cambio), las víctimas dijeron que no creían que su presupuesto de ciberseguridad hubiera sido el motivo por el que sufrieron el ataque. 

Con esto quiero decir que las empresas, sin distinguir por tamaño, deben conocer lo que llamamos "apetito de riesgo". Es decir, qué nivel de riesgo están dispuestas a tolerar. Y será en función de eso el nivel de inversión que deban destinar a controlar el riesgo de un ciberataque, o de otro que afecte la seguridad de la información, entendiendo que es un concepto aún más amplio que el de la ciberseguridad exclusivamente.

Claramente los ataques dirigidos siguen siendo un drama global.

Esto les permitirá adecuar la inversión en función de la probabilidad de que un incidente de seguridad ocurra, y su impacto. En síntesis, este último aspecto, el del impacto del incidente de seguridad, es el que vuelve relevante a la ciberseguridad para la conducción de la empresa: puede sacudirla hasta hacerla caer. Los ejemplos en esta materia son, en 2022, imposibles de ignorar; alcanza con entrar a la sección de cualquier medio masivo para encontrarlos.

-¿Solo se considera a la ciberseguridad cuando se registra un episodio que la vulnera?

-En mi opinión, esta es una cuestión que tiene dos aristas: la legal y la cultural. ¿Por qué cuando vemos noticias sobre un ciberataque la víctima suele ser de un país desarrollado y no uno de nuestra región? Simple, porque están obligados por ley.

En nuestra región no existe normativa que obligue a la empresa a difundir que ha sufrido un incidente de ciberseguridad, los casos que solemos escuchar tienen que ver con una cuestión de marketing de la empresa, para "calmar" a sus clientes/usuarios porque ya se difundió el incidente. Porque por una cuestión de reputación, a ninguna le conviene difundir noticias negativas sobre sí misma.

¿Pero qué pasa cuando la cuestión de los medios ni siquiera existe? En mi experiencia personal, esto depende 100% de la cultura de la organización o, en definitiva, del nivel cultural de los directores de la organización.

Estoy hablando del nivel cultural en términos de lo que se opina al respecto. En una organización más moderna, o podría decir madura, la ciberseguridad es una cuestión de agenda.

En una menos moderna, más tradicional, y por eso menos madura en cuestiones como transformación digital, el tema no existe y ahí sí, solo cuando el impacto de un incidente de ciberseguridad sea importante, se atenderá la cuestión.

En América latina no existe normativa que obligue a difundir un incidente de ciberseguridad.

Por lo tanto, considero que es aún peor el escenario, o sea, incluso cuando la empresa haya sido vulnerada, es probable que una empresa que no consideraba la ciberseguridad como algo relevante, pueda seguir haciéndolo. Y esto es grave. Porque suele haber responsabilidad sobre datos de terceros, que la empresa tenías sobre sus clientes/usuarios.

Lamentablemente, este escenario lo vemos a diario en nuestros clientes. Y por esto hago la distinción, como decía anteriormente, que no tiene que ver con el tamaño de la empresa o la industria, sino con su nivel de madurez en temas de tecnología (sin que esto implique que la empresa sea de base tecnológica).

Generalmente vemos esta cuestión en pymes, pero muchas veces le llamamos pyme a una empresa por su nivel de madurez, por qué tan "familiar" es la empresa, sin que esto implique que su tamaño no sea monstruoso. Está lleno de ejemplos de este tipo en nuestra región. Y eso, desde mi punto de vista, es muy peligroso.

-¿La ciberseguridad sigue siendo territorio exclusivo del área de tecnología en las empresas o ahora se comparte con otras, como management?

-Claramente no. En un foro de CEO hace poco escuché que una de las preguntas que se le debiera hacer hoy a un candidato a CEO es cuál es el riesgo más importante que una empresa en la actualidad debe gestionar, y que, si la respuesta no es "ciberseguridad", no se lo debe considerar para el puesto. Puede resultar exagerado, pero lo cierto es que, si no se la considera, como decía antes, puede terminar con la empresa directamente.

Además, debe ser de las pocas cuestiones que hoy afectan a cualquier empresa, sin importar tamaño o industria, y es transversal a todas las áreas. El incidente puede afectar a los vendedores, a la producción, la logística, a cualquier cosa.

Pero otro de los condimentos que saca a la ciberseguridad de la esfera exclusiva de TI es que ya no es una cuestión meramente técnica. Esto es, no alcanza con contratar un producto o servicio, de naturaleza técnica. Si fuera así, sería muy fácil de resolver y no habría de qué hablar. Ponemos el antivirus y listo. No. No funciona así. Ojalá.

Hoy la ciberseguridad tiene que ser relevante en la conducción de las empresas.

-¿Los ciberatacantes apuntan a víctimas específicas o automatizan y masifican sus actividades, como si fuera una pesca de grandes cardúmenes?

-Las dos cosas. Para entender esto, en mi opinión, hay que hablar de un cambio de paradigma en ciberseguridad: el modelo de negocios, o al menos, su monetización. Hasta hace algunos años, no existía una forma práctica de pagar para la víctima, y fácil de mantener el anonimato para el atacante.

