La ciberseguridad, uno de los frentes más débiles de América Latina

El 17 de abril de 2022, Jorge Mora celebraba el Domingo de Pascua con su familia cuando recibió un mensaje en el que un observador internacional alertaba de que había una brecha de ciberseguridad en el Ministerio de Hacienda de Costa Rica. Él era el funcionario más importante del país en materia de gobernanza digital dentro del Ministerio de Tecnología, pero sólo le quedaban tres semanas en el cargo. Se había elegido un nuevo gobierno que prometía “borrón y cuenta nueva” frente al anterior. Además, no quedaba presupuesto para nada.

Costa Rica había sido vulnerada por el grupo de hackers ruso Conti, que ya era conocido por los especialistas en ciberseguridad como el mayor colectivo de ransomware (secuestro de datos) que en el 2021 había extraído unos 180 millones de dólares de sus víctimas. El grupo instaló un malware en un dispositivo de la red del Ministerio, y eso fue suficiente para propagar la infección.

Los atacantes extrajeron cientos de miles de gigabytes de información, publicando una muestra en la dark web. Además, encriptaron los sistemas de la cartera, imposibilitándole al Gobierno procesar pagos o recaudar impuestos, y congelaron la agencia de aduanas. Para liberar el sistema y no publicar el resto de los datos robados, el grupo exigía 10 millones de dólares.

El entonces presidente Carlos Alvarado, a sólo tres semanas de dejar el cargo, se negó a pagar y el ataque continuó. Los hackers utilizaron un blog para insistir en sus demandas: “El Gobierno no quiere itir que no puede recuperar sus datos, y pidió ayuda a Estados Unidos. Pues bien, estamos cambiando nuestros métodos y empezaremos a atacar a las grandes empresas de Costa Rica. Tendrán que pagarnos”. Durante siete días consecutivos, una institución tras otra sufrió el secuestro y cierre de sus sistemas. Los datos personales de los costarricenses de la Agencia Tributaria se publicaron en Internet, las pensiones que debían pagarse esa semana no estaban disponibles y los procesos aduaneros tuvieron que volver al papel.

Puede ser que Costa Rica estuviese más preparada que muchos países. Como parte de su candidatura para entrar a la OCDE, la nación se había adherido a las exigentes recomendaciones de esa organización en materia de políticas de Internet en 2012, aunque el presupuesto para empezar a implementar las defensas no se materializó hasta 2017. Sin embargo, la irrupción de un grupo de hackers en un gobierno entero no tenía precedentes, era una novedad que los expertos aún no habían visto, ni esperaban.

Entre 2019 y 2021, el país había realizado dos ejercicios de ciberataques con apoyo internacional. Mora considera que esas pruebas fueron vitales a la hora de decidir cómo responder. El país también contaba con acuerdos de cooperación que se tradujeron en un rápido apoyo de España, Estados Unidos e Israel, así como de Cisco y Microsoft. Los sistemas donados y el personal facilitado sirvieron para tapar el agujero que el Gobierno no pudo solucionar.

El lunes después de que empezara el ataque, “pudimos empezar a detectar las brechas lo antes posible y a contener los daños”, dijo Mora. Pero dos semanas más tarde, él y todos los implicados en el esfuerzo ya no estaban en sus cargos y no tuvieron a nadie para pasar la batuta. “La única reunión que tuvimos con el equipo entrante fue el viernes antes de la toma de posesión”, dijo Mora.

Puede interesarle: La IA dispara los ataques con pornografía falsa

El domingo 8 de mayo, Rodrigo Chaves asumió la Presidencia de Costa Rica, y al día siguiente el país se convirtió en la primera nación en declarar un estado de emergencia debido a un ciberataque. Chaves dijo que el país estaba en guerra. Es cierto que los atacantes amenazaron con derrocar al Gobierno, pero advirtieron que se trataba de un ataque de muestra.

Los ataques continuaron, mientras Conti duplicó el rescate hasta los 20 millones de dólares y pidió a los costarricenses que presionaran al Gobierno para que pagara. En junio de 2022, el sistema sanitario costarricense sufrió una nueva ofensiva de otro hacker que provocó la cancelación de unos 30.000 procedimientos médicos, mientras que la recaudación de impuestos seguía mermada y la mayoría de los funcionarios volvían al papel.

Costa Rica nunca pagó el rescate. La invasión rusa de Ucrania, que Conti apoyaba, dividió al grupo, provocando su desaparición. Pero, como afirmaba el hacker en su mensaje, Costa Rica se convirtió en una muestra, o mejor dicho, en una lección para el resto de la región. “El ataque a Costa Rica también ha aumentado la conciencia en el exterior”, afirma Helmut Reisinger, que supervisa Latinoamérica en Palo Alto Networks. “La ciberseguridad es una cuestión política, cultural y empresarial”, recalca Mora. No un problema informático.

