OEA: “La digitalización de la economía nos convierte en víctimas de hackeos”

Previo a su presentación como orador en el evento CELAES, que se llevará a cabo entre el 29 y 30 de octubre de 2018 en el Hotel InterContinental Miami, entrevistamos en exclusiva a Belisario Contreras, Gerente de Programas de Ciberseguridad de la Organización de los Estados Americanos (OEA). Este organismo está trabajando intensamente en ciberseguridad, y esto nos contaba:

TyN: ¿Cuál es el estado de la ciberseguridad en América Latina en comparación con el resto del mundo? Qué países han avanzado, y cuales siguen vulnerables?

Belisario Contreras: La región ha experimentado un avance notable los últimos años, pero aún hay mucho camino que recorrer, especialmente en lo que se refiere a la concientización. Ciudadanos, empresas y gobiernos van a enfrentarse a desafíos que aún hoy no conocemos, y es importante que estemos alerta. En 2016, OEA y BID realizamos un estudio conjunto que mostraba un nivel de madurez medio-bajo en torno a 5 dimensiones de análisis. Los primeros resultados sobre la evaluación que hemos realizado este 2018 muestran un avance general aunque con diferentes velocidades.

Este avance se concreta en resultados medibles. Por ejemplo, en políticas públicas, desde el Programa de Ciberseguridad de la OEA hemos apoyado el desarrollo de diez estrategias nacionales de ciberseguridad, estamos trabajando en el diseño de otras 3 y ya hay 5 países más que han mostrado su interés en iniciar el proceso en los próximos meses. Igualmente, desde 2004 la OEA ha apoyado la creación y mejora de Centros Nacionales de Respuesta a Incidentes Cibernéticos, que han pasado de 4 a 21 en la región.

TyN: ¿Cuáles sectores de la economía se presentan más vulnerables? Que tan preparado está el sector financiero para evitar futuros ataques cibernéticos?

B.C.: Estamos enfrentando cada día ciberdelitos más sofisticados y transnacionales. Y cada día, el desarrollo tecnológico, que está aportando innumerables ventajas a la economía, nos traerá también nuevas vulnerabilidades que hoy no conocemos. La digitalización de la economía convierte a todos los sectores en potenciales víctimas de prácticas fraudulentas. Y no sólo a grandes corporaciones. Por ejemplo, el 55% de las pymes en América Latina utiliza programas informáticos piratas. Existe una correlación entre el uso de este tipo de software sin licencia y la posibilidad de una infección de malware.

En cuanto al sector bancario, recientemente presentamos un reporte sobre el estado de la ciberseguridad y el sector bancario en América Latina y el Caribe en el que hemos detectado que, a pesar de que el 72% de las juntas directivas de los bancos reciben reportes periódicos con indicadores y gestión de riesgo de seguridad digital, sólo el 60% consideran que esta información consigue convencer a la alta dirección de las compañías para invertir en mejorar su ciberseguridad. Y eso a pesar de que el 92% de las entidades afirmaron haber recibido ciberataques en el último año. Confiamos en que este reporte ayude al sector bancario de la región a tomar acciones para mejorar su seguridad cibernética. Con estos datos tenemos que ser conscientes de que el sector bancario es uno de los más desarrollados en materia de ciberseguridad en la región, por lo que podemos imaginar que la situación de otros sectores también requiere mayor nivel de concientización y mejora.

TyN: Mucho se habla de la necesidad de colaboración entre gobierno e industria en la gestión de los riesgos cibernéticos. Como va eso, y qué falta para que eso se materialice de forma efectiva?

B.C.: Cooperación es una palabra clave en ciberseguridad. Entre estados, entre sector público, privado y también académico, entre centros de respuesta a incidentes cibernéticos, etc. El mundo digital es global, y por lo tanto las amenazas y respuestas deben ser globales en un sentido amplio.

La cooperación entre sector público y privado es compleja, pero absolutamente necesaria. El sector privado tiene la capacidad de investigación, innovación y desarrollo necesaria para encontrar soluciones a los problemas. Y el sector público tiene en mano un arma poderosa que es la regulación. Desde el programa de ciberseguridad de la OEA impulsamos la creación de marcos normativos que den respuestas a las realidades del mercado. Desde nuestros inicios hemos ayudado al desarrollo de 10 estrategias nacionales de ciberseguridad en la región, y en todos los casos lo hemos abordado como un proceso de cooperación entre todos los actores implicados: sector público, sector privado y también sociedad civil.

TyN: Cuales serían los best case y worst case scenarios en relación con potenciales ataques cibernéticos en la región?

B.C.: Una preocupación importante es la relacionada con la ciberseguridad de las infraestructuras críticas, por su enorme repercusión en la vida de todos: Sistemas de energía, salud, transportes… Proteger estos activos clave es prioridad de los gobiernos y de las empresas que en muchos casos los gestionan. Atacar con éxito una red de ordenadores particulares representa un problema a sus usuarios, sin duda, pero un ataque exitoso sobre un sistema de servicios básicos de los que pueden depender las vidas de muchas personas es una amenaza mayor, y por lo tanto evitarlo debe ser una prioridad. Este año presentamos un reporte sobre la protección de infraestructuras críticas junto a Microsoft, que reflejaba que el 35% de las infraestructuras críticas encuestadas señalaron que no tienen capacidad de detectar incidentes cibernéticos, y un 57% señalaron que no hay un presupuesto específico para temas de seguridad. Hay mucho margen para mejorar y la buena noticia es que ese proceso de mejora ya está en marcha

TyN: ¿Que instituciones públicas o privadas consideras referencia en protección cibernética, y porqué?

B.C.: Más que hacer una lista con instituciones con mejores y peores prácticas en materia de ciberseguridad, desde la OEA queremos llamar la atención sobre el hecho de que la digitalización ha llegado a todos los aspectos del mundo físico en el que vivimos y trabajamos. Cómo individuos todos estamos expuestos a que roben nuestras credenciales bancarias, nuestras cuentas de email o accedan a nuestra información personal. Igualmente, las compañías que inicialmente pueden parecer menos vulnerables son víctimas de ataques. Y las medidas que hoy tomemos para protegernos antes estas vulnerabilidades es posible que mañana no sean suficientes porque el delito sea más sofisticado o diferente. Por eso desde el Programa de Ciberseguridad de la OEA insistimos en la necesidad de estar alerta, vigilantes y en un continuo proceso de aprendizaje. No hay un umbral sobre el que ya estemos seguros, es un proceso continuo.

TyN:  De qué forma los avances tecnológicos y cambios de comportamiento han agravado los riesgos cibernéticos? Y de que forma se debe educar la populación para las dimensiones del riesgo cibernético?

B.C.: Como decía, la digitalización nos ha aportado ventajas en el plano económico y social. Son innumerables sus ventajas, desde la compra online, las comunicaciones entre personas, el Internet de las Cosas, etc… Todos conocemos o experimentamos estas ventajas. De lo que no somos tan consientes es de que todos estos avances también traen consigo riesgos que debemos conocer, y después enfrentar. Y con cada paso que damos en la digitalización aparecen nuevas amenazas desconocidas sobre las que debemos trabajar.

Por eso desde la OEA insistimos cada día en la importancia de que ciudadanos, empresas y gobiernos tomen conciencia de esta realidad. Es importante llevar estas cuestiones a la escuela, a la universidad, a los centros de trabajo, etc. Hablamos de una “ciber higiene” que nos permita adquirir hábitos saludables respecto a nuestra seguridad cibernética. Todo lo que insistamos en esto siempre será poco.