“Hola Andrés, ¿me podrías ayudar? No puedo abrir la puerta de mi oficina“. Fueron palabras en tono algo angustiante de mi amigo Juan (persona real pero de nombre ficticio, quien maneja una pequeña empresa familiar) al recibir su llamada una mañana en la época de retorno progresivo de manera física a los lugares de trabajo, posterior al confinamiento obligatorio causado por el COVID-19 el año pasado. Al inicio no tenía claro en qué podía servir mi ayuda ante tal petición de carácter genérico hasta que en el desarrollo de la conversación me indicó que recientemente por temas de “innovación” había adquirido un dispositivo electrónico digital con conexión a internet para usarlo como cerradura adicional a más de la tradicional para darle “mayor seguridad” al acceso a su espacio laboral. El problema radicaba en que por alguna razón el mencionado dispositivo se encontraba fuera de funcionamiento y luego de varias sugerencias brindadas a Juan que no surtieron efecto, tuvo que recurrir a otras alternativas más severas.
Habiendo logrado ingresar a las instalaciones, poco tiempo después descubre que los problemas apenas comenzaban. Recibo nuevamente otra llamada de Juan indicando que sus archivos se mostraban raros y en la pantalla se dibujaba un reloj digital en conteo regresivo. ¡Juan había sido víctima de Ransomware!, un tipo de virus informático (malware) que encripta o cifra absolutamente todos los archivos de un computador y cuyo dueño detrás del ataque exige un rescate económico para restaurar dicha información. ¡Todos sus computadores estaban secuestrados!
Al tratarse de una empresa pequeña, Juan nunca se imaginó que sería blanco de un ataque informático hasta ese día: “Nunca me va a pasar a mí”, sostenía frecuentemente. Esto es solo una muestra del alcance que puede tener un ciber delincuente dependiendo de su objetivo, el cual puede ir desde hacer pasar un mal rato, hasta crear el caos interrumpiendo operaciones, servicios o suministros a gran escala generando a su vez pérdidas económicas millonarias.
A raíz de la pandemia en el 2020 los ataques informáticos han registrado un gran incrementado a nivel mundial afectando no solo a empresas comerciales grandes o pequeñas, sino también a empresas de servicios como suministros de combustibles (Oleoducto Colonial Pipeline, EEUU), plantas de tratamiento de aguas (planta ubicada en Oldsmar, FL, EEUU), bancarios (BancoEstado, Chile), servicios digitales en la nube (Empresa Asac Comunicaciones, España) etc., desnudando así sus falencias en este ámbito. Solamente en Guayaquil, en este 2021 ya han sido tres instituciones grandes que públicamente han admitido ser víctimas de ataques informáticos: Banco del Pichincha (empresa privada), Corporación Nacional de Telecomunicaciones CNT y la Agencia Nacional de Tránsito ANT (instituciones del Estado). Imaginemos entonces, el nivel de impacto que tendría en el Ecuador si estos ataques ocurriesen en otros sectores importantes como: aduanas, plantas procesadoras de alimentos y bebidas, laboratorios farmacéuticos, fábricas de maquinarias y equipos de todo tipo, actividades logísticas, escuelas, tránsito vehicular, universidades y últimamente se ha incorporado el “hogar” debido al auge exponencial de los dispositivos Smart de uso doméstico.
Como parte de la Expoindustria 2021 edición “Alimentos, Bebidas y Proveedores” realizada por la Cámara de Industrias de Guayaquil el pasado 15 y 16 de Noviembre, se dictaron varias charlas innovadoras en cuanto al uso de la tecnología en temas relacionados al Packaging y Food Design. Sin duda fueron temas que captaron la total atención del público presente ya que se mencionaba entre otros, ciertos mecanismos para realizar trazabilidad de productos de manera digital, así como también el posicionamiento de marcas utilizando la realidad aumentada. Pero, ¿qué hay detrás de toda esta implementación tecnológica? Hoy en día los ciber delincuentes no solo hackean equipos informáticos, sino también recurren al engaño o al llamado “hackeo de la mente humana” para lograr sus cometidos. En este contexto, podrían existir numerosos riesgos en la implementación de estas estrategias al no tomar las medidas de protección necesarias. Entre ellos y de acuerdo al tipo de solución, podrían representar un objetivo de ataque directo hacia el Proveedor o por el contrario, representar una vía de engaño hacia el consumidor final. El primero podría dejar inoperativa la empresa de manera parcial o total. El segundo, podría ocasionar una reacción en cadena de ataques menores para llegar a algo más grande. Si no se toma en cuenta todos los riesgos, cualquier solución informática es vulnerable de alguna forma.