Por desgracia, estas advertencias todavía no han tenido mucho eco. Latinoamérica es la región menos preparada del mundo frente a los ciberataques, según la última edición del Índice Global de Ciberseguridad, elaborado por la Unión Internacional de Telecomunicaciones (UIT) de la ONU. De acuerdo con el índice y otros estudios, la región está por detrás de África y Asia Meridional en ámbitos como la creación de capacidades y la implementación de medidas legales que son necesarias para reforzar las defensas.

Latinoamérica sufrió cerca del 12 % de los ciberataques globales registrados por X-Force de IBM, a pesar de que sólo cuenta con el 8 % de la población mundial.

En parte, el problema de la región es consecuencia de una tendencia positiva: la digitalización a gran velocidad en los últimos años. La pandemia aceleró el proceso de automatización que ya se estaba produciendo tanto en el sector público como en el privado. Latinoamérica tiene una de las tasas más altas del mundo de uso de teléfonos inteligentes y redes sociales, y el comercio electrónico, la banca en línea y otros sectores están en auge. Sin embargo, el evidente talento para adoptar nuevas tecnologías ha superado a las ciberdefensas.

“El espíritu emprendedor e innovador de la región no está reñido con una preocupación por la seguridad”, afirmó Louise Marie Hurel, miembro del Royal United Services Institute y fundadora de la Red Latinoamericana de Estudios sobre Ciberseguridad. “No es una prioridad política y, con pocas excepciones, la región carece de la infraestructura de ciberseguridad necesaria”, afirmó.

En 2020, sólo 12 estados de la región contaban con una estrategia nacional en materia de ciberseguridad, lo cual se considera un primer paso para organizar la respuesta y defensa de un país. Aunque ese número ha aumentado a 20 naciones en 2023, su implementación sigue siendo un reto. Como dijo un analista de ciberseguridad: “Ha habido muchas presentaciones de PowerPoint, pero muy poca acción”.

Lectura sugerida: Los dos grandes cambios que trae la reforma laboral para los trabajadores por 'Apps'

En 2020, apenas 10 países de la región contaban con una entidad gubernamental encargada de velar por la ciberseguridad, mientras que el déficit de trabajadores cualificados se estima en 600.000 profesionales. Este vacío se ha dejado sentir en la escalada de ataques.

Los expertos estiman que Latinoamérica experimenta unos 1.600 ataques por segundo. Según la Interpol, la región batió un récord mundial de ciberataques en el primer semestre de 2020, con tres veces más ataques a través de navegadores móviles que el promedio mundial. Y aunque los hackers se centran en cualquier cosa, es especialmente alarmante la lista de ataques recientes contra gobiernos e instituciones públicas.

El sistema judicial brasileño sufrió 13 ataques consecutivos entre 2020 y 2022, paralizando servicios, posponiendo los casos de la gente y corriendo el riesgo de que se destruyeran pruebas. La Secretaría de Hacienda de Río de Janeiro no pudo recaudar ningún impuesto, mientras que los ciudadanos que necesitaban documentos tuvieron que solicitarlos en persona después de que la dependencia fuera atacada en 2022. En Quito, el gobierno municipal tuvo que suspender los servicios a la población en abril de 2022 para poder hacer frente a un ataque de ransomware.

El año previo, los argentinos encontraron todos sus datos y documentos personales a la venta en la dark web después de que un pirata informático se infiltrara en octubre en el Registro Civil del país. En el 2020, el mayor proveedor de Internet del país, Telecom Argentina, tuvo que luchar para restablecer sus sistemas después de que en julio de ese año un atacante que pedía 7,5 millones de dólares de rescate infectara 18.000 estaciones de trabajo. Este fue sólo uno de los más de 1.500 ataques reportados en Argentina ese año, un 60 % más que en el 2019, y la proyección es que el país alcance una cifra récord de ataques en 2023.

El servicio de inteligencia peruano fue atacado por Conti casi al mismo tiempo que Costa Rica, sin que se haya facilitado mucha información al respecto. Los ataques del grupo activista Guacamaya a la Secretaría de la Defensa Nacional (Sedena) de México filtraron miles de documentos clasificados y correos electrónicos privados, incluso acerca de la salud del presidente de México.

El grupo de hacktivistas también vulneró redes militares y empresas mineras en Colombia, Guatemala y Chile. La petrolera mexicana Pemex vio afectados sus sistemas de pago por un ataque en 2019, que según la empresa se contuvo a tiempo y ninguna infraestructura crítica se vio afectada.

