David Livingstone, investigador inglés de Chatem house, trabajó en el área de ciberseguridad en las fuerzas armadas de su país desde el año 97. Es experto en infraestructura nacional crítica, y tiene una práctica de 21 años en ciberseguridad para reducir el riesgo de los servicios financieros.

En la actualidad, el término “ciberseguridad” puede asociarse con palabras como ciberespacio, ciberamenazas, cibercriminales, y otros conceptos compuestos.

Hay una percepción general sobre lo que representa; en ocasiones puede utilizarse como sinónimo de seguridad de la información, seguridad informática o seguridad en cómputo, pero esta idea no es del todo correcta. La ciberseguridad busca proteger la información digital en los sistemas interconectados. Está comprendida dentro de la seguridad de la información.

Ciberseguridad

“Se trata de la protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas respectivos que se encuentran interconectados”, señaló Livingstone en la Conferencia denominada “Ciberseguridad en la era digital de los mercados financieros”, organizada de manera conjunta por la Bolsa Boliviana de Valores (BBV) y la Embajada Británica en La Paz.

La norma ISC 27001 define como “activo de información” a los conocimientos o datos que tienen valor para una organización; mientras que los sistemas de información comprenden a las aplicaciones, servicios, activos de tecnologías de información u otros componentes, que permiten el manejo de la misma.

La idea de los mecanismos colaborativos, sobre todo en términos no normativos y con la participación del regulador, es compartir información entre bancos e instituciones financieras. No va a pasar necesariamente si está presente el regulador, porque lo que se busca es mejorar la capacidad de seguridad informática en las instituciones financieras.

Si los que efectúan ataques planifican y calculan cual va a ser su rendimiento en términos de negocio, podrían ver a Bolivia como un objetivo fácil donde no se detectarían sus ataques; si hay mucho riesgo o poco riesgo, entonces van a proceder o seguirán con otro objetivo.

Educación y trabajo en equipo

Las entidades financieras compiten entre ellas, en tasas y productos, para fidelizar a sus clientes o captar nuevos. Pero en temas de seguridad informática deberían dejar la competencia y trabajar juntas y de manera colaborativa, para hacer frente a los ataques de hackers y cibercriminales que roban información, datos y dinero.

“Debemos compartir información, experiencias, y las mejores prácticas. Si alguien sufre un ataque y desarrolla una solución, tenemos que compartirla en todo el sector de la banca”, sostuvo Livingstone.

Explicó que los ciberataques no sólo afectan en la pérdida de información y dinero, sino también en la reputación de los bancos y en su desvalorización. Recordó, en su experiencia, que una empresa del rubro financiero fue atacada por un hacker de 17 años, quien desde su dormitorio logró ingresar a la base de datos de clientes y tarjetas de crédito de la institución y pidió dinero para devolverla.

Comentó que cuando la presidenta de esta financiera fue consultada si sabía qué datos se habían robado, ella dijo: “la horrorosa verdad es que no”. Esta situación provocó la pérdida de confianza y abandono de sus clientes, y la inmediata caída de sus acciones en el mercado de valores. Mientras que, al atacante, la Policía sólo le decomisó su computadora y su celular.

Livingstone también sugirió tomar acciones colectivas entre gobiernos, reguladores, instituciones financieras y la sociedad en general, donde tengan conocimiento del tema, desde el ministro del área hasta el último cajero del banco, o desde el presidente de la empresa hasta quien realiza el servicio de limpieza, para prevenir los posibles ataques y poder tomar buenas decisiones.

La previsión es la clave. No es cuestión de que las empresas financieras piensen en si va a suceder el ataque, sino cuándo va a suceder éste, puesto que la amenaza ya está presente. Por ello es fundamental que los países tengan programas para mitigar y controlar riesgos.

“Debemos compartir información, experiencias, y las mejores prácticas. Si alguien sufre un ataque y desarrolla una solución, tenemos que compartirla en todo el sector de la banca”.
David Livingstone, investigador inglés de Chatem house

Según Livingstone “no es ético mencionar que un banco o una empresa particular sufre un posible ataque en su sistema financiero, porque puede afectar el valor de la empresa”.

El experto también sugirió utilizar inteligencia artificial para desarrollar soluciones ante un eventual ataque cibernético. Jamás la banca va a ser segura 100%; lo que se tiene que asegurar es que se tenga el nivel mínimo de riesgo posible, minimizar las pérdidas, caso contrario se perderá la confianza en el sistema bancario en todo el mundo.

La mayor debilidad para que se concreten los ciberataques está en el usuario, en quien apenas se invirtió el 20% de los recursos destinados a la defensa. Son ellos a quienes, mediante mecanismos digitales engañosos, les sacan información restringida.

Es fundamental tener una hoja de ruta clara; que los países tengan sus programas establecidos para mitigar y confrontar estos riesgos.

¿A quiénes estamos enfrentando?

En términos de amenazas a nivel estatal, pueden ser otros países que deseen interferir en la infraestructura nacional crítica, los que podrían alterar los sistemas financieros a través de bandas o grupos criminales organizados para atacar a los bancos y luego desaparecer.

También se tiene como amenaza a los terroristas, incluyendo a las sectas que quieren acabar con el mundo porque son apocalípticos; grupos de presión, por ejemplo, ambientalistas o hackers individuales. El problema es que existe una combinación de todos estos atacantes que podrían estar hablando incluso por parte de otras naciones.

