Según estimaciones del Registro de Direcciones de Internet de América Latina y Caribe ( LACNIC por sus siglas en inglés), el cibercrimen le cuesta a América Latina alrededor de $90,000 millones de dólares al año.
Los países más afectados son Brasil y México, seguidos por Colombia (21.73%), Argentina (13.94%), Perú y Ecuador, ambos con el 11.22% de los ataques recibidos de la región, según una publicación de Dinero.com.
“El sector más afectado por este delito es el financiero (75.29% de los ataques), el segundo es el Gobierno (10.56%), le siguen las industrias de comunicaciones (8.41%), energía (3.71%), industria (1.98%) y comercio (0.05%)”, detalla la nota.
La firma global ESET, encargada de ciberseguridad para empresas y prevención de robo de datos, elabora todos los años el ESET Security Report que informa sobre el estado de la ciberseguridad en Latinoamérica. Según el último reporte- publicado a inicios de 2020- el 16.5 % de las empresas de Latinoamérica asegura haber sufrido accesos no autorizados a su información. Además el 13.8% ha sido víctima de ataques de ingeniería social (manipulación y engaño).
También en El Salvador
En el caso de El Salvador, según el reporte de ESET, el 15.4% de las empresas han sido víctimas de accesos indebidos a su información, mientras que el 13.11% de ataques de ingeniería social como el Pshishing (pesca de información).
En 2016, la Asamblea Legislativa aprobó la Ley Contra Delitos Cibernéticos y Conexos que tipifica más de treinta delitos de esta índole, y los castiga con cárcel.
En esa línea, la jefa de la Unidad de Patrimonio Privado de la Fiscalía General de la República ( que prefirió omitir su nombre), reportó que desde 2019 a la fecha hay 66 casos de delitos contra el patrimonio ligados al ciberespacio solo en San Salvador. De estos, 10 corresponden a empresas que experimentaron estafas de todo tipo.
Además de estafas, también se incluye difusión ilegal de información, clonación de sitios, transferencias bancarias de manera irregular y otros.
En ese último caso, la fiscal detalló que es donde las empresas corren mayor riesgo, porque los hackers han aprendido a clonar sitios de grandes compañías con las que empresas locales tienen negocios y les hacen transferencias de grandes sumas de dinero. Recuperarlo, dice la fiscal, es casi imposible.
“Contamos con apoyo de la Interpol, pero rastrear de dónde se cometió el delito puede tomar de seis meses a un año”, explicó.
Además de la Ley ya existente, la Comisión de Economía de la Asamblea Legislativa discute un anteproyecto de Ley de Protección de Datos Personales, que busca entre otras cosas, proteger la información de cada individuo.
Según la diputada Margarita, de Escobar de la Comisión de Economía de la Asamblea Legislativa, ya hay una matriz de esta Ley que incluye observaciones del sector privado y público, sobre la importancia de proteger los datos personales de los individuos y sobre ciberseguridad.
La diputada insistió en que la ley- que podría aprobarse este año- deberá estar centrada en que la protección de datos personales que son parte de los derechos fundamentales de los individuos.
“El mundo que conocemos lo estamos despidiendo y está entrando una nueva era que todavía no vemos su alcance final (…) pero en todos esos procesos, el corazón son los datos personales de los ciudadanos, por eso se consagrarán como un derecho. Buscamos establecer una autoridad independiente con robustez tecnológica, encargada de velar y cuidar los datos personales de los salvadoreños”, añadió la diputada.
Sin embargo este anteproyecto se concentra en la protección de datos del individuo y todavía no contempla la protección de datos empresariales.
Panorama global
A nivel mundial se calcula que el impacto económico del cibercrimen es de unos $ 3,000 millones, de acuerdo con una nota de Dinero.com.
Los datos se basan en una entrevista a finales de 2019 concedida a esa publicación por el experto en delitos informáticos de Digiware, Andrés Galindo, que explicó que los “hackers” ahora son parte de grandes organizaciones criminales.
Las regiones más afectadas, son Asia (49% de los ataques), Europa (28%), América del Norte y del Sur (19%). Uno de los casos más graves es Indonesia, una nación que recibe el 14% del tráfico malicioso del mundo.