Por eso, las opciones que tenía un atacante para hacer uno masivo no eran más que intentar instalar una barra de búsqueda en el navegador de un usuario, para ganar con eso en base a la publicidad que pudiera mostrar en los resultados.

Y para uno específico, a una organización particular, generalmente era con fines de obtener una buena reputación en el ecosistema criminal, que lo pudiera catapultar al mundo de los "white hats" (hackers "buenos") a cambio de una muy buena remuneración. 

Pero llevó mucho tiempo que un ataque a una víctima específica, que no fuera a un gobierno o con fines geopolíticos, le resultara redituable en términos económicos al atacante.

Sin embargo, en los últimos años se produjo un quiebre y allí el cambio de paradigma. Esto lo explico en base a dos factores: impacto de la transformación digital y el impacto de las criptomonedas.

Sobre la transformación digital ya hablé antes, pero básicamente al incrementarse de forma exponencial la superficie de ataque y/o la cantidad de víctimas potenciales, mejoraron las oportunidades de negocio del atacante. 

Las criptomonedas ampliaron los modelos de negocio de la ciberdelincuencia.

Pero el problema seguía siendo cómo hacerse del dinero de forma tal de mantener el anonimato, que rastrear al atacante fuera complejo para las autoridades de un país.

Y allí las criptomonedas entraron a jugar un rol clave para los atacantes. Encontraron en ellas una forma muy simple de hacerse del dinero, con un altísimo nivel de complejidad para las autoridades para que puedan comprobar quién lo cobró y así tomar represalias contra ellos.

Aquí corresponde que aclare que no digo que una transacción en criptomonedas sea irrastreable, de hecho, una de las grandes bondades de la tecnología blockchain es justamente la trazabilidad.

Pero en términos prácticos, para las autoridades de una víctima en la Argentina, es muy complejo rastrear una transacción en cripto que no representa un altísimo volumen de dinero, teniendo que interactuar con autoridades en distintos países, hasta llegar quizás a que el atacante pasó el saldo a pesos argentinos…

Todo esto terminó con el "¿por qué me atacarían a mí?". Al encontrar una forma de monetizar el modelo de negocios, los atacantes empezaron a hacer ataques masivos de altísimo impacto. Estoy hablando específicamente del ransomware.

Es que el costo de escribir un software que encripte archivos y genere una ventana donde se indiquen las instrucciones para pagar el rescate de los archivos que se acaban de secuestrar para una sola víctima, es el mismo que para cientos de miles de víctimas. Y esto último es bastante más rentable.

El ransomware crece en todo el mundo como práctica delicitiva.

Claramente los ataques dirigidos siguen siendo un drama global, ya sea por los fines geopolíticos de los mismos o por cómo pueden afectar a un país entero en cuestiones críticas como abastecimiento de energía o combustible.

Pero también los masivos, poniendo en juego la continuidad del negocio, por el impacto económico que pueden tener estos ataques en sus víctimas, al alterar la productividad de la empresa haciendo que merme su actividad.

-¿Qué recomendaciones deben aplicar las grandes y medianas empresas para reforzar su ciberseguridad?

-En primer lugar, hablar de esto. El término técnico o profesional sería tener un programa de "Security Awareness" o concientización sobre seguridad. Pero en empresas medianas, al menos hablar del tema con toda la organización puede ayudar, y mucho.

Aquella frase de que la seguridad es tan fuerte como el eslabón más débil de la cadena aplica a este caso. Y el más débil suele ser el factor humano. La proliferación de los ataques de "phishing" y los casos de "spoofing" se aprovechan de esto de una manera cada vez más ingeniosa y de impacto más importante.

En segundo lugar, la implementación de una solución de autenticación multifactorial corporativa es una de esas tecnologías que no están siendo aprovechadas por la mayoría.  Tanto el nivel de inversión como la curva de aprendizaje para los usuarios, se ha reducido mucho y tienen un altísimo impacto en elevar los niveles de protección de las credenciales de los usuarios.

Hay que tener en cuenta que, en la actualidad, con un ataque de fuerza bruta de diccionario, a una computadora solo le toma una contraseña de seis caracteres que utilice minúsculas, mayúsculas, números y símbolos, puede ser vulnerada de forma instantánea, mientras que con un sistema de autenticación multifactorial esto cambia.

Los delincuentes informáticos apuntan a todo tipo de organizaciones y personas.

Por tercer lugar, implementar sistemas de protección que acompañen a los usuarios y en los flujos de información entre éste y la organización. La concepción tradicional del perímetro de la red no existe más fruto de la implementación de entornos híbridos entre sistemas "on-premise" y en la nube, y de que el trabajo híbrido entre remoto y presencial es una realidad de la que no habrá retorno. En ese sentido, adaptar los controles técnicos tradicionales implementados, es clave.

Por último, generar una estrategia "zero trust" debe, al menos, ser el norte al que se apunte en el mediano plazo.