Ciberseguridad en Iberoamérica: un reto legislativo, organizativo y tecnológico

Iberoaméricaha registrado un preocupante aumento de los ciberataques en los últimos años. La vulnerabilidad de la zona se debe, en parte, a que su política de ciberseguridad está aún en construcción.

Un fantasma recorre Iberoamérica. Se trata de los ciberataques, un problema de seguridad de primer orden que afecta de manera creciente a instituciones, empresas y particulares. Estudios independientes coinciden en que en esta región del planeta se producen más de 1.600 intentos de ciberataque por segundo.

Datos del EY Global Cybersecurity Leadership Insights Study concluyen que el 91% de las empresas latinoamericanas registraron el año pasado algún incidente de ciberseguridad y el 62% han sufrido alguna filtración de datos. En los últimos años, se ha disparado la incidencia en la región de agresiones digitales de este tipo, empezando por las tres más frecuentes: infecciones con malware, secuestros de datos (ransomware) y phising. Si hablamos de malware, un informe del laboratorio de inteligencia y amenazas FortiGuard Labs informaba que la región habría sufrido más de 360.000 intentos de ciberagresión de este tipo en 2022, con especial incidencia en, por este orden, México, Brasil, Colombia y Perú.

Algunas de estas acciones delictivas, por su espectacularidad, sus dimensiones o la importancia de las instituciones y empresas afectados, han despertado la atención de los medios informativos. Es el caso del ciberataque a gran escala del que fue objeto el Gobierno de Costa Rica en julio de 2022 o, en fecha más reciente, el secuestro masivo de datos sufrido por la compañía proveedora de Internet en Colombia y Paraguay Tigo Data Center el pasado mes de enero. En este último caso, los perpetradores bloquearon información de más de 3.000 copias de seguridad en 330 ordenadores haciendo uso del software malicioso Black Hunt y exigieron un rescate del equivalente a 8 millones de dólares en bitcoins.

 

Una capacidad de respuesta creciente, pero (aún) limitada

Estos acontecimientos se producen en una zona que se está mostrando como particularmente vulnerable: según datos del Índice Nacional de Seguridad (INCS), la de América Latina y el Caribe seguiría siendo una de las áreas del planeta peor preparadas para hacer frente a ciberataques, solo por delante de Oriente Medio y África. Jorge M. Vega, analista del Real Instituto Elcano, considera muy significativo que “solo siete países latinoamericanos [Brasil, Colombia, Uruguay, México, Chile, Argentina y Paraguay] cuenten con unidades especializadas en ciberseguridad en sus Fuerzas Armadas”.

Vega resumía hace unos meses el estado de la cuestión de manera contundente y precisa: “En América Latina, las capacidades para gestionar una política de ciberseguridad efectiva están en construcción, conviviendo múltiples y cambiantes niveles de madurez entre subregiones y países”. Para el experto en Seguridad Internacional, la creación de estructuras gubernamentales adecuadas y de mecanismos de cooperación regional es un imperativo estratégico que no se está encarando de forma completamente satisfactoria. Un buen punto de encuentro, en opinión de los analistas, sería ajustar las normativas nacionales a la directiva NIS2, lanzada por la Unión Europea en diciembre de 2022. Se trata de la norma de ciberseguridad más avanzada y completa del mundo, orientada, en opinión del jurista y experto en agresiones tecnológicas Jesús Yáñez, a “crear una cultura de la ciberseguridad”. Tal y como explica David Fernández Granado, director general de Cipher, la NIS2 implica que las empresas “deben contar con visibilidad total sobre el perímetro de seguridad, evitar la fragmentación tecnológica y organizativa, profesionalizar la función incorporando talento de ciberseguridad e implementar mecanismos de mejora continua para adaptarse a la velocidad de los cambios”.

 

Estrategias asimétricas

A falta de directrices comunes, los países latinoamericanos han ido desarrollando en los últimos años sus propios planes nacionales de contingencia contra las ciberamenazas. Los más avanzados son los de Brasil, Colombia, Chile y Uruguay, pero Argentina y Perú están empezando a realizar progresos significativos. Brasil dispone de un Departamento de Seguridad de la Informática y la Cibernética integrado en el área de Presidencia de su Gobierno, y su nivel de gobernanza al respecto ha sido considerado “sólido” y maduro por el Observatorio de la Ciberseguridad en América Latina y el Caribe. Solo Colombia y Uruguay, a los que se atribuye un nivel “estratégico”, obtienen una valoración superior. Colombia dispone de organismos como el Coordinador Nacional de Seguridad Digital y la Comisión nacional Digital y de Información Estatal. Chile, con una madurez organizativa “consolidada”, cuenta con un Comité Interministerial sobre Ciberseguridad (CICS) presidido por el Ministerio de Interior.