Ataques a empresas
Los ataques más frecuentes a todo tipo de compañías son los relacionados al robo de información, en todas sus variantes, detalla Cecilia Pastorino, especialista en Seguridad Informática de ESET Latinoamérica.
“La información suele ser el activo más valioso de casi cualquier empresa, y los ciberdelincuentes encuentran múltiples vectores de ataque siempre con la misma finalidad: acceder a los dispositivos de las empresas donde se encuentran estos datos”, detalló la especialista.
Los ataques más frecuentes son los de ingeniería social, los comúnmente conocidos como phishing, correos o mensajes que buscan personificar a una empresa, o persona con la finalidad de que la víctima realice una acción o ingrese datos privados en algún formulario, explicó Pastorino.
El ingeniero Rafael Ibarra, experto en tecnología, sostiene que la ingeniería social es de hecho la vía más común para acceder a datos de usuarios o empresas y robarlos. Otra es el envío masivo de correos Spam o basura que contienen virus que pueden dañar desde una computadora hasta todo el equipo de una compañía.
También destacan ataques contra marcas, que se realizan con el objetivo de disminuir el valor de sus acciones o afectar su reputación por medio de distintos tipos de fraude.
“Todos somos vulnerables”, sentenció Ibarra y aclaró que independiente si es una persona individual, una microempresa o una transnacional, se debe invertir en la protección de datos y en educación en seguridad.
Las consecuencias del robo de datos incluyen desde implicaciones legales, ya que se violan leyes (en países donde las hay), cuyo incumplimiento puede devengar en multas para las empresas, o cárcel.
Pero más allá de las pérdidas en dinero, lo grave es el daño en la imagen y en la reputación de una compañía, y en consecuencia, la pérdida de confianza, advirtió el ingeniero Ibarra.
Siete recomendaciones para proteger su información
1. Actualice sus equipos una vez por mes
Las actualizaciones de seguridad incluyen parches y soluciones para vulnerabilidades y evitar que un atacante pueda explotarlas para comprometer el sistema. Es imprescindible contar con herramientas de seguridad que sean capaces de detectar ataques y amenazas antes de que comprometan el sistema.
2. Al transferir dinero use la cámara.
La jefa de la Unidad de Delitos contra el Patrimonio de la Fiscalía, asegura que siempre que una empresa deba transferir dinero a otra, que no está en el país, haga uso de una videoconferencia o del teléfono, para asegurarse de que está mandando el dinero a la persona o compañía correcta y se evitará fraudes.
3. Establezca una política de seguridad
ESET recomienda instalar un Sistema de Gestión de la Seguridad de la Información (SGSI), no importa si es una empresa pequeña o grande, si hace o no transacciones entre compañías o solo ventas al detalle, según los expertos hoy en día, para todo se usa una computadora y redes y eso la hace vulnerable.
4. Blinde su compañía contra virus
Según expertos no basta con detectar malware, también es necesario pensar en el Firewall: un módulo que controle las conexiones entrantes y salientes del equipo. Otro módulo importante es el Antiphishing que identifica páginas fraudulentas que detectan sitios falsos que intentan robar la información y el Antispam, para evitar que lleguen correos maliciosos.
5. Eduque a sus colaboradores en seguridad
Este es un paso clave, ya que los colaboradores deben entender por qué se toman ciertas medidas y qué consecuencias traería no seguirlas. Cultive una cultura de protección de datos que se haga una práctica común entre sus colaboradores quienes por hábito o costumbre ejecuten acciones para proteger a la compañía.
6. Haga un repaldo de sus datos
Ya sea es una empresa de 500 colaboradores o de cinco, los expertos advierten que hay que contar con un servidor o disco duro para hacer copias de respaldo y hacerlo una vez por semana, guarde ese disco fuera de la compañía. También puede contratar un servicio en la nube y guardar ahí los datos.
7. Tenga listo un plan de rescate de datos
Debe tener preparado un plan de respuesta ante incidentes o un plan de recuperación. Muchas empresas tienen incluso un equipo de respuesta a incidentes de seguridad (CSIRT por las siglas de Computer Security Incident Response Team), cuyo objetivo es responder con rapidez y asegurar que sus consecuencias puedan ser mitigadas y las actividades primordiales restablecidas en el menor tiempo posible, con el impacto mínimo aceptable para la organización.