Transformación Digital, Internet de las Cosas, Inteligencia Artificial, Robots, Teletrabajo, son palabras que definen al mundo de hoy y nos han obligado a todos a cambiar drásticamente la manera de llevar nuestro trabajo, tareas personales y relaciones sociales. Por tal motivo no solamente los equipos informáticos constituyen un objetivo de un ataque, los seres humanos somos ahora el objetivo.
Un informe realizado por la reconocida compañía de seguridad Kaskpersky en agosto del presente año revela el incremento de un 24% de ciber ataques solamente en la región de Latinoamérica comparado con el informe del mismo mes en el año anterior. Este incremento significó un promedio de 35 ataques por segundo. La lista de países la lidera Ecuador (+75%), seguido por Perú (+71%), Panamá (+60%), Guatemala (+43%) y Venezuela (+29%). Costa Rica presentó un leve incremento del 2%.
El Phising (mensajes falsos) es otro de los ataques más populares realizados por los ciber delincuentes, siendo los dispositivos móviles los objetivos más comunes en Latinoamérica. Hoy en día recibimos por correo electrónico personal o corporativo muchos mensajes que nos invitan a dar clic en un enlace llamando nuestra atención de cualquier forma posible: desde que hemos sido los ganadores de un concurso hasta avisos de que nuestra cuenta de correo o redes sociales se bloqueará si no validamos nuestros datos de acceso. Sin embargo, estos engaños han ampliado su abanico de vías de transmisión incorporando ahora mensajes texto, Whatsapp, Telegram o cualquier otra aplicación móvil de chat y lo más reciente, llamadas telefónicas.
A nivel corporativo el Phishing constituye un peligro enorme porque se intenta engañar al empleado atrayéndolo con temas de interés de carácter personal e incluso laboral. Muchos ciber delincuentes envían a los empleados de las compañías correos falsos suplantando la dirección electrónica del gerente incluyendo archivos adjuntos solicitando que los abran o por el contrario solicitando que les envíen información sensible. Puesto que el remitente es el “gerente”, eventualmente el empleado sin el conocimiento apropiado caerá en el anzuelo.
Recordemos que la pandemia del COVID-19 impulsó de manera abrupta a muchos negocios, empresas pequeñas y grandes, a digitalizar de alguna forma sus operaciones, canales de venta, brindar valor agregado a sus servicios, mantener puestos de trabajo a través del teletrabajo, etc., pero ¿lo hicieron estando conscientes de que en el ciberespacio existe todo un mundo de amenazas que ponen enormemente en riesgo sus negocios?
Nos encontramos cerrando el 2021 y estos dos últimos años nos han demostrado que la concienciación no es solamente hacia personas particulares o personal corporativo, sino también hacia los gerentes y dueños de empresas que aún consideran que el tema de ciberseguridad es opcional o puede quedar para después. La nueva normalidad ha llegado para quedarse y con las herramientas digitales de la mano. La seguridad informática empresarial ya no es una opción, es una obligación y una necesidad desde el primer momento en que intervienen los recursos tecnológicos de cualquier tipo. Si alguna empresa piensa que aún no ha sido vulnerada “no está buscando lo suficiente…”.
Invito a todas las empresas pequeñas, grandes, negocios independientes o personas naturales que de alguna manera utilizan la tecnología en su día a día, que reflexionen y estén predispuesto a tomar las medidas necesarias para cuidar de sus activos digitales y que el uso de estos contribuya a su crecimiento más no al riesgo.