Ciberseguridad: ¿Qué son las vulnerabilidades y cómo afectan a las organizaciones?
La sofisticación de las amenazas avanza más rápido que la industria de protección en todo sentido. La magnitud del problema se acrecienta por el fenómeno de la transformación digital e intensidad digital, que permite explotar diversas vulnerabilidades existentes, convirtiéndose en uno de los principales problemas de seguridad del país.
Una vulnerabilidad es una debilidad de un sistema utilizada por un cibercriminal, para robar datos o dinero, comprometiendo la confidencialidad, integridad y disponibilidad de un activo importante para la organización, como la información de clientes, minutas de directorio, planes de fusiones y/o adquisiciones, el servidor de una página web, entre otros. Estas pueden presentarse, a través de hardware, software, página web, incluso, en personas, siendo algunas más vulnerables que otras, debido a falta de capacitación en temas de ciberseguridad, o su tipo de personalidad más curiosa o impulsiva que el promedio, razón por la cual será más vulnerable o presentará mayor riesgo para la organización.
Las vulnerabilidades funcionan en base al problema económico de oferta y demanda, conocido como economía de las vulnerabilidades, que es un mercado dinámico, sofisticado y desarrollado, en donde los delincuentes que se dedican a detectarlas, y venderlas y así fabricar malware o una Amenaza Avanzada Persistente (APT), que hará uso de esa vulnerabilidad para cometer delitos.
Una manera de conocer el estado de las vulnerabilidades a nivel país, se puede relacionar al nivel de ciberseguridad nacional, por medio del nivel de protección existente, que, en el caso chileno, según el último Índice de Ciberseguridad Global (GCI), confeccionado por la International Telecommunication Union (ITU), posiciona al país en el lugar 74, ubicándonos en séptimo lugar en la región. El GCI es una referencia que mide el compromiso de los países con la ciberseguridad a nivel mundial, para crear conciencia sobre la importancia y las diferentes dimensiones del problema.
Los aspectos que evalúa este informe son: a) Medidas legales y técnicas, c) Medidas organizativas, d) Desarrollo de capacidades y e) Cooperación. Con el nivel de avance de Chle en materia legislativa, en relación a la futura ley de protección de datos, la Ley Marco de Ciberseguridad y lo relacionado a infraestructura critica, mejoraremos la posición en este índice.
Si bien es un avance, un aspecto que puede ser perjudicial en el tema de vulnerabilidades, es la deuda técnica en Ciberseguridad. El concepto nace de la deuda en tecnología e, inicialmente, de la deuda financiera, como ocurre cuando las personas toman un crédito a una cierta tasa, para adquirir un préstamo y bienes o servicios, cuya deuda la tomamos a 3 ó 4 años.
Esto implica tomar un atajo para cumplir con objetivos de corto plazo, como la entrega de un servicio y/o producto, una nueva página web o funcionalidad, a expensas de la ciberseguridad, lo que se puede interpretar con no realizar hoy, por ejemplo, las pruebas correspondientes de Ethical hacking de una nueva solución, sino que dejarlas para el mediano o largo plazo, poniendo en producción un nuevo sitio web con vulnerabilidades.
El efecto de la deuda técnica más visible en las organizaciones es la obsolescencia tecnológica, como, por ejemplo, la utilización de Windows NT, sistema operativo que presenta una serie de vulnerabilidades conocidas y que aún funciona en muchas organizaciones en el país.
La problemática que enfrenta la ciberseguridad sigue siendo la misma que en años anteriores: existen múltiples amenazas, vulnerabilidades y recursos escasos, aunque es importante mencionar que la seguridad absoluta no existe. No se trata de tener una billetera sin fondo, sino que lo relevante es el apetito al riesgo en ciberseguridad y una gestión avanzada de riesgos en ciberseguridad.
José Antonio Lagos
Profesor UEjecutivos
Facultad de Economía y Negocios
Universidad de Chile