Es muy difícil descubrir quién está iniciando el ataque y atribuirlo a alguien. En los bancos se tienen objetivos estratégicos. Se sabe dónde se va y se hace una conversación sobre eso. “En esta sala hay un televisor, o un micrófono. Cuando estamos hablando de nuestra estrategia, de cómo vamos a llegar a nuestros mercados, qué bonos vamos a emitir, qué acciones vamos a comprar… ¿cómo sabemos que esa información que estamos hablando, no está siendo escuchada por alguien de afuera?”, se pregunta Livingstone.

El ciberespacio se está convirtiendo en un campo de batalla, donde los países como Estados Unidos, India, Alemania, Rusia, Afganistán, Corea del Norte y China tienen capacidad real de efectuar ciberataques, porque han invertido en crear y desarrollar agencias especializadas para la defensa y ataque.

Esto no solo se debe a su poderío económico que les permite atacar en este nuevo ámbito virtual, ya que solo es necesario contar con una conexión a Internet, conocimientos técnicos de redes, sistemas operativos, programación, entre otros. Con estos elementos se puede paralizar uno o varios países, por la simple acción de una serie de códigos de programación especializados en identificar vulnerabilidades, y aprovecharlas para borrar información, encriptar, bloquear el acceso a Internet, tomar el control de uno a varios equipos de cómputo, y todo esto con la seguridad de que es casi imposible identificar al agresor.

Aún queda mucho por hacer en la identificación de cibercriminales. Quizás ese sea el motivo por el cual no se haya presentado una ciberguerra: al no tener la certeza de la fuente desde donde se realiza el ataque, las razones y quién o quiénes lo financian, no es posible que los Estados declaren una guerra.

Pero no cabe la menor duda de que se está trabajando en la identificación del agresor, pues la cantidad de amenazas que se presentan todos los días, y el costo económico de los ciberataques, se cuadruplicará en 2019, llegando a 2 trillones de dólares. También hay esfuerzos como los que realiza el EWI y la ONU en regular y proveer mayor seguridad en el ciberespacio, sin dejar a un lado a la BSA Software Alliance, que generó la Unión Europea Cybersecurity Dashboard.

Actualización permanente

El gerente general de la BBV, Javier Aneiva, señaló que la conferencia internacional fue organizada con el propósito de gestionar espacios que generen conocimiento y permitan intercambios de experiencia, puesto que la Bolsa considera que el mercado financiero debe estar continuamente actualizado para realizar acertadas proyecciones sobre los negocios y tomar decisiones fundamentadas.

Señaló que se eligió la temática de la seguridad informática con el objetivo de disminuir la posibilidad de que los ciberataques se concreten y se actúe efectivamente de forma coordinada entre todos los involucrados potenciales.

“Hoy la ciberseguridad nos impone un reto extra, puesto que en la infraestructura de los mercados financieros ésta es crítica”, dijo Aneiva.

Las amenazas cibernéticas tienen una naturaleza muy dinámica y están en continua evolución; por lo tanto, el intercambio de información, y particularmente la cooperación internacional y sus experiencias, son elementos clave para que las empresas del sector financiero nacional puedan implementar estrategias que permitan que sus operaciones electrónicas, mediante internet, sean más seguras.

Con esta conferencia se trata de llegar a que el sector financiero cuente con mayor grado de digitalización para su seguridad.

Las amenazas de los ciberataques

A medida que los ciberataques se reproducen exponencialmente en todo el mundo, las tensiones geopolíticas afianzan su dominio del ciberespacio y las bandas criminales apuntan de manera cada vez más sofisticada contra las instituciones financieras.

¿Cuál es la situación de América Latina y qué puede esperarse para 2019?

La compañía de ciberseguridad rusa Kaspersky Lab, fundada por Eugene Kaspersky en 1997, durante una conferencia de prensa en Moscú, presentó su reporte para la región en 2018, el año en que numerosos bancos perdieron millones de dólares en ciberataques, y adelantó cuáles serán los focos de tensión.

Hasta noviembre de 2018, dice Kaspersky Lab, se detectaron 1.368.302.060 ataques de malware (software malicioso diseñado para infiltrarse en sistemas y provocar daños) en toda la región, es decir 3.748.772 por día. Se trata de un aumento del 14,5% con respecto al periodo anterior. Los países que registraron mayor incremento fueron Argentina (62%), Perú (39%) y México (35%).

El ciberespacio se está convirtiendo en un campo de batalla, donde los países como Estados Unidos, India, Alemania, Rusia, Afganistán, Corea del Norte y China tienen capacidad real de efectuar ciberataques, porque han invertido en crear y desarrollar agencias especializadas para la defensa y ataque.

Se registraron 70.145.271 ataques de phishing (engaños diseñados para hacer que la víctima entregue información personal), lo que significa 192.178 al día y un aumento del 115%. En este caso México fue el país que registró el mayor aumento de ataques (120%), seguido de Colombia (118%) y Brasil (110%).

Además, los ataques de criptomonedas, cuando los atacantes utilizan malware para forzar computadoras que se niegan a proveerles de este instrumento de intercambio de creciente valor, aumentaron de cinco millones en 2017 a 20 millones este año.

Contacto Económico