Ciberseguridad, el desafío de la gran empresa criminal del siglo XXI

Todavía resuenan en el país los ecos de la jornada electoral del domingo pasado que definió la conformación del Congreso, al igual que los nombres de los ganadores de las consultas interpartidistas, con miras a la primera vuelta presidencial a finales de mayo.

Pero en medio de las intensas discusiones sobre los resultados, también surgió otro debate por los problemas de la página de la Registraduría el día de los comicios, afectada por un ataque cibernético, según la entidad, o por no contar con la capacidad suficiente para manejar tantas consultas, en concepto de la Fiscalía.

Más allá de la naturaleza de la emergencia, la alarma sirve de recordatorio sobre los riesgos presentes en un mundo que cada vez depende más de lo digital. En lo que atañe a Colombia, en los últimos meses han ocurrido varios incidentes que golpearon a diversas entidades públicas.

Así sucedió con el Dane, que en noviembre duró varios días sin poder dar a conocer su información debido a los problemas de su página web, inutilizada por hackers de procedencia desconocida. Más recientemente la víctima fue el Invima, cuyos sistemas colapsaron afectando, por ejemplo, el proceso de inspección y autorización de las importaciones de alimentos, el cual tuvo que volver a hacerse manualmente.

Y esos casos son, según los conocedores, apenas la punta de un enorme iceberg. No se trata, ni mucho menos, de personas que hacen travesuras informáticas ocasionales para entrar en un sitio determinado y causar dolores de cabeza temporales por diversión.

Consiste, por el contrario, en una modalidad de crimen que está disparada en la medida que empresas y seres humanos usan la virtualidad para el desarrollo de los negocios o los asuntos personales. Como es bien sabido la transición, que venía avanzando rápidamente hasta 2019, tuvo un salto cuantitativo durante la pandemia.

De la noche a la mañana, procesos y costumbres que se hacían de manera presencial fueron remplazados por la pantalla de un computador o un teléfono móvil. El teletrabajo fue quizás la expresión más notoria, pero las más diversas estadísticas muestran que desde el comercio electrónico hasta las transacciones financieras, pasando por las consultas médicas o la ida a una notaría, empezaron a suceder con mayor proporción en el ciberespacio.

Incluso ahora que el retorno a las oficinas avanza, nadie prevé volver a las costumbres de antes. Si previamente el papel estaba en desuso en procesos istrativos de diverso tipo, hablar de sus bondades ahora en una conversación suena como la reivindicación de tiempos prehistóricos.

El motivo de la transformación es claro. Costos y eficiencias justifican pasarse a la nube, para no hablar del análisis de datos, fundamental en las estrategias empresariales del siglo XXI. Labores que demandaban horas están a la vuelta de un clic en un mundo en donde algoritmos, inteligencia artificial o internet de las cosas -protagonistas de la cuarta revolución industrial- siguen ganando terreno.

Algunas cifras dan una idea de la magnitud de lo que pasa. Según un reporte del Foro Económico Mundial, a lo largo de un minuto cualquiera, en la Tierra se envían 69 millones de mensajes de WhatsApp, se comparten 695.000 historias en Instagram, se remiten 197,6 millones de correos electrónicos o se suben 500 horas de contenidos de YouTube.

Semejante volumen ha venido acompañado de una expansión en la capacidad de la banda ancha y de las granjas de servidores, indispensables para acomodar un tráfico que seguirá aumentando en forma exponencial. Para citar un caso, la masificación de la tecnología 5G en la red celular se traducirá en autopistas de la información más amplias y de mayor velocidad.

Todo ello tiene su lado oscuro, por cuenta de la que también es una actividad cuyo auge tampoco se detiene: la de los criminales. Una vez más, no se trata del hacker solitario en un sótano mal iluminado, sino de verdaderas organizaciones mafiosas y transnacionales cuyo radio de acción se expande.

Y no consiste en virus destinados a hacer daño, sino de apropiarse de todo lo que se pueda. Desde entrar en la cuenta bancaria de alguien, hasta capturar información vital, pasando por el equivalente virtual de delitos que tipifica el código penal: robo, extorsión o secuestro, entre otros.

Así sucede con modalidades como phishing, ransomware o ataques informáticos. ¿Quién no ha recibido en un mensaje de texto o en un correo electrónico una supuesta notificación del banco que usa sobre la necesidad de volver a cargar sus datos confidenciales para supuestamente resolver un problema? ¿Qué gerente de tecnología no cuenta de los intentos de s no autorizados que buscan entrar en el sistema y de cómo hay que estar en guardia 24 horas, todos los días?

Aquí se mezclan, además, intereses de todo tipo. Sin ir más lejos, la guerra en Europa Oriental también sucede en el área digital. Poco antes de la llegada de las tropas rusas, Kiev denunció la ofensiva en contra de las páginas gubernamentales de Ucrania, supuestamente impulsada por Moscú. Ahora hay reportes de prensa según los cuales occidente estaría haciendo lo propio, con la participación de espontáneos como los que cobija Anonymous, un conglomerado de hackers de tamaño y localización desconocida.