Aunque puede resultar difícil precisar el origen geográfico de los ciberataques de alto perfil en Latinoamérica, por lo general proceden de todo el mundo, incluyendo Rusia y China y, cada vez más, de la propia región. Brasil y Venezuela se citan habitualmente como dos focos de actividad hacker. A pesar de la avalancha de ataques nacionales e internacionales, los responsables de la toma de decisiones, tanto en el sector público como en el privado, siguen considerando el ciberespacio como un problema tecnológico, algo de lo que se ocupan los equipos informáticos.

“Los líderes de los gobiernos deben trabajar con sus órganos legislativos, involucrando al sector privado y a la comunidad técnica en la asignación de recursos dedicados a la ciberseguridad”, dijo Belisario Contreras, que dirigió el programa de ciberseguridad de la Organización de Estados Americanos (OEA) y hoy es el encargado de las estrategias de seguridad y tecnología en el despacho de abogados Venable.

Recomendamos: El robot humanoide Ameca aseguró que tiene consciencia

La llamada de atención suele ocurrir después de que los sistemas hayan fallado y la extorsión haya comenzado. Matías Dib, cofundador de Hackmetrix, una startup chilena de ciberseguridad, dice que la brecha de seguridad que se produjo en el Banco de Chile en 2018—cuando se robaron 10 millones de dólares—fue un catalizador para que el país desarrollara su ciberseguridad.

Aun así, Dib asegura que hasta la fecha se encuentra con clientes que no tienen ni idea del concepto de ciberseguridad. “La mayoría de las empresas acuden a nosotros después de haber sufrido un ataque”, explica Adalberto García, especialista en ciberseguridad de Control Risks en Colombia.

Saber más sobre las amenazas podría ayudar a mejorar la conciencia sobre el tema. Pero sin leyes que obliguen a las víctimas a denunciar las infracciones cibernéticas, las empresas e instituciones a menudo tratan de guardar silencio, con el fin de proteger su reputación. “Algunas empresas prefieren pagar el rescate y acabar con el asunto, sin arriesgar su reputación”, afirma García. El objetivo puede ser recuperar sus sistemas y evitar un dolor de cabeza reputacional y legal.

Pero si nadie conoce el tipo de ataque sufrido, ninguna persona vinculada al objetivo original podrá protegerse. “El ciberespacio está interconectado como una red de carreteras, y todos los que circulan por esa autopista digital pueden verse afectados”, afirma Dib. Y el código de silencio a menudo es inútil. Los propios hackers entran en Internet para vanagloriarse o burlarse de la empresa, o simplemente filtran la información adquirida.

Cuando el conglomerado colombiano Empresas Públicas de Medellín (EPM) sufrió un ataque de ransomware en diciembre de 2022, la empresa compartió muy poca información. “EPM dijo que solo se habían visto afectados los datos de los clientes, pero estaban enviando camiones cisterna con agua a los barrios que no tenían servicio, y muchas zonas estuvieron a oscuras, sin energía, durante un largo periodo de tiempo”, dijo Camilo García, editor del blog MuchoHacker.lol.

Otros objetivos colombianos fueron atacados casi al mismo tiempo que sucedió la brecha de seguridad en EPM, lo que plantea interrogantes sobre la posible coordinación entre los hackers.

Los sistemas de las filiales del proveedor de servicios sanitarios Keralty fueron desconectados, lo que impidió a los pacientes y al personal médico recibir o prestar asistencia, mientras se filtraba información personal de los clientes a la dark web.

Para Camilo García, como las empresas no están obligadas a informar de las infracciones, Colombia se ha convertido en un arenero para los hackers. “Todos los grupos de hackers están aquí, probando ataques diferentes, ensayando para objetivos más grandes”, afirma. “Esa falta de requerimientos de información es uno de los puntos más débiles de Latinoamérica. Corresponde a los gobiernos hacer que sea obligatorio presentar denuncias”, dijo Dib, de Hackmetrix.

Durante la pandemia, los notarios de Brasil, conocidos por su predilección por el papel, desarrollaron un sistema de videoconferencia para validar documentos oficiales a distancia. Pero ese impulso hacia la digitalización de la información sensible también conlleva riesgos evidentes. “La región tiene muchas infraestructuras de vital importancia, desde los oleoductos y gasoductos de los de la OPEP hasta instituciones financieras que operan a escala multinacional”, explica Helmut Reisinger. La expansión digital avanza más rápido que la disponibilidad de talento para hacer que esos sistemas sean seguros, y eso no solo es un problema para Latinoamérica. En una encuesta realizada por el Foro Económico Mundial, el 59 % de las empresas globales afirmaron que sus equipos carecían de las competencias necesarias para responder a una brecha de ciberseguridad.

