Ciberataques: ¿Los controles y normativas internacionales son suficientes para prevenirlos?
Transitar desde un enfoque de prevención a uno en que se gestione un proceso de mitigación continuo; así como concientizar a la organización y establecer controles y cumplimiento normativo, son elementos que deben considerar las organizaciones en materia de ciberseguridad.
En el último tiempo, diversos incidentes de ciberseguridad han ocurrido en nuestro país. Estos han tenido una gran connotación, pues han afectado la continuidad de operaciones y servicios. Entre ellos, se encuentran el caso de Mercado Público, la empresa GTD, o el de la minera Gabriela Mistral, señaló Andrés Peñailillo, miembro del cuerpo académico del diplomado Avanzado de Ciberseguridad y Protección Digital de Datos que dicta la unidad de Educación Ejecutiva (UEjecutivos) de la FEN U. de Chile, en el webinar Ciberataques en Chile: ¿Es suficiente adoptar una norma estándar internacional?
En este contexto, las organizaciones tratan de proteger la información pensando “erróneamente que con un control específico o la adopción de una norma van a estar protegidos”. En ese aspecto, destacó que no basta con tener una plataforma, un Endpoint Detection and Response (EDR), un sistema Security Information and Event Management (SIEM), soluciones tecnológicas como antivirus o una normativa ISO, ya que siempre “van a haber trozos de rompecabezas que vamos a tener que ir cubriendo de alguna manera”, aclaró.
Peñailillo fue enfático en señalar que “en la actualidad los cibercriminales van cinco pasos más adelante. Están tratando de hacer estafas con clonación de voz, existe el deep fake que puede emular videos de una persona con la cara de otra persona, fotos trucadas por Inteligencia Artificial. Y eso lamentablemente se está ocupando para hacer ciberataques, estafas y fraudes a nivel mundial”.
Hoy, “se han potenciado los grupos de cibercriminales, que utilizan una conocida técnica: los Advanced Persistent Threat (APT)”, indicó. Estas utilizan técnicas de hackeo de manera permanente, que son clandestinas, cuyo fin es acceder a un sistema para extraer información sensible, esperando el momento adecuado preciso para atacar, a diferencia de lo que ocurría el año 2000, por ejemplo. “Los ciberataques tenían blancos muy puntuales y efectos mínimos. Con el ransomware Wannacry (2017), cambió la forma en la que se gestaba un ataque: apareció la propagación masiva de ransomware”, indicó.
Pese a ello –explicó– las organizaciones siguen centradas en prevenir, detectar y alertar y no es suficiente contar solo con controles o adoptar una normativa. Por el contrario, planteó que deben enfocarse en tres aspectos tratados durante el encuentro: concientización de los usuarios en las organizaciones, controles y cumplimiento normativo, y generar un equilibrio en el pensamiento positivo, que impida pensar en que esto no le ocurrirá a la organización.
“Tenemos que concientizar a las empresas y entorno (…) en recuperarnos de un desastre. Si me ocurre un incidente hoy, que haré”. En este caso, añadió que es preciso conocer los diferentes ciberataques que ocurren hoy en día y aprender lo que ha ocurrido en otras organizaciones. Se busca gestionar un proceso de mitigación continua.
En relación al cumplimiento normativo, dijo que resulta necesario capacitar y entrenar a los usuarios, haciendo ejercicios de ethical phishing. Respecto al pensamiento positivo, sostuvo que en exceso genera una falta de consciencia de los riesgos. En este caso, sirve realizar ejercicios externos de prueba de penetración de caja negra, y caja blanca, para poner a prueba los sistemas y ver si existen vulnerabilidades. Se deben “conocer tus debilidades, para corregirlas”, puntualizó.
