2020 fue el año que detonó una adopción digital sin precedentes para todo tipo de negocios; consecuentemente, también trajo retos de ciberseguridad para Chile y el resto del continente, los cuales se potenciaron con circunstancias como el aumento del trabajo en casa y la digitalización de la economía. Desafíos en los que se vieron expuestos los flagelos de la protección de información relevante para las compañías y que, según el reciente Security Report 2021 de ESET, las empresas aún no han dimensionado la importancia de la protección y la capacitación de los empleados.

La nueva realidad digital exige a las empresas, más que nunca, disponer de sistemas de seguridad que garanticen que su actividad diaria y sus planes de negocio pueden llevarse a cabo sin riesgo, aunque según el informe, en el que participaron más de 1000 empresas de la región, el 81% de estas consideran que el presupuesto que tienen invertido en ciberseguridad es insuficiente.

Un porcentaje preocupante considerando que tan solo en junio ocurrieron dos ciberataques a empresas relevantes de Estados Unidos -Colonia Pipeline y JBS-, las que tuvieron que pagar grandes rescates cercanos a los 5 y 11 millones de dólares, lo que demuestra lo lucrativo que es para los profesionales de la ciberseguridad, quienes están siendo arrastrados por distintos incentivos a poner en aprietos la información de vital importancia para la continuidad operativa.

Cecilia Pastorino, investigadora de seguridad de ESET Latinoamérica, indica que el valor es mucho más alto que que lo analizado en años anteriores, donde se veía un leve crecimiento. Los altos cargos detrás de compañías analizaban cómo mejorar sus presupuestos, existiendo hasta el 2019 un aumento del 10% de las inversiones de las compañías en ciberseguridad. Sin embargo, en 2020 la necesidad de adaptarse, la transformación digital y la crisis económica, hizo que el presupuesto quedara relegado. Reflejo de ello es que el 24% de los encuestados afirmó que el último año aumentó el presupuesto en seguridad, el 22,5% aseguró que se redujo.

Para Pastorino, la falta de presupuesto puede implicar un impacto difícil de dimensionar, sobre todo si consideramos que la mayoría de los empleados de las empresas empezaron a trabajar de manera remota y muchas organizaciones no estaban preparadas, debiendo conectar con redes de hogar información digital, exponiendo claves y sistemas que antes estaban protegidas al interior de oficinas. “Muchos lo hicieron sin tener un plan de acción o abriendo protocolos a internet, como el protocolo de escritorio remoto que por ahí no estaban del todo seguros”, asegura la profesional, donde también hubo un aumento del más del 700% en ataques al protocolo de escritorio remoto.

Ricardo Seguel, director académico del Magíster en Ciberseguridad de la Universidad Adolfo Ibáñez, enfatiza que la falta de inversión en ciberseguridad genera problemas ante la poca capacidad de las personas que están encargados de la seguridad. Ello también implica que el personal de una empresa no respete sus protocolos ante la falta de capacitación, llevando que los planes de sensibilización no sean leídos con prolijidad, y no se tome la seguridad como una responsabilidad compartida.

“Desde los directorios hasta el rol con menor relevancia a nivel operativo es importante en estos tiempos. Todos deben tomar un rol directivo. Los atacantes van a buscar los puntos débiles”, enfatiza Seguel.

El reporte también contempla que solo el 15% de las organizaciones ha implementado soluciones de seguridad en dispositivos móviles para sus trabajadores; una situación a considerar en estos tiempos de teletrabajo donde los teléfonos inteligentes son utilizados para actividades laborales además de personales, siendo una puerta de entrada a la información sensible de la empresa.

Javier Linares, subgerente operacional de Zenta en datos y seguridad, visualiza que frente a la adopción de políticas como el “Bring your own device”, donde las compañías invitan a que los trabajadores usen sus propias herramientas para dar curso a sus tareas, se abre una brecha que pueden involucrar no solo a los teléfonos como una posible debilidad para un ataque, sino que incluso el uso de redes WiFi débiles que pueden ser hackeadas sin que el trabajador lo sepa.