Dada la escasez de talento, en muchos países la tarea de apuntalar las ciberdefensas ha recaído en los militares. En Brasil, las fuerzas de seguridad y el comando militar de ciberdefensa se convirtieron en la columna vertebral de la gobernanza de la seguridad digital del país. “A veces convertirlo en una asunto de defensa es la mejor manera de encontrar presupuesto para la ciberseguridad”, dijo Louise Marie Hurel. Aun así, Brasil es con diferencia el país más atacado de la región, y se encuentra entre los 10 primeros a nivel mundial, según datos compartidos por Palo Alto Networks.

No todos los hackers lo hacen por dinero. El grupo activista Guacamaya, que filtró decenas de terabytes de datos robados sobre un proyecto minero en Guatemala y sobre los militares mexicanos y chilenos, dice defender la naturaleza y luchar contra la opresión, el neocolonialismo y el modelo extractivista en la región. Su principal objetivo es hacer pública la información. Reisinger afirma que los acontecimientos geopolíticos influyen enormemente en la elección de objetivos de muchos ciberactores.

Algunos hackers parecen empeñados en socavar la democracia. La manipulación digital de la información ha sido un reto constante para los gobiernos y los procesos electorales, pero los ataques directos también constituyen una amenaza. El tribunal electoral brasileño sufrió varios ataques durante las elecciones regionales de 2020, dirigidos al sistema de recuento de votos. Según el tribunal, los hackers solo consiguieron retrasar el recuento, pero eso ya fue suficiente para que los brasileños desconfiaran profundamente del sistema.

Por abrumadores que parezcan los retos, las soluciones están bastante claras. “A pesar de nuestros mejores esfuerzos, los ciberataques persistirán, al igual que la delincuencia callejera. La clave está en diseñar estrategias para minimizar estos riesgos”, señala Belisario Contreras. Implica voluntad política, tecnología, recursos, personal y, sobre todo, conciencia de que los sistemas digitales y las ciberredes son vías públicas.

Los expertos coinciden en que las políticas públicas nacionales son esenciales, pero después de diseñar y aprobar una estrategia de ciberseguridad, ponerla en práctica puede convertirse en todo un reto. “Pasar de la estrategia a la implementación es clave”, dijo Kerry-Ann Barret, gerente del Programa de Ciberseguridad de la OEA. “Promovemos que haya inversión específica en los presupuestos nacionales, al igual que todos los presupuestos tienen una partida para la defensa nacional”, apuntó.

Tanto las empresas como las instituciones públicas necesitan tener claros canales de comunicación con las autoridades, con requisitos de información que faciliten las investigaciones y eviten la propagación de infecciones. Las normas de cumplimiento resultan útiles para incitar a las personas y las organizaciones a actuar.

Barret también destacó la necesidad de preparar a los diplomáticos de la región, dado el crucial papel que desempeñan las organizaciones multilaterales y los foros internacionales a la hora de cooperar. “La amenaza aumentará casi inevitablemente, pero más que alarma, necesitamos aceptar la realidad para que dejemos de poner curitas e institucionalicemos las competencias digitales que necesitamos”, agregó Barret.

La OEA ha estado presionando a los Estados para que trabajen juntos, ofreciéndoles formación y recursos técnicos. Pero cuando se trata de colaborar, un experto afirma que la región se enfrenta a otro gran obstáculo: la confianza, especialmente entre el sector privado y los gobiernos. Para varias industrias, existe el reto adicional de cooperar sin coludirse de una manera que podría violar las leyes antimonopolio, pero las soluciones creativas son posibles.El sector financiero latinoamericano, uno de los primeros objetivos de los ciberdelincuentes, es visto por los analistas como un segmento que coopera eficazmente para evitar las amenazas.

Todos los expertos consultados por AQ coinciden en que la primera línea de defensa es bastante sencilla: La formación básica en todos los niveles de cualquier organización, e incluso en los hogares, es fundamental. Según un estudio de IBM, el error humano es la causa principal del 95 % de las brechas cibernéticas.

Antes de irse:  Internet fijo, servicio que recibió más quejas al final del 2022

“El phishing (engaño) es la razón número uno por la que las empresas resultan invadidas”, afirma García, de Control Risks, “y una vez que una persona hace clic en un mensaje infectado, las instituciones rara vez proporcionan canales internos para que lo denuncien”. Conocer el riesgo y dar la voz de alarma puede evitar que un simple descuido se convierta en un desastre mayor.

