El secuestro de información desangra a las empresas del país

Fuente: Portafolio

En Colombia el 83% de las compañías carecen de protocolos de respuesta a la violación de políticas de seguridad informática.

Uno de los principales retos en la lucha contra el delito está en la cibercriminalidad, una actividad que se transforma constantemente para aprovechar cualquier fisura en la red con el fin de acceder a los millones de datos que en ella están consignados con información sensible de empresas y personas.

Según el último balance de la Policía Nacional sobre el cibercrimen en Colombia, en el 2017 los delitos informáticos tuvieron incremento del 28,3%, respecto al año anterior, y afectaron a 446 empresas del país. Controlar este delito no es un desafío menor, pues las autoridades se enfrentan a un crimen que también trasciende las fronteras.

Para Santiago Pinzón, vicepresidente de Transformación Digital de la Asociación Nacional de Empresarios de Colombia (Andi), en materia de prevención los empresarios todavía tienen un terreno muy importante por desarrollar, pues además es un tema que pasa por la cultura empresarial.

“Ante la realidad de un mundo digital, de una economía digital y del flujo transfronterizo de datos, uno está expuesto a que se estén generando nuevas capacidades de la criminalidad para afectar los modelos de negocio”, dijo.

De acuerdo con Pinzón, Colombia tiene una infraestructura tecnológica robusta (soluciones y aplicaciones), pero existe un déficit de personal capacitado en materia de seguridad digital.

“En el caso de Bogotá, desde la Andi hemos impulsado la formación de talento con el Sena, con quien creamos un curso de seguridad digital y ya tenemos más de 300 jóvenes graduados”, aseguró y al tiempo añadió que en Colombia, como en otros países de la región, hay más conciencia de la transformación digital, de la economía digital y de otros modelos de negocio que se constituyen en una oportunidad para tener nuevos talentos en las empresas para asegurar un mejor manejo de la información y de los datos.

Las infiltraciones a la seguridad

Entre los riesgos que afectan a las compañías del país está la suplantación de correo corporativo (tipo BEC), que puede dejar una pérdida de 380 millones de pesos en cada ataque, según el Centro Cibernético Policial.

Esta suplantación de correo tiene dentro de sus principales objetivos a gerentes o jefes de áreas financieras, ventas, comercio, tesorerías, revisorías fiscales, contabilidad, bancos, así como secretarías ejecutivas, logrando mediante engaño transferir importantes sumas de dinero.

El informe del Centro Cibernético Policial además reveló que para el 2017 se recibieron 11.618 denuncias por delitos de carácter digital, siendo los más recurrentes el hurto por medios informáticos y semejantes (60%), seguido de la violación de datos personales (16%) y acceso abusivo a un sistema informático (15%).

De acuerdo con Carlos Castañeda, experto en ciberseguridad de Unisys, los incidentes de ciberseguridad van en aumento y el 2019 no va a hacer la excepción.

“Este año será uno de los años en que veremos un mayor de número de compromisos de seguridad en las empresas. La tendencia es que crezca a razón de un 35% en este y en los años venideros. Pero este número puede quedarse corto ya que muchos ataques no salen a la luz pues no son detectados por las propias organizaciones”, advierte.

Indurtex, compañía del sector textil, ha sido una de las tantas empresas en el país afectadas por los ciberataques. Se trató de un virus que entró por el servidor y secuestró la información correspondiente a un mes de operaciones y por la cual los delincuentes exigían un pago en bitcoins.

“Me decían dónde debía comprar los bitcoin y yo lo que hice fue hablar con los expertos y la Policía que maneja estos casos. La recomendación fue no pagar la extorsión porque, al igual que como sucede con una persona, es fomentar la criminalidad. Obviamente, no se recuperó la información”, comentó Francisco Ríos, CEO de la empresa.

Y añadió: “Por lo que me dijeron los ingenieros, el ataque provenía de Rusia y en inglés daban todas las indicaciones de pago con una amenaza directa en el sentido de un nuevo ataque. Ellos son conscientes de que el rastreo es tan difícil que no se escudan en nada”.

