EscucharEl jueves 18 de julio pasado se difundió un mensaje corto de texto (SMS) que prometía al usuario ganar entre $300 y $1.000 por hora. Solo había que ingresar los datos personales.
¿De dónde obtienen los números telefónicos? ¿Cómo consiguen las direcciones de los correos electrónicos? Peor aún: ¿cómo personalizan, con nombres y apellidos, los mensajes, incluyendo los que envían a WhatsApp? No es que estén pendientes de cada persona.
Los grupos de ciberdelincuentes actúan como empresas, brindan servicios en la nube de aplicaciones para atacar, tienen centros de atención a sus clientes y operan igual que una corporación internacional. Y usan lo último en tecnología, incluyendo inteligencia artificial. ¿Se puede uno defenderse?
“El ciberatacante no es que se mete en una red y en cinco minutos te hace un desastre”, dijo Andrés Gil, socio de Cyber para Deloitte Spanish Latin America. “Un evento lleva entre dos días y dos semanas, una vez que se comprometió la seguridad de la empresa. Ese es el lapso de tiempo que la empresa tiene para detectar”.
Los ataques son variados. Algunos tienen objetivos muy específicos: el robo de la identidad digital, del acceso a los recursos informáticos que maneja una persona y de la información financiera.
“Esto se potencia por las herramientas de inteligencia artificial, para lanzar ataques cada vez más sofisticados de ingeniería social (engaños al usuario). El principal problema en toda la región son las estafas al usuario. Es el mundo que nos toca vivir, donde es difícil diferenciar lo que es una estafa de lo que es algo normal”, explicó Gil.
— ¿Cuáles son los principales tipos de ataques que se están dando en este momento, además del secuestro de datos con fines extorsivos (ransomware) y el engaño mediante ingeniería social o phishing?
— Hoy, de hecho, salgo de un comité de crisis con un cliente (en Argentina). Lo estamos acompañando en un proceso de respuesta a un ciberataque. Uno de los principales es el robo de información sensible. Son actores maliciosos globales, con herramientas y redes globales, especialmente desde la pandemia.
Akira, por ejemplo, utiliza técnicas de intrusión mediante accesos remotos no adecuadamente protegidos. Roban credenciales (contraseñas) para luego escalar.
Desde hace más o menos dos semanas hay una campaña muy grande de ataques de phishing con un troyano bancario. Podemos ver múltiples ciberataques con múltiples actores maliciosos.
| Reportes de ciberseguridad |
|---|
| Resumen de informes de algunas firmas especializadas en ciberseguridad: |
| Preocupación: 77% de los usuarios latinoamericanos están preocupados por la venta de información personal sin consentimiento, 25% fue contactada por estafadores que se hacen pasar por su banco, 38% recibió un SMS sospechoso y 63% considera que la inteligencia artificial aumentará los riesgos de fraude de información, según el estudio Ciberseguridad: Protección de Datos e IA en América Latina, elaborado por Sherlock Communications. |
| Ataques constantes: Fortinet reportó que Costa Rica sufrió 882 millones de intentos de ciberataques en 2023, mientras que América Latina y el Caribe sufrió 200.000 millones de intentos de ataques. Además, el ransomware fue la actividad más significativa en el 2023. |
| Riesgos con la inteligencia artificial: según WatchGuard Technologies, aumentará el volumen y la sofisticación de las amenazas, así como su uso para crear campañas de phishing dirigidas a escala aún mayores y con alta eficiencia. |
| Herramientas adecuadas: Kaspersky subrayó positivamente la adopción de soluciones de inteligencia artificial y de Internet de las Cosas (4 de cada 10 empresas tiene previsto adoptar estas tecnologías en los próximos dos años), pero advirtió que deben adoptar soluciones de ciberseguridad con el nivel adecuado. |
| Cumplimiento regulatorio: 64% de los profesionales de riesgo y cumplimiento citaron la complejidad del marco regulatorio de protección de datos, pero menos de 10% describió como “avanzada” la madurez de su estrategia de gobernanza de datos y 49% dijo que está en la fase de desarrollo, según Moodys. |
| Fuentes: Sherlock Communications, Fortinet, WatchGuard Technologies, Kaspersky y Moodys |
— Evidentemente utilizan múltiples herramientas y mucha automatización.