De hecho, tras el estallido de la crisis de 2022 en Costa Rica, Mora descubrió que la brecha inicial en el Ministerio de Hacienda se había detectado dos días antes de que él recibiera el mensaje del observador internacional. “Pensaban que podían ocuparse de ello internamente, que no era gran cosa”, dijo Mora. Una mejor comunicación y una mayor concientización sobre la amenaza a la ciberseguridad a la que se enfrenta Latinoamérica serían un excelente punto de partida.

CECILIA TORNAGHI (*)

AMERICAS QUARTERLY

(*) Jefa de redacción de Americas Quarterly y directora sénior de políticas de Americas Society/Council of the Americas

En febrero de este año, las autoridades de Jamaica revelaron que un ciberataque había tenido como objetivo la oficina del primer ministro. Aunque este incidente no causó la interrupción gubernamental que experimentaron países como Argentina o Costa Rica en 2022, llevó a la isla a solicitar ayuda internacional para reforzar sus ciberdefensas.

Los diálogos iniciales con Estados Unidos y organizaciones multilaterales se tradujeron en una inversión de 10 millones de dólares en forma de subvenciones y préstamos de la Agencia de Estados Unidos para el Desarrollo Internacional (Usaid) y del Banco Interamericano de Desarrollo (BID). Además, el gobierno de Jamaica destinó una inversión propia de 130.000 dólares para reforzar la ciberseguridad.

Este evento muestra la creciente necesidad de colaboración internacional para reforzar las defensas de ciberseguridad en Latinoamérica. Y Estados Unidos tiene un enorme interés en fomentar la seguridad digital aquí. En pocas palabras, una región próspera y segura fortalece a las Américas en su conjunto.

En el contexto de la gran competencia de potencias con China, los países democráticos pueden sentirse inclinados a buscar ayuda en Estados Unidos, pero muchos también se enfrentan a un delicado dilema: ¿Deberían esperar a que llegue el apoyo de Washington para grandes proyectos o deberían aprovechar la avalancha de recursos que China ofrece?

Desde la perspectiva china, el sector de las TIC se ha convertido en una de las principales áreas de inversión para hacer frente a la influencia estadounidense en la región. Empresas como Huawei han realizado importantes inversiones en el despliegue de redes 4G y 5G, con proyectos importantes en Brasil, Chile y México. Por ejemplo, en Brasil, el Programa Huawei ICT Academy ha ganado atracción, con más de 90 instituciones educativas unidas y aproximadamente 36.000 estudiantes formados desde 2013.

Además: Microsoft dejará de producir la cámara Azure Kinect para desarrolladores

Este punto de apoyo ha permitido a Pekín seguir ampliando su presencia en computación en la nube, transformación digital y comercio electrónico, centrándose especialmente en las inversiones en datos.

Una de las principales preocupaciones expresadas por Estados Unidos se refiere a la Ley de Seguridad de Datos de China, que regula la “recopilación, almacenamiento, uso, procesamiento, transmisión, suministro y divulgación” de datos dentro de China.

Estas preocupaciones giran principalmente en torno a la forma en que las empresas chinas manejan estos datos y la posibilidad de que los datos de los s, independientemente de su país de origen, queden bajo el control del gobierno chino.

Teniendo en cuenta estas realidades, Estados Unidos tiene un incentivo añadido para invertir en la protección de la infraestructura digital de los países socios, de modo que no se vean arrastrados a acuerdos abusivos con Pekín.

Estados Unidos lo ha reconocido en su Estrategia Nacional de Ciberseguridad. Esta subraya en repetidas ocasiones la necesidad de reforzar a las naciones aliadas contra los ciberdelincuentes y las naciones adversarias como China y Rusia. En consecuencia, el quinto pilar de la estrategia, titulado “Fortalecer las asociaciones internacionales para perseguir objetivos compartidos”, se enfoca en mejorar la resistencia de los países a las amenazas cibernéticas.

Este esfuerzo implica aprovechar las alianzas internacionales ya existentes, reforzar la resiliencia digital y garantizar la seguridad, fiabilidad e integridad de las cadenas mundiales de suministro.

A medida que nuestro mundo se entreteje más en términos digitales, la importancia de la colaboración internacional para respaldar a las naciones en desarrollo se vuelve primordial para hacer frente a las ciberamenazas y a las entidades oportunistas presentes en el ciberespacio.

AUTOR: Randy Pestana, director asociado de política de seguridad cibernética en el Instituto de Políticas Públicas Jack D. Gordon de la Universidad Internacional de Florida. Americas Quarterly.

Este artículo fue editado por cuestiones de espacio.