Christian Lengua
Según cifras del Instituto para la Estrategia y Estudios Internacionales de Estados Unidos, Perú registrará pérdidas relacionadas al cibercrimen este 2020 de alrededor de US$ 1,580 millones.
Jorge Zeballos, gerente general de ESET Perú, compañía de seguridad informática de origen eslovaco, reveló que los sectores más afectados a nivel local son servicios, educación, clínicas, sector estatal y servicios financieros.
Mencionó un reciente estudio de seguridad de ESET sostenido con entrevistas a 5,000 ejecutivos de la región relacionados al tema de seguridad dentro de las empresas. Según ese reporte, el 58% de empresas peruanas sufrió al menos un incidente de seguridad.
El ataque más recurrente es la infección de código malicioso, incluyendo ramsonware. Y en cuanto al nivel de implementación de controles básicos de seguridad, un 76% de empresas del país cuenta con antivirus, y el 65% cuenta tanto con backup (respaldo de datos) como con firewall (cortafuegos de protección).
¿Cómo se reflejan estas pérdidas? Zeballos explicó que lo primero es lo palpable, la pérdida operacional. “Por ejemplo, una tienda virtual es víctima de ataques. Cibecriminales contratan un servicio para que desde muchos lugares visiten a la vez una página y la hacen colapsar. En un momento ya no permite más usuarios y se debe apagar el servidor. Mientras estás fuera del aire pierdes dinero”, señaló.
Otro ataque común es el ramsonware (secuestro de datos). La cantidad de ataques de este tipo en Perú ha disminuido. En el 2018 la tasa de incidencia era de 25%, y el 2019 bajó a 20%. Pero la diferencia es que los ataques ahora son dirigidos. Analizan a quién atacar y en muchos casos logran su cometido.
Al robar datos y encriptarlos, existe el riesgo que los puedan divulgar. Allí viene otro tipo de pérdida que es la de credibilidad. Y una empresa podría ser plausible de una demanda de los usuarios propietarios de estos datos, en el marco de la Ley de Protección de Datos Personales vigente en Perú desde el 2011. La multa va desde media UIT, hasta 100 UIT, es decir, S/ 430 mil.
Otras pérdidas de las empresas por ciberataques están relacionadas al tiempo y reconstruir la confianza de los usuarios, que es difícil y costoso. Sin contar la inversión para remediar el problema, como contratar servicios personalizados para que levanten los sistemas, corrijan los problemas de red, y contratar servicios para asegurarse que no vuelva a ocurrir. “Porque cuando esto se hace a la velocidad de la urgencia no cuesta el doble, sino el triple”, indicó.
Zeballos comentó de dos casos peruanos recientes de ciberataques. En un caso a una empresa le encriptaron sus datos, pidieron S/ 2.5 millones de rescate para devolverles la clave y acceder otra vez a su información. Y la empresa tuvo que pagar. Y una institución educativa de alto prestigio también sufrió un ciberataque hace semanas y pedían un recate de US$ 250 mil.
“Muchas veces creemos que esto es obra de un geniecillo del mal que está tratando de hacer daño. Pero al final, estos ataques vienen de organizaciones con estructuras, recursos, procedimientos, controles, procesos, que están muy bien preparadas”, sostuvo.
Medidas
Para Zeballos, el problema no solo es que haya ciberdelincuentes, sino que pese a toda esa experiencia negativa las empresas no redefinan sus procesos, y no exista una estrategia. Entre las medidas que se deben tomar es clave conocer al detalle quién y a qué tiene acceso.
Según el reporte de ESET, solo el 22% de los ejecutivos consultados clasificaban su información, sabían y tenían conciencia plena del activo digital que tienen en su poder. La mayoría de organizaciones no saben quién tiene qué y eso puede generar un riesgo.
En la medida que se haga un correcto inventario de los datos se sabrá qué proteger. En esa línea, una inversión necesaria es trabajar con el servicio de la nube. Porque ya se ha demostrado que tener un backup local no sirve en términos de seguridad. El ejecutivo habla de migrar a un backup moderno con acceso desde un servidor externo.
Añadió que en la medida que nuestros datos, que son finalmente la esencia de nuestro negocio, se conviertan en digital el riesgo es mayor. Por lo que se debe pensar estratégicamente, ser flexibles, y adaptarse a esta realidad más digital que tiene más facilidades pero también más riesgos involucrados.
“No veo transformación digital si no hay una buena estrategia de ciberseguridad. A mayor digitalización mayor riesgo, porque un error te puede costar el negocio completo”, puntualizó.