Otro detalle que amplía el panorama de la ciberseguridad es que durante 2020 se descubrieron más de 96 mil familias de ransomwares diferentes en América Latina. Hubo varios picos de detecciones de ransomwares, con un peak en junio del 2020, que correspondía a muestras de la variante IWannaCry, un tipo de virus que se conoció en 2017 al propagarse tras compartir archivos. A su vez, los ataques masivos disminuyeron un 35% el año pasado, pero se convirtieron en ataques dirigidos, donde los cibercriminales analizan las vulnerabilidades de empresas por un tiempo, y desde ahí buscan atacar los servidores críticos.

Pese a la situación, la investigadora Cecilia Pastorino asegura que no es necesario tener una gran inversión para lograr una correcta gestión de la ciberseguridad, siendo la toma de acciones oportunas las que pueden mejorar la gestión, lo que no implica la compra de dispositivos o licencias de productos, sino definir tiempos entre equipos de trabajos para organizar y coordinar la seguridad, volviéndolo un tema transversal a toda la empresa.

Pastorino argumenta su posición explicando que apenas el 30% de las empresas de Latinoamérica hacen una correcta clasificación de su información, y el 39% tenían un plan de continuidad del negocio, es decir, saber cómo actuar en caso de que ocurra un evento crítico. “Estos dos indicadores son claves para ver que no es necesario invertir una gran cantidad de dinero para hacer frente a muchas riesgos”, recalca, contando que al hacer una correcta clasificación de la información es más fácil para una organización saber dónde deben apuntar las protecciones y las herramientas de seguridad, y así hacer una inversión menor para proteger solamente dichos activos críticos.

Ella agrega: “Si las empresas hubieran tenido un plan de continuidad del negocio, probablemente sus empleados hubieran podido trabajar de manera remota a través de VPN -accesos seguros-, a través de una planificación bien armada y sin tener que salir a abrir protocolos inseguros o que no están pensados para trabajar a través de internet o con equipos vulnerables”.

Los especialistas consultados para esta nota aseguran que lo ocurrido en 2020 no es muy diferente al panorama 2021, donde la situación con el covid en Latinoamérica no ve una solución temprana, por lo que el trabajo remoto seguirá expandiendo sus horizontes. Por ello, estos definieron en cuatro puntos los consejos a considerar por los gerentes de compañías de los más diversos rubros.

Tener un análisis de riesgo: Evaluar cuál es el contexto de la organización, conocer y exponer cuáles son los riesgos a los que están expuestos. A partir de ahí, planificar cuáles van a ser las medidas de seguridad que van a tomar.

Tener siempre un plan de contingencia: Ya aprendimos en 2020 que puede venir una pandemia y hay que que mantener la continuidad operativa. Por eso, hay que mejorar las maneras en que los usuarios se conectan de forma remota a las empresas. Para eso sí hay herramientas de seguridad que son claves como el uso de VPN para conectarse de manera remota, la autenticación de dos pasos para, por ejemplo, si van a usar un servicio de escritorio remoto, confirmar que ese servidor no solamente esté bien actualizado y no tenga vulnerabilidades, sino que el usuario ingrese con un sistema de autenticación de dos pasos, para que no dependa solamente de la contraseña que puede ser vulnerable. Aquí es vital también mantener la data cifrada dentro de los servidores. Si los atacantes lo obtienen, no lo van a poder leer.

Generar planes de capacitación: No requiere una gran inversión tener una campaña de concientización, con buenas prácticas. La capacitación es tan importante que el 85% de las empresas que educaron a sus equipos, no tuvieron incidentes de seguridad en lo que fue el 2020 según el reporte de ESET. Más allá de las herramientas, que por supuesto también son importantes, es bueno recalcar lo que se debe evitar al cargo de menor relevancia hasta el gerente general.

Hablar de un lenguaje común: La mayoría de las personas no ocupa conceptos como ransomwares, un lenguaje más adecuado para el equipo de informáticos. Pero cuando hablamos de riesgo de exposición, de que hay un riesgo que la operación de la empresa que paralizada por un ataque, lo van a entender mucho más rápido, sin necesidad de entender términos específicos. Mejorar los mensajes hará que sepan a qué pueden enfrentarse.