Ciberataques, el nuevo riesgo que amenaza a las empresas
El hackeo puede implicar un gran daño económico y reputacional; qué recaudos toman las compañías
Pueden parar la producción de una planta alimenticia, robar las tarjetas de créditos de miles de usuarios, paralizar una clínica médica o generar un descalabro financiero. Los ataques informáticos son un nuevo riesgo que amenaza a las empresas y les puede hacer perder millones de pesos, además de causarles un gran daño reputacional.
“Es un tema que cada vez está más presente en la mesa de los altos mandos de las compañías, por el riesgo económico y reputacional que puede ocasionar en una corporación. Hay una conciencia mayor en el mundo sobre su peligrosidad, pero en la Argentina eso lleva más tiempo”, dice Franco Di Lucca, chief commercial officer de Aon.
Diego Taich, director de la práctica de servicios de consultorías en sistemas para PwC Argentina, comenta que en los últimos tiempos ha avanzado mucho esta conducta delictiva. “En los últimos años aparecen grupos organizados, con especialistas con mucho conocimiento de lo que es el delito informático, muy bien pagos y con todo el tiempo del mundo para atacar la organización. Se encuentran en la Internet profunda, a la que el usuario tradicional no puede acceder”, afirma.
Según Enzo Taibi, director de la práctica de servicios de consultorías en sistemas para PwC Argentina, en un trabajo de una semana, los ciberdelincuentes se pueden llevar 50 millones de tarjetas de crédito; por eso es un negocio altamente redituable con bajo riesgo de ser descubierto (porque se encuentran diseminados en distintos países). “A estos se les suma los activistas, que añaden a esto la ideología. También se suma el terrorismo, que ataca infraestructuras críticas (provisión de electricidad, agua y gas)”, comenta el especialista.
Las industrias target de estos delitos son: bancos, retail, salud y puntocom. “En Estados Unidos, en el área de la salud, es difícil encontrar una entidad que no compre un seguro contra un ciberdelito”, apunta Mariana Cerolini, directora adjunta de Aon. “En la Argentina la única forma de hacer un seguro contra este tipo de eventos es por la modalidad de grandes riesgos, que requiere una suma mínima de $ 60 millones”, agrega.
De todas formas, la Superintendencia de Seguros de la Nación está trabajando en la instrumentación de una modalidad que permita asegurarse por sumas menores. Esta herramienta podría cubrir cuatro aspectos afectados por el ciberdelito: denuncia de terceros, daño de activos, perjuicio reputacional y sanciones gubernamentales.
El flagelo no es menor. Y las empresas ya lo empiezan a ver. Según la Encuesta Global de Gestión de Riesgo de AON, el ítem “Delincuencia cibernética/hackers/virus/códigos maliciosos” rankea 5° en la lista de principales riesgos, mientras que hace dos años estaba 9°. Sin embargo, en la Argentina no entra entre los 10 primeros y en América latina recién aparece en el puesto 18°.
Entre los casos que afectaron a compañías u entidades en el país, se destaca el de una multinacional agrícola y el sufrido recientemente por una Municipalidad. En el primero de ellos, el 27 de junio de este año, los afectó un ransomware que aparentemente ingresó por Ucrania y se propagó rápidamente, afectando entre otros países a la Argentina y dejando paralizada la compañía. En el segundo caso, en noviembre de 2016, se produjo un hackeo utilizando “phishing” y lograron robar dinero de la cuenta de un municipio, por unos $ 3,5 millones.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, empresa dedicada a la detección proactiva de amenazas, dice que son pocas las empresas que reportan haber sido víctimas de ciberataques, por lo cual la información al respecto no es muy abundante. “Además, muchas veces las compañías ni siquiera se dan cuenta de que están siendo víctimas de un ciberataque, por lo que siguen haciendo sus operaciones normalmente”, señala.
Según dice Gutiérrez Amaya, en la Argentina particularmente, hace un par de años una empresa en Córdoba fue víctima de una amenaza de este tipo y, dado que no podía recuperar su información, decidió pagarle a los cibercriminales una suma cercana a los US$ 3000 en bitcoins. En el país y el mundo también fue atacada la firma Equifax.
David López, director de Ventas para Latinoamérica de Easy Solutions, empresa dedicada a la protección total contra el fraude (ahora parte de Cyxtera Technologies), cuenta que actualmente el método número uno para diseminar ransomware, malware y otras amenazas es el phishing. Este sistema se basa en el arte del engaño. “Mediante esquemas de ingeniería social, los atacantes se aprovechan de la curiosidad, las emociones, el miedo y la ingenuidad humana, con el fin de manipular a sus víctimas potenciales. Los criminales suelen enviar mails fraudulentos, utilizando por ejemplo el nombre de una organización para alertar a los usuarios sobre una supuesta actividad sospechosa. De esta forma, toman provecho de nuestro temor de ser afectados por una amenaza cibernética para abrir las puertas a su propio ataque”, indica el especialista.
¿Qué hacen las empresas para defenderse de estos ataques? De acuerdo a datos recolectados por el ESET Security Report, los controles asociados con medidas tecnológicas suelen tener altos índices de adopción, por ejemplo, controles como las soluciones de seguridad, el firewall o el backup suelen estar implementados en más del 75% de las empresas.
“Sin embargo, los controles basados en gestión, tales como los planes de respuesta a incidentes, las auditorías, la clasificación de información y la adopción de estándares, llegan a estar implementados apenas en el 30% de las compañías”, acota Gutiérrez Amaya.
Si bien no hay datos de lo que se invierte en seguridad informática en la Argentina, sí se puede tener una noción de lo que se desembolsa en el mundo. De acuerdo con el reporte de Markets & Markets, se prevé que el mercado de detección y prevención de fraudes en el sector de servicios bancarios y financieros crecerá de un monto de US$ 654,9 millones en 2013 a US$ 1130 millones en 2018. Y se espera que el mercado de soluciones de autenticación crezca a una tasa del 12,86% para el período 20172018 dentro del mercado de servicios bancarios y financieros.
Por otro lado, un informe de Business Insider Intelligence estimó que se gastarán US$ 671.000 millones en iniciativas de seguridad cibernética para proteger PC, dispositivos móviles y de Internet de las cosas para 2020, de los cuales US$ 386.000 millones se destinarán a la seguridad de computadoras, US$ 172.000 millones serán destinados a asegurar dispositivos IoT (Internet de las Cosas) y US$ 113.000 millones se gastarán en la seguridad de dispositivos móviles.
La Superintendencia de Seguros de la Nación trabaja en la instrumentación de una modalidad que permita asegurar estos delitos