1600 ciberataques por segundo.
Ésa es la estimación de los expertos sobre la cantidad de ataques cibernéticos que experimenta América Latina, la región menos preparada de todo el planeta frente a esta amenaza, según la última edición del Índice Global de Ciberseguridad.
“En parte, el problema es consecuencia de una tendencia positiva: América Latina se ha digitalizado a gran velocidad en los últimos años. La pandemia aceleró el proceso de automatización que ya se estaba produciendo tanto en el sector público como en el privado. La región tiene una de las tasas más altas del mundo de uso de teléfonos inteligentes y redes sociales, y el comercio electrónico, la banca en línea y otros sectores están en auge. Sin embargo, el evidente talento para adoptar nuevas tecnologías ha superado a las ciberdefensas de la región”.
La que escribe es Cecilia Tornaghi, editora gerente de Americas Quarterly y directora sénior de políticas en The Americas Society/Council of the Americas (AS/COA). Publicó en julio en el journal una serie de datos que demuestran que América Latina es, aunque pisándole los talones a África, la región más vulnerable del mundo ante los ciberataques (datos de Interpol revelan que batió un récord mundial de ciberataques en el primer semestre de 2020, con tres veces más a través de navegadores móviles que el promedio mundial).
En diálogo con Infobae, da un panorama de las razones detrás de esta extrema vulnerabilidad.
-¿Por qué se considera a América Latina y el Caribe como la región menos preparada del mundo frente a los ciberataques?
-La International Communications Unit de la ONU reúne datos -que son los que los países envían- y lo que hace es poner como una ecuación en la que consideran variables como la legislación específica de cada país, los planos estratégicos en relación a ciberseguridad, la capacidad o no de preparar la gente, y las personas para para poder responder a estas cuestiones. América Latina, con su tamaño y su capacidad estratégica, con empresas enormes, es un objetivo. Al mismo tiempo, hay una preparación muy precaria y un entendimiento y un foco en la seguridad muy atrasado en comparación con lo que se necesita.
Uno de los expertos con quien hablé me dijo que en un país que tiene tantas necesidades, tantas desigualdad, como ocurre en las naciones latinoamericanas, ¿va a priorizar un hospital o una estrategia de ciberseguridad? Entonces ahí están estos retos de presupuesto, y no es una gestión que genere votos.
-¿Cuál fue el impacto en toda América del ciberataque masivo de ransomware que sufrió Costa Rica en abril de 2022?
-Los órganos de gobierno están conectados y tienen relaciones internacionales con otros ministerios o bancos. Entonces, una entrada en un órgano gubernamental nacional genera una posibilidad muy amplia. Puede pasar con multinacionales que pagan impuestos en un país, y que pueden tener todos sus datos conectados al sistema de tasaciones de otro. En un ataque masivo, se abren las puertas y están todos conectados. Es como un aeropuerto. Se genera un riesgo regional porque el cyber no está limitado por fronteras.
-¿Qué países están tomando medidas de protección y legislativas?
-Brasil, pero también es el país con más ciberataques y es un generador de ataques muy importante contra su propia gente. Pero uno de los ejemplos más interesantes es Uruguay, porque no toma la gestión cibernética como una cuestión de Defensa Nacional, como sí hace Brasil, cuyas Fuerzas Armadas tienen los órganos principales de defensa cibernética. Uruguay tiene una estrategia más grande. Chile y Colombia también.
-¿Cuál es la frecuencia de los ciberataques a las empresas en comparación con el sector gubernamental?
-Es difícil separar bien porque los datos a los que tuvimos acceso están todos juntos. Lo que vimos con claridad es que los ataques van a todos lados: personas, empresas y gobiernos. Hay hacktivistas como Guacamayas, que quieren información muy específica de minería, de corrupción para mostrarla, pero atacan por todos lados, y los que caen primero, caen primero.
Los gobiernos tienen presupuestos más chicos y tienen que ofrecer servicios al público, entonces tienen que pensar primero en, por ejemplo, un camión de bomberos. En cuanto a una empresa privada cierra sus puertas y puede tener un poquito más de control.
Dependiendo del país, cada ministerio tiene un servidor o una oficina de una ciudad que está conectada con la Oficina Nacional de algo entonces los puntos de entrada son muchos más, lo que los hace más vulnerables.
Pero las empresas no quieren hablar cuando tienen ataques. Los casos que conocemos son los que se hicieron públicos, pero hay muchos más de los que las autoridades no están enteradas.
-¿En la mayoría de los casos de vulnerabilidad se debe a errores humanos o falta de infraestructura?
-Un poco de todo. El 90 por ciento de los ataques exitosos comienzan con errores humanos, muchos de personas que vieron algo, creyeron que era verdadero y no lo era. Ahí también está la cuestión del presupuesto en empresas chiquitas, que tiene mucha más dificultad de tener capacitación en esto, y en gran parte es realmente no tener conocimiento o no tener una conciencia del tamaño del peligro. Hay un caso de una empresa que hizo un ejercicio interno para ver cómo estaban sus controles y la persona que cayó fue el CEO.
-¿Cómo afecta el retraso legislativo en América Latina a la ciberseguridad y qué hay que hacer para ponerse al día?
-La legislación tiene que nacer a partir de un diálogo regional, porque si Brasil tiene una cosa, pero Argentina no lo tiene, se hace muy difícil la investigación y poder tomar medidas.
Además de exponerse a mayores amenazas crea también una dificultad mayor de prepararse para otras y saber qué pasó y así poder aprender para que no ocurra de nuevo. No hay herramientas para poder hacer frente a estos ataques. A veces pasa que se perdió un montón de dinero, pero los investigadores no poseen herramientas porque no hay una legislación específica. Al no haber legislación, hay un gran retraso en la preparación, en la investigación y, por lo tanto, la impunidad es más fácil.