Más allá de los progresos jurídicos y organizativos a nivel institucional, las empresas latinoamericanas se están dotando también de sus propias herramientas, en muchos casos utilizando como referencia la NIS2 y otras directrices similares. Así, tal y como explica Armindo Portillo López, Gerente de Ventas de Cipher en Paraguay, “Argentina, Costa Rica y Chile se adhirieron recientemente a la Convención de Budapest sobre cibercrimen, al igual que otros países, como México, Colombia y Paraguay. Además, en 2017 la Red Iberoamericana llevó a cabo la publicación de las Normas de Protección de Datos para los Estados Iberoamericanos, que se utilizaron el Reglamento General de Protección de Datos de la Unión Europea (RGPD) como guía”.

Además, en 2017 la Red Iberoamericana llevó a cabo la publicación de las Normas de Protección de Datos para los Estados Iberoamericanos, que se utilizaron el Reglamento General de Protección de Datos de la Unión Europea (RGPD) como guía.

 

Así, un número creciente compañías están potenciando sus inversiones en esta área y dotándose de protocolos internos avanzados en el marco de sus planes directores de seguridad. Las empresas brasileñas, colombianas y chilenas están liderando este desarrollo incipiente de estrategias corporativas ganadoras. Prueba de ello fue la acción realizada por el Centro Colombiano de Ciberseguridad Industrial que, según indica Portillo, “publicó recientemente un estudio que detalla el aumento de los incidentes de violación de pdatos. Todo esto fue un recordatorio de que estos problemas son muy reales en la región e indican que muchas empresas individuales y la industria de servicios financieros no están preparadas”.

 

La importancia del factor humano

Resulta clave, en este sentido, contar con responsables de ciberseguridad a nivel empresarial, un rol del que aún carecen muchas empresas latinoamericanas. El tipo de conocimiento y experiencia específicos que pueden ofrecer estos perfiles profesionales puede marcar la diferencia en un contexto, como el actual, en que, según explica Fernández Granado proliferan amenazas cada vez más sofisticadas, desde ataques de ransomware automatizados a nuevas tácticas de phising con un nivel de efectividad más alto. Tal y como asegura Fernández Granado a medio plazo, en cuanto este pulso tecnológico se estabilice, la vulnerabilidad vendrá sobre todo del factor humano. Los ataques se basarán muy especialmente en la llamada “ingeniería social”, que es como llamamos a explotar los miedos, inseguridades, imprudencias o desconocimiento de usuarios individuales, a los que se engaña para que compartan contraseñas de acceso, divulguen información valiosa o instalen malware en sus equipos.

Otro reto pendiente es formar a una nueva hornada de profesionales con capacidades tecnológicas avanzadas que sirva de dique de contención para este tipo de desafíos. Según Portillo, “potenciar la cultura digital de los miembros de una organización es potenciar su defensa ante los posibles ataques tecnológicos que pueda sufrir”.

La receta de éxito, una vez más, pasa por seguir potenciando la capacidad de respuesta a todos los niveles. Empezando por el institucional, creando herramientas normativas adecuadas y comunes, en la medida de lo posible, a todo el continente. Pero sin descuidar el necesario esfuerzo organizativo y las imprescindibles inversiones en ciberseguridad por parte de las empresas. Portillo concluye con una reflexión de cara al futuro inmediato: “los expertos en ciberseguridad están desarrollando todo un arsenal de recursos defensivos, para hacer frente a la seguridad de la red del futuro cercano, por este motivo, y con el objetivo de seguir las obligaciones ya establecidas en los Estados Unidos y la Unión Europea, todos debemos trabajar de la mano, junto con los desarrollos tecnológicos, para blindar nuestros sistemas y nuestras organizaciones bajo un marco reglamentario común en materia de ciberseguridad”.