Un caso similar vivió Diego Ochoa con su empresa Rico Pollo, en Apartadó (Antioquia). En esta oportunidad los computadores fueron bloqueados con un mensaje extorsivo para devolver la información, pero la exigencia fue la misma: pago en criptomonedas.

Ochoa tampoco pagó y el caso quedó sin resolver. Las pérdidas fueron incalculables en materia de información, pues se perdieron datos de 5 años y en equipo de oficina se tuvo que hacer una nueva inversión en software por 12 millones de pesos para comprar nuevas licencias.

“El crecimiento de denuncias es concordante con la masificación de medios tecnológicos para la interacción social, así como el acceso a la banca y el comercio”, indica el informe de la Policía y explica que lo anterior refleja que las intenciones cibercriminales desde y hacia Colombia están ligadas principalmente a los campos comerciales y financieros.

En cuanto a las tipologías criminales denunciadas ante la Policía Nacional, “se evidencia un aumento significativo en el número de estas por conductas delictivas que vulneraron la integridad personal, patrimonio económico de entidades público – privadas, así como la integridad, disponibilidad y confidencialidad de la información que circula a través del ciberespacio”, resalta el informe.

Daños colaterales

La reputación, una de las claves del éxito de las empresas, también se puede ver afectada en un caso ‘hackeo’. Cuando se conoce que una compañía ha sido víctima de robo de información el nombre y toda la organización puede estar en juego, pues la confianza de los clientes en ella se pude ver impactada.

Uno de los casos más relevantes a nivel mundial tiene que ver con Facebook, que tras la revelación de la firma de marketing político Cambridge Analytica sobre el acceso a la información de más de 50 millones de usuarios de la red social para usarla en campañas de propaganda política, la compañía llegó a perder en un solo día 119.000 millones de dólares de valor de mercado.

Las empresas no tienen conciencia de cómo un incidente de seguridad digital puede en un momento determinado generar unos graves perjuicios a la organización

Jorge Bejarano, exdirector de seguridad digital Mintic, coincide en que el tema pasa por una falta de visión estratégica de las empresas en relación con la importancia y los efectos que tiene el hecho de no adoptar medidas de seguridad para proteger su información.

“Aún las empresas no tienen conciencia de cómo un incidente de seguridad digital puede en un momento determinado generar unos graves perjuicios a la organización. Esa falta de conciencia de alguna medida se puede valorar en ese estudio del Mintic”, precisó.

¿Sin conciencia del riesgo?

Precisamente, la Gran Encuesta TIC del Ministerio de Tecnologías de la Información y las Comunicaciones da cuenta que en plena transformación digital el 72% de las empresas aún no invierten en capacitar a su personal, sin embargo el 63% considera que es muy importante que su equipo de trabajo domine las TIC.

Preocupa más que el 83% de las empresas carecen de protocolos de respuesta a la violación de políticas de seguridad informática y carecen de área o personal encargado de la seguridad informática.

“Los protocolos del Mintic no están siendo aplicados y el fondo de todo esto es cómo uno gestiona los riegos en un modelo de negocio del siglo XXI. No hay manera de asegurar que uno tiene blindada una compañía, pero hay que tener el talento, el liderazgo, la cultura y hay que estar a la vanguardia para estar al tanto de lo que está ocurriendo, porque los cibercriminales están cambiando”, recalcó Pinzón.

Cómo prevenir

Bejarano además advirtió que “los riesgos mutan y cada vez los ataques son más sofisticados. En la medida en que los procesos dependan más de las tecnologías de la información y que haya intereses por parte de los delincuentes cibernéticos de obtener ingresos a través de la afectación de las cuentas, el riesgo estará ahí”.

“Hay un concepto de apetito de riesgo, donde lo que se busca encontrar es cuáles son las medidas que resultan razonables adoptar y los recursos que se deben destinar para lograr un nivel de seguridad con inversiones de protección adecuado para la información”.

Esa valoración es un ejercicio que se hace de manera individual y para el contexto particular de la organización, los niveles de exposición de las empresas no son los mismos.