Sólo en América Latina se registró un aumento de +90% en el volumen de transacciones, y casi en paralelo, hubo un aumento de +102% en los ciberdelitos*.
Lo alarmante y desafiante del contexto actual en esta materia es innegable, y ha colocado a la ciberseguridad en el centro de las agendas no sólo de las entidades financieras sino también de los PSPs.
Esto último derivó, a su vez, en una mayor presencia del regulador en aspectos asociados a la seguridad de la información, y en una priorización diferente de los mismos por parte de las entidades reguladas.
Contar con un marco de gestión y control de los riesgos de seguridad de la información que sea adecuado y guarde estricta relación con los servicios provistos, pasa a ser prioritario; no sólo por los requerimientos específicos del regulador, sino porque las propias entidades han constatado que, mantener una actitud indiferente en este escenario, puede derivar en daños de diversa índole y de gran magnitud.
Para profundizar en algunos de los temas que generan mayor interés en la actualidad, convocamos a Pablo Huerta, CISO de Penta Security Solutions. Pablo es Magister en Seguridad Informática por la Universidad Internacional de la Rioja y trabaja hace más de 20 años en el ámbito de la Tecnología y Seguridad de la Información colaborando en diferentes Industrias reguladas y no reguladas como así también empresas en Latinoamérica y Europa.
Entrevista
- Contando con tantos años dedicados específicamente a la ciberseguridad ¿creés que en el último tiempo se evidenció un verdadero auge en la materia?
Sin dudas. Por dar un dato interesante, un estudio de ISC2 revela que la fuerza laboral global de ciberseguridad en 2022 estuvo en su punto más alto, con un estimado de 4.7 millones de profesionales. Esos datos también revelaron que había un déficit de 3,4 millones de trabajadores de ciberseguridad para proteger los activos de manera efectiva a nivel mundial. - ¿A qué atribuirías ese mayor interés o protagonismo?
En gran medida lo atribuyo al efecto que produjo la pandemia del COVID-19 con el incremento de los ciberdelitos. No sólo el trabajo tradicional se adaptó a teletrabajar, sino así también los delincuentes. Entre febrero y marzo de 2020 la INTERPOL se hizo eco en que los registros de sitios webs maliciosos ─malware y phishing incluidos─ habían aumentado un 569 %, mientras que los registros de sitios web de alto riesgo habían subido un 788 %. - ¿Considerás que es sólo una tendencia pasajera? ¿O es un tema que estará cada vez más presente en las agendas del sector?
Para nada es una tendencia. De la misma forma en que el trabajo híbrido ha venido para quedarse y la nube es el apoyo para la forma de trabajo de las organizaciones; la ciberseguridad tiene que ir de la mano para permitir prevenir la materialización asociada con el accionar de los ciberdelincuentes. - La ciberseguridad es muy costosa. ¿Mito o realidad?
Mito. Como sucede con la adopción de la tecnología, en donde nos encontramos con la posibilidad de comenzar de una forma no tan costosa, lo mismo ocurre con la ciberseguridad. El alto costo se presenta cuando trabajamos en ser más efectivos. - ¿Se puede robustecer la seguridad aunque se cuente con escaso presupuesto a tales fines?
Siempre existen opciones de bajo costo en relación a la ciberseguridad que pueden ser implementadas para mitigar los riesgos de ciberseguridad de las organizaciones.
Algunos ejemplos de soluciones o servicios que permiten robustecer la seguridad y son sin costo para sus funcionalidades básicas, permiten:
– Llevar un registro de incidentes.
– Recopilar eventos de ciberseguridad en forma centralizada para su posterior análisis y generación de alertas.
– Identificar vulnerabilidades tecnológicas existentes en la infraestructura.
– Frenar ataques cibernéticos de tecnologías web.
– Utilizar certificados digitales válidos.
– Monitorear fugas de información de accesos. - ¿La ciberseguridad es una cuestión que corresponde solamente a las áreas de SegInfo y tech dentro de una organización?
La ciberseguridad es responsabilidad de todos. Una prueba de ello es que en muchas situaciones los ciberataques exitosos se relacionan con la intervención de áreas distintas a SegInfo y Tech. - ¿Qué recomendación o consejo les darías a aquéllas organizaciones que están dando sus primeros pasos en el armado de su marco de gestión de seguridad de la información?
Pensar en riesgos asociados con el uso de la tecnología y no sólo aplicar buenas prácticas. Las buenas prácticas son una guía pero un esfuerzo innecesario si no tiene una mejora directa a la ciberseguridad dentro de la organización. - Vemos un rol más activo del regulador en esta materia. ¿Qué opinión te merece el reciente avance de la regulación?
Lo veo como una respuesta a dos situaciones: 1) el incremento en el uso de tecnología móvil 2) el incremento de ciberataques y fraudes digitales. Era necesario que se estableciera una base mínima de ciberseguridad. - Hablemos de tendencias. ¿Cuáles podrías decir que son los ciberdelitos más frecuentes? ¿Hay alguna modalidad reciente que llame particularmente la atención?
La virtualidad de las transacciones electrónicas ha impactado directamente en los ciberdelitos. Hay mucho foco en los dispositivos móviles. Es una realidad que el usuario financiero está tendiendo a realizar todo desde su celular. Esto ha hecho que los ciberdelincuentes presten especial atención a cómo lograr el robo de credenciales (usuarios y contraseñas) y/o el engaño en la ejecución de transacciones electrónicas.
Algo a tener en cuenta es que se está presentando una modalidad híbrida. Por un lado, se llama a la víctima para brindar una falsa “asistencia telefónica” interactuando con personas reales o sistemas automáticos telefónicos para guiarla en el robo de su identidad o ejecución de transacciones financieras fraudulentas; y, por otro lado, se busca robar información o instalar malware en los celulares. - Finalmente, ¿En qué estimas que deberán enfocarse los actores del mercado financiero y PSPs para resguardar la seguridad de los servicios financieros digitales?
En primer lugar, hay que tener en cuenta que la reciente normativa pretende trascender a las Entidades financieras y PSPs e involucra a otros actores como son proveedores y clientes.
Si hablamos de desafíos, la gestión del riesgo es fundamental para la toma de decisiones en ciberseguridad.
Un foco a prestar principal atención son los terceros que sean calificados de importancia por parte de Entidades Financieras y PSPs, dado que ellos también tienen que empezar a cumplir con los requisitos de ciberseguridad.
Sin olvidar que hoy en día se pretende internalizar que no sólo hay que cumplir con los requisitos mínimos dentro de casa (dentro de las Entidades y PSPs), sino hacerlos cumplir en el ecosistema financiero.
Como resultado de esta nueva forma de trabajo se espera lograr disminuir la materialización de ciberataques, muchos de los cuáles han sido de público conocimiento y no sólo han afectado a Entidades Financieras en particular sino a medios de pagos y billeteras en general dejando, incluso, sin operar funcionalidades durante semanas.
* Fuente: Informe de Lexis Nexis Risk Solutions sobre el ciberdelito (enero-diciembre 2022)
URLs de interés
LINEAMIENTOS PARA LA RESPUESTA Y RECUPERACIÓN ANTE CIBERINCIDENTES (RRCI)