LA SEGURIDAD DEBE SER PRIORIDAD PARA LOS GOBIERNOS: VESTIGA CONSULTORES.
Entrevista con Carlos Estrada, director de Operaciones en Vestiga Consultores
El aumento en los delitos informáticos está haciendo necesario contar con una regulación que castigue este tipo de crímenes, dijo Carlos Estrada, director de Operaciones en Vestiga Consultores, firma de consultoría de negocios y seguridad cibernética. En entrevista con Tech Bit, señaló:
¿Cómo ve legalmente el mundo los delitos cibernéticos?
—En Estados Unidos y Europa, cuando se denuncian casos de fraude o de robo, se tienen una jurisprudencia para que los propios jueces hagan la petición de un análisis cibernético que denominan como “Electronic Discovery” que les ayuda a resolver este tipo de incidentes el 80% de las veces. Por el contrario, en México solo en el 20% de los casos se emplea esta herramienta porque, las normativas que tenemos van en contrasentido de lo que pasa en el mundo. En el país cualquier mail está considerado como comunicación privada, por lo cual solamente se puede revisar cuando hay una autorización de un juez, esto perjudica a los gobiernos y empresas directamente, porque el tiempo para obtener ese papel que permite tener acceso a un correo es muy tardado. Además, en nuestro país si se llega a comprobar que una persona realizó un fraude e incluso confiesa su culpa solo es sancionado con una multa de 3 mil a 5 mil pesos.
En México ¿qué institución o empresa es la más capacitada para hacer investigaciones forenses en delitos cibernéticos? —Sería la UNAM, porque ahí se ubica la Dirección General de Cómputo y tienen lo que se denomina CERT (Equipo de Respuesta ante Emergencias Informáticas, por sus siglas en inglés), una instancia que de manera permanente monitorea las nuevas amenazas, como virus, malwares y otros códigos. Aunque, uno de los problemas principales que presenta es que se rige por los tiempos de la universidad, en donde dos veces al año tienen vacaciones largas y dejan el sistema sin una protección. Por ejemplo, el año pasado, el ataque de Wannacry sucedió cuando la universidad estaba de vacaciones, y como instancia académica, no puede dar respuestas tan acertadas cuando ocurren estos incidentes.
¿Qué medidas están tomando los países para contar con organizaciones que den respuesta y solucionen a estos conflictos? —Algunos países están optando por crear dependencias híbridas, es decir en donde gobierno, empresas y universidades trabajen en conjunto para siempre estar al tanto de cualquier ataque y dar soluciones. También buscan desarrollar leyes nacionales de protección digital, por ejemplo la India, China, Inglaterra, Israel y el máximo ejemplo de esto es Singapur en donde se han desarrollado leyes para tener más herramientas prácticas y resolver cualquier problema. El mayor reto es que estamos hablando de un campo complejo que requiere de análisis legales para conocer los alcances de algún peritaje cibernético. Por otro lado, se necesitan resultados geopolíticos para estimar el rango que podrían alcanzar algunas de las amenazas informáticas.
¿Que países, considera, están a la vanguardia en el tema? —Esto muchas veces se ve como una comparación y nuestro referente inmediato es Estados Unidos. Cuando Donald Trump llegó al poder enco- mendó al exalcalde de Nueva York, Rudolph Guiliani, ser el encargado de los temas de ciberseguridad, entonces se generó un cambio y se empezó a considerar un ataque cibernético como si de una bomba se tratase. Lo que hizo fue quitarle a la Agencia de Seguridad Nacional (NSA) toda la unidad que se conoce como Comando Cibernético, lo que quiere es dejar esta dependencia a la altura de una Secretaría. Por el contrario, en México se ha comenzado a dar más peso a este tema, es por ello que ,a mediados del 2016, se creó en la SEDENA el primer comando especializado en el área y, la PGR también tiene el suyo para mantenerse actualizado.
¿Qué hace falta para se tomen en serio estos delitos?
—El talento nacional es el que está haciendo falta. Al ritmo actual, para poder cubrir la exigencia de expertos en cómputo, se necesitarían entre 10 y 12 años de generaciones de egresados de instituciones como el Tecnológico de Monterrey y, por supuesto, la UNAM, que son de las universidades más avanzadas en el área. Aquí es donde las empresas juegan un papel importante y pueden ahorrarse estos saltos de tiempo si comienzan a optar por subcontratar a algunas firmas especializadas, como ya se hace, por ejemplo, en Corea del Norte, donde, conscientes de que no cuentan con la capacidad suficiente para solucionar sus problemas cibernéticos, contratan mercenarios digitales, muchos de los cuales son rusos y chinos. Lo que ha hecho el gobierno mexicano en ese sentido es, para la Policía Federal y el Ejército, subcontratar los servicios de empresas para que realicen algunos análisis o en algunos casos comprarles su software.
¿Qué es el Atlas Nacional de Riesgos Cibernéticos? —Dentro de las propuestas que se tienen a nivel internacional es que cada nación elabore una lista detallando cuáles son sus principales infraestructuras críticas de información. Lo que hizo México, en 2017, fue lanzar una convocatoria abierta a organizaciones y especialistas en el área que quisieran colaborar en el desarrollo de la estrategia nacional pero, lo que hace falta, es precisar cuáles son aquellos puntos de mayor vulnerabilidad que podrían ser de interés a un atacante externo.
¿Cuáles serían los blancos preferidos de un cibercriminal? —Lo que se ha visto en muchos países es que los ataques primero van sobre la infraestructura eléctrica. Otro punto vulnerable es el transporte, como el metro o las carreteras. También podrían atacar las telecomunicaciones como a Telcel u otros operadores de telefonía celular. Por último, la banca también es uno de los blancos más elegidos por los cibercriminales. Por ejemplo, en Ucrania, que se ha convertido en uno de los epicentros de las guerras cibernéticas: durante toda una semana tiraron la operación del 80% de los cajeros automáticos. Los criminales incluso también pueden llegar atacar a escuelas y hospitales. Nosotros detectamos que una red de criminales informáticos estaba atacando a médicos, interviniendo sus correos electrónicos con el propósito de extorsionarlos, vaciar sus cuentas bancarias y hasta lavar dinero, entre otros delitos.
«Algunos países están optando por crear dependencias híbridas para siempre estar al tanto de cualquier ataque»
«Los ataques primero van sobre la infraestructura eléctrica. Otro punto vulnerable es el transporte»
«Al ritmo actual, para poder cubrir la exigencia de expertos en cómputo, se necesitarían entre 10 y 12 años de generaciones de egresados de instituciones como el Tecnológico de Monterrey y la UNAM»