Males cibernéticos

La emergencia sanitaria impuesta por el coronavirus y, en consecuencia, el traslado de gran parte de varios sectores de actividad a diferentes formas de teletrabajo y, de las escuelas, liceos y universidades a la educación a distancia llevan implícitos una serie de desafíos propios del cambio de modalidad en cada actividad así como otros que se refieren al ciberespacio como ámbito en el que se desarrollan.
El término “virus” tan repetido en este momento debido a la pandemia, posee su correlato en el mundo virtual y allí no nos asusta tanto porque hay antivirus, cortafuegos y demás artilugios cibernético para contrarrestarlos. Y también porque lo que ese tipo de virus puede afectar no es la vida humana. No obstante, hay que tener en cuenta que la información es un recurso económico de primer orden para la mayoría de las empresas y para cualquiera de ellas perder su base de datos contable o de clientes, por ejemplo, puede resultar también catastrófico. Lo mismo con las organizaciones de todo tipo e, incluso, los usuarios particulares de terminales de computadora.
Hoy en día las rutinas de trabajo y estudio de gran parte de la población del mundo se desarrollan en ámbitos virtuales. Millones de personas trabajamos y estudiamos desde nuestras casas al punto tal que los grandes proveedores de servicios de Internet y las grandes empresas de información y comunicación han debido tomar diferentes medidas para asegurar la continuidad de sus servicios con la mejor calidad posible. ¿Cómo sería hoy sin Internet la vida y actividad de millones de personas que dependen de la “red de redes” para trabajar, estudiar, comunicarse y acceder a los servicios de telemedicina?
Por todo esto –y otra serie de cuestiones de índole muy técnicas– así como el aumento de oportunistas dedicados a robar información, realizar estafas y diseminar virus informáticos, la ciberseguridad se ha vuelto un tema relevante a distintos niveles.
Algunos problemas de ciberseguridad o fraudes a través de Internet han tenido destaque en las noticias en estos días. Por ejemplo, Interpol advirtió sobre la existencia de numerosas tiendas y vendedores falsos de productos como tapabocas y diferentes insumos médicos. En este sentido, se informó que han surgido en Internet todo tipo de tiendas, sitios web, cuentas de redes sociales y direcciones falsas de correo electrónico que dicen vender estos productos en realidad inexistentes dado que lo que se busca es blancos fáciles para engañar dada la necesidad de estos productos en el contexto de la emergencia sanitaria.
Esta situación llevó a Interpol a la difusión de un comunicado en el que se advierte a los ciudadanos sobre la necesidad de tomar las precauciones del caso y ser precavidos al adquirir suministros médicos en línea. Las maniobras van desde estafas telefónicas (los estafadores se comunican con la víctima haciéndose pasar por personal de una clínica u hospital manifestándole a la misma que un familiar suyo contrajo el virus, solicitándole el pago para su tratamiento) hasta el phishing (correos electrónicos que dicen ser de autoridades sanitarias nacionales o mundiales, engañando a sus víctimas para que las mismas brinden sus datos personales y de pago o para que abran un archivo adjunto que contiene un programa malicioso) pasando por una gran variedad de artilugios maliciosos, entre ellos la inclusión de archivos maliciosos en documentos que pretenden estar relacionados con el coronavirus.
Aquí en Uruguay un caso notorio y reciente fue la intromisión sufrida por la Asociación de la Prensa Uruguaya (APU) y la Coordinadora de Psicólogos del Uruguay que habían organizado un coloquio a través de una aplicación de videoconferencias muy en boga en estos días, el cual fue hackeado. La videoconferencia sobre “ser periodista en tiempos de COVID-19: riesgos y cuidados para su salud mental” fue interrumpida por cuestiones de seguridad al aparecer en pantalla personas ajenas a la actividad que hackearon la reunión y emitieron videos pornográficos e imágenes de esvásticas además de insultar a los panelistas.
En este contexto hay que atender varias cuestiones: la primera es la responsabilidad personal en la seguridad de la información, las medidas de prevención que puedan tomar los organismos, instituciones y empresas y, por último, la estrategia país sobre seguridad de la información.
En relación a esto último es importante señalar que Uruguay es el país latinoamericano que cuenta con la Agenda Digital más avanzada y es también, según Naciones Unidas, el país con el mayor desarrollo en Gobierno Digital de América Latina y el Caribe. El desarrollo digital implica un intenso trabajo de fortalecimiento de la capacidad del país para proteger su espacio digital, contribuyendo a la prevención, detección y respuesta a los ataques cibernéticos.
Esa tarea, que ha venido siendo liderada desde Agesic, ha permitido también que nuestro pequeño país se posicione como uno de los países más avanzados en materia de ciberseguridad aunque los desafíos en la materia aumentan día a día.
En marzo pasado fue presentada la actualización del Marco de Ciberseguridad, un documento de referencia para mejorar la ciberseguridad y las infraestructuras críticas de las organizaciones de Uruguay. El mismo provee un enfoque integral para reducir el riesgo vinculado a las amenazas cibernéticas que puedan comprometer la seguridad de la información de las organizaciones uruguayas e incluye una serie de recomendaciones de buenas prácticas para gestionar los riesgos inherentes a la seguridad de la información y al uso de las infraestructuras tecnológicas que les dan soporte, así como adoptar en forma urgente políticas de gestión de incidentes, implementar centros de datos seguros y cumplir con la normativa vigente en la materia.
El documento, elaborado por Agesic, se basa en el Marco de Ciberseguridad definido por el Instituto Nacional de Estándares y Tecnología (NIST CSF) para la mejora de la ciberseguridad en infraestructuras críticas. Está alineado con las mejores prácticas internacionales para Seguridad de la Información (como ISO/IEC 27001:2013, COBIT 5 y NIST SP 800-53 rev.4, entre otras) y tiene en cuenta la normativa vigente y las mejores prácticas sugeridas por la agencia, tratándose de un documento disponible en el sitio web de Agesic y que puede ser de utilidad para organizaciones y empresas en la situación actual.
A nivel de las conductas y prácticas individuales, es necesario recordar que las personas somos la mayor amenaza interna para nuestras empresas y los recursos de información a nivel personal: el 95% de las incidencias en ciberseguridad se deben a errores humanos, según IBM.
Las recomendaciones más básicas como ser cuidadosos al abrir correo electrónico, tener a raya el spam, cumplir protocolos de seguridad, tener buenas contraseñas y realizar respaldos de seguridad periódicos son conocidas por todos pero no siempre cumplidas aunque, también son muy necesarias.
La necesidad de continuar trabajando y estudiando ha trasladado la oficina y el salón de clase a nuestros hogares, donde echamos mano a lo que tenemos y podemos, con exigencias adicionales como aprender rápidamente a utilizar tecnologías, aplicaciones y herramientas que habitualmente no utilizamos para interactuar con compañeros de trabajo, jefes, colegas, clientes, estudiantes y docentes, además de comunicarnos también por Internet con los familiares a quienes no podemos ver cara a cara. Todo esto representa la gran oportunidad de seguir una actividad laboral o educativa en el contexto del distanciamiento social pero también es un mar de oportunidades para los ciberdelincuentes. Debemos estar atentos y dispuestos a prevenir y seguir aprendiendo. No es poca cosa ni escasa la responsabilidad.