— No hay una fuente. Usan varias herramientas para explotar vulnerabilidades en los sistemas de ciberseguridad, como las murallas de fuego o firewalls. Es como un ladrón que da una vuelta para ver si hay una puerta o una ventana de una casa que esté mal cerrada o rota.
Otra forma es usar bases de datos para lanzar ataques con herramientas automatizadas. Algunas son muy básicas. También tienen capacidad de desarrollo de otras.
Es un ecosistema delictivo cuyo motivo es monetizar los ciberataques. Desde la pandemia, en nuestro equipo de Deloitte, en Latinoamérica atendimos más de 200 incidentes complejos de distintos tipos. El 90% eran de ransomware.
Cualquier usuario y cualquier empresa (grande, mediana o pequeña) puede ser víctima de un ciberataque.
— ¿Qué cambió la inteligencia artificial en ciberseguridad?
— La inteligencia artificial existe hace mucho tiempo. Si hablamos de inteligencia artificial en general no ha cambiado mucho.
Lo que sí cambia son las herramientas, como con la inteligencia artificial generativa, que puede usar alguien sin conocimiento técnico para generar ataques sofisticados de fake news (noticias falsas), de phishing o para programación de sistemas de ciberataques, totalmente nuevos y más difíciles de detectar.
Lo que nosotros advertimos, y esto lo charlamos inclusive en distintos foros del Comité Global de Cyber de Deloitte y con los gobiernos, es que en los últimos tres años hay una intensificación de las amenazas a raíz de la inteligencia artificial. Viene un nuevo ciclo de ataques. Apenas estamos viendo el primer arranque.
Hoy estamos viendo el 5% o el 10% de lo que puede venir en cuanto a sofisticación de los ciberataques.
— Usted señala que 90% son ataques de ransomware. ¿Y el otro 10%?
— Son ataques de denegación de servicios (DDoS), de exploración de alguna vulnerabilidad, a veces de infraestructura, para dejarla fuera de operación.
Hay ataques para robo de información, otros específicos por industria, de robo de identidad, sobre los clientes del banco, sobre un servicio público.
Pueden tener una motivación política, para vender la información, para afectar la reputación de una empresa o institución, de espionaje industrial o por los conflictos entre países.
— ¿Cuáles son las principales grietas por donde se meten los ciberatacantes?
— El número uno: los accesos remotos en redes virtuales privadas (VPN, por sus siglas en inglés) no adecuadamente protegidos. En especial, no contar con doble factor de autenticación para ingresar a la red.
Con el teletrabajo o el trabajo remoto se disparó. Al principio, 9 de cada 10 incidentes de ransomware se originaron por no tener doble factor de autenticación.
El número dos es explotación de vulnerabilidades en los firewalls, que ocurren por falta de actualización de los parches de seguridad de los sistemas. Muchas organizaciones no hacen la debida diligencia.
El número tres es el ataque sobre las personas, mediante phishing e ingeniería social, para robar la identidad mediante engaños o porque un usuario descargó una aplicación o archivo con un software malicioso.
— ¿Qué se puede hacer? ¿Cómo defenderse?
— Lo primero que se debe tener es, lo que llamamos, higiene de seguridad. Eso es actualización de sistemas y de los firewall, y tener doble factor de autenticación. Son medidas de protección básicas.
Tener herramientas de protección más avanzadas, no un antivirus de hace 10 años. Son herramientas que operan en función del comportamiento. Si ven que la computadora está haciendo algo raro, o que está operando a una hora no acostumbrada, generan alertas. En una economía de operación diaria 7 días y las 24 horas (7x24), el monitoreo debe ser 7x24.
Hay que trabajar la educación de los usuarios, de los empleados y los clientes, pues son la parte más vulnerable.
— ¿Es posible defenderse frente a los ataques de los ciberdelincuentes, aunque estén pertrechados con lo último de inteligencia artificial?
— Sí. Siempre va a ser posible minimizar un ataque o sus impactos. Desde la pandemia las empresas entienden que hay que cambiar el chip mental y asumir que es posible sufrir un ataque. Pero que se debe tener la capacidad de detectarlo y responder.
Si una empresa o persona sufre un incidente, tu ecosistema, el mercado, la industria lo puede entender. Lo que no puede entender es que no tengas las medidas mínimas de seguridad.