El Reporte de Defensa Digital de Microsoft, publicado en octubre pasado, da una idea de lo compleja que es esta lucha sin fin, que incluso se convierte en una amenaza para la seguridad nacional. De acuerdo con el informe, “los cibercriminales tienen como blanco y están atacando todos los sectores de infraestructura crítica, incluyendo atención médica y salud pública, tecnologías de la información, servicios financieros y energía”.

Más inquietante aún es que ahora existen proveedores para diferentes delitos o etapas de una ofensiva. “Hay especialistas que crean kits de cibercrimen y servicios que otros actores compran e incorporan en sus campañas”, señala la compañía. Como cada vez hay más apetito por esa oferta, el costo viene en descenso, con lo cual se crea un círculo vicioso que incrementa los peligros.

En estos casos, la globalización funciona sin problemas. “Un comprador en Brasil puede adquirir kits de phishing de un vendedor en Pakistán, dominios de internet en Estados Unidos, ideas de víctimas potenciales en Nigeria y direcciones para operar en Rumania”, afirma Microsoft.

Uno de los segmentos de mayor dinamismo es el preocupante ransomware, que en la práctica captura o secuestra los datos de una persona o una compañía, obligándola a pagar un rescate para recuperar su información. En caso de encontrarse algo confidencial o embarazoso, también opera el chantaje para no hacerlo público.

(Le puede interesar: Atención: Registrador confirma ataque cibernético a su página)

Los datos hablan por sí solos. En los primeros seis meses de 2021 el volumen de ataques cibernéticos de este tipo a escala global subió 151 por ciento frente al semestre precedente, de acuerdo con el Foro Económico Mundial. Así mismo, el número de ataques por organización en Estados Unidos fue de 270 en promedio durante el año pasado, un alza de 31 por ciento frente a 2020.

Recibir el dinero sin dejar huella se ha vuelto mucho más fácil tras la aparición de las criptomonedas. De tal manera, la víctima no solo nunca sabe quién es el delincuente, sino que resulta imposible seguirles la pista a los fondos, pues una de las características de los criptoactivos es que la identidad de sus propietarios está protegida por las cadenas de bloques o blockchain.

Como si lo anterior no fuera suficiente, aparecen evidencias abundantes de que la naturaleza del delito está evolucionando. En lugar de que alguien entra ilegalmente a los sistemas de una organización, se roba los datos y sale inmediatamente, los criminales pueden tomarse días o semanas sin ser detectados para identificar lo más valioso, como el ladrón que puede revisar una mansión de arriba abajo mientras sus propietarios están de vacaciones.

Ante una perspectiva de mayores amenazas, lo que corresponde es anticiparse. Para las personas, ello implica subir el nivel de alerta que pasa por algo tan sencillo como establecer contraseñas de cierta complejidad, que sean cambiadas periódicamente. Aparte de ello, la desconfianza es la regla del juego, comenzando por el correo que se sale de lo normal e incluyendo los mensajes sospechosos de texto o las cadenas de WhatsApp.

Y en lo que corresponde a las empresas de todos los tamaños, no solo se trata de contar con más y mejores barreras sino de no depositar todos los huevos en la misma canasta. Eso quiere decir duplicar la información, guardarla en compartimentos diferentes y contar con planes de contingencia, incluyendo la recuperación de los datos.

No tener los controles adecuados o pensar que estas cosas no suceden en Colombia es un error que puede salir muy costoso. Sin duda las dimensiones son distintas, pero de acuerdo con el reporte de Perspectivas Globales de Ciberseguridad que hace poco dio a conocer el Foro Económico Mundial, en Estados Unidos el valor promedio de un “incidente” en este frente asciende a 3,6 millones de dólares y puede demorarse más de nueve meses en ser solucionado del todo.

A este respecto, vale la pena tener en cuenta que el 95 por ciento de los episodios detectados sucede por un error humano. Al igual que cuando alguien deja la ventana abierta o la puerta sin seguro, cualquier rendija es aprovechada para cometer fechorías, con lo cual la capacitación constante es una obligación.

El llamado claramente no es solo para el sector privado, sino especialmente para el público. Aparte de instituciones nacionales como las señaladas al comienzo de este artículo, centenares de entidades del orden regional y municipal están bajo amenaza, lo cual exige la profesionalización de los funcionarios.

Debido a ello, sería deseable que se compartan las experiencias de aquellos que han sido víctimas, para subir el perfil del problema. El colapso de la infraestructura informática, los robos de identidad o el ransomware son una realidad que seguirá afectando a un número creciente de personas y organizaciones. Pretender que el flagelo no existe, solo desembocará en un número mucho mayor de damnificados por la que ya podría describirse como la gran empresa criminal del siglo XXI.

RICARDO ÁVILA PINTO

Analista sénior

Especial para EL TIEMPO