Esta es la historia de Pedro, un ciudadano digitalizado, un ciudadano que cree y apuesta en la tecnología, un ciudadano que un tiempo atrás registró sus datos en la empresa XYZ para contar con un servicio .
Una mañana cualquiera, Pedro está en casa e inicia su día leyendo en el diario digital de su preferencia. Ese día la primera plana captó su atención por un breve espacio ¡Empresa XYZ comunica filtración de datos personales de sus clientes” Líneas más abajo el periodista recalcaba que entre los datos se habían expuesto nombres, apellidos, dirección, teléfono y correo electrónico! ¡Vaya Fuga de información! Exclama sorprendido. Fin de la Historia.
Seguro que se están preguntando ¿Qué hizo Pedro al leer que sus datos personales estaban expuestos?, ¿Así acabó la historia? o si es posible que el párrafo saliera incompleto. Siento deciros que la opción es “ninguna de las anteriores”. Pedro no accionó, ni reaccionó frente a la noticia y lo cierto es que la historia está completa. Lo alarmante de esta narrativa es que representa a millones de usuarios digitales que carecen de información sobre cómo actuar frente a una noticia de filtración de datos y desconocen los efectos.
Si lo vemos a nivel de cifras, en enero de este año, “Datareportal” publicó que a nivel mundial se ha registrado el consumo de 12½ billones de horas en línea denominándolo “un nuevo hito en la adopción de Internet y récords en el uso de las redes sociales”, y que en promedio existen 5.31 billones de usuarios móviles, 4.95 millones de usuarios de Internet y 4.62 millones de usuarios activos en redes sociales. Son datos espectaculares a primera vista, pero ¿cuántos de estos usuarios conocen y aplican ciber higiene de manera autónoma, con mente clara e informada para prevenir filtraciones o fugas de información?, y sobre todo ¿Cuántos de estos usuarios actuarán como Pedro?
Pedro, es el usuario ideal para el ciber criminal, sus datos serán aprovechados en múltiples escenarios de robo digital, las probabilidades de que sufra un ciber ataque se han elevado al máximo nivel. Pedro, quizás ya tenga otros datos personales expuestos, él es ahora un punto objetivo.
Construir hábitos de Cyber higiene es la clave de la Transformación Digital exitosa de la región
La Transformación Digital ha llevado a los usuarios a interactuar con mayor intensidad con aplicativos y la Internet, pero los hábitos que aplican están generando que las cifras de ciberataques en la región vayan en aumento (países que registran un alto crecimiento de ransomware dirigido están México, Perú y Chile) [1]. Este mismo resultado se puede apreciar en el reporte más reciente de IBM “IBM Security X-Force Threat Intelligence Index 2022” donde se indica que existe un aumento en los ataques provocados por credenciales robadas (29%), que la causan más común de ataques cibernéticos es el Phishing y que el Phishing BEC es el segundo ataque más común de la región. ¿Qué tienen en común estas técnicas? Todas tienen como objetivo la filtración de datos para completar el ciberataque. Pero ver este síntoma de manera aislada, nos puede limitar en el análisis.
El usuario digitalizado no solo recibe estos ataques en el entorno corporativo, sino que al estar bajo modalidad remota el límite entre la información personal y laboral se ha ido difuminando. Así, su comportamiento frente a Internet y diversos aplicativos, pueden contener patrones de información del entorno laboral tales como utilizar la cuenta de correo empresarial para registrase a suscripciones o software libre, utilizar patrones de contraseña similares o inclusive guardar información sensible de la empresa en sus correos personales. ¿Cómo estamos educando a nuestros usuarios frente a filtraciones de datos?
Construir hábitos de Cyber higiene como parte de las estrategias de de ciberdefensa de los países
Nada nos hacía sospechar lo que iba a pasar en Costa Rica, Perú y la alerta regional que se ha levantado por los ciberataques que se vienen recibiendo por el grupo de ransomware ruso Conti.
A inicios de mayo, y sin ningún precedente similar, el presidente de Costa Rica declaró emergencia nacional por la ola de ciberataques recibidos por Conti, grupo que en un solo día generó más de 4 millones de ataques a diversas entidades públicas[2] y que ha comprometido las operaciones aduaneras, entre otros impactos. El CSIRT de Chile publicó el 11 de mayo una alerta para Costa Rica y Perú, debido a que Conti publicó en un blog en la dark web que la Dirección General de Inteligencia de Perú había sido atacada. El mismo día se recibía además alertas para México, Chile y otros países.
Mientras redacto este artículo el tema es aún incierto, y el trabajo detrás de cada país, empresas y responsables de ciberseguridad/seguridad de la información es arduo. No obstante, el ciudadano que actúa como el “Pedro” de la historia, será uno de los más afectados. Si bien es altamente reconocible que países como Chile, Brasil, México y Colombia cuentan con planes muy completos de concientización al ciudadano, ¿qué pasa con los demás países? ¿Qué debe hacer el ciudadano en medio de este proceso donde sus datos se pueden ver expuestos? La respuesta es única, debe aplicar prácticas de ciber higiene. ¿Con qué frecuencia? De manera diaria.
En ese sentido, reforzar o construir prácticas de ciber higiene en relación con la filtración de datos personales debe ser más enfático tanto de las empresas públicas como privadas de la región como un punto estratégico en sus programas de concientización, ya que, en cada exposición de datos personales, hay un dato para perfeccionar ataques de ingeniería social, un ataque de ransomware y una nueva puerta de entrada a la organización.
[1] Fuente: Panorama de los ataques de ransomware en América Latina de Kaspersky.
[2] https://expansion.mx/tecnologia/2022/05/11/costa-rica-declara-emergencia-nacional-por-ciberataques
Consultor y ejecutiva senior con más de 14 años de experiencia profesional en diversas empresas del sector privado y público del mercado peruano. Ha sido Coordinador Académico y catedrático de la Universidad de Lima en Ciberseguridad, Auditoría de Sistemas y Gestión de Riesgos. Desde el 2017 brinda asesorías profesionales independientes en auditorías SOC 2 tipo 2, exigidas por los reguladores locales y bajo rigurosos estándares de calidad. Desde este año, lidera un emprendimiento local de
asesoría y consultoría a empresas que buscan lograr el máximo potencial de sus procesos con premisas éticas, comprometiéndose en la adopción de mejores prácticas que permitan empoderar a sus líneas de control a través de sus áreas de auditoria de sistemas, ciberseguridad y seguridad de la información.
Debe estar conectado para enviar un comentario.