“Trabajé para el servicio secreto de EEUU, para Interpol, para la ONU y soy hiperactivo”
El rostro del experto en Ciberseguridad ya se hacía conocido para muchos. Es invitado recurrente de medios internacionales para hablar de una amenaza que es invisible pero que tiene pérdidas económicas y de privacidad increíbles, si los Estados y las empresas no le toman el peso que deben.
Hablar de eso, fue precisamente lo que hizo Andrés Velázquez, investigador en materia de seguridad informática y director de Mattica, en la conferencia denominada “Seguridad” en el IBM Innovation X.
Su alocución y dinámica, de la que fue testigo BioBioChile, despertaron inmediatamente el interés de los presentes, como los hackers han despertado de golpe a los bancos desde el año pasado en territorio chileno, con la vulneración de datos de los clientes y extracción de millonarias sumas que sacudieron un desprevenido territorio, sin en ese entonces, activar sus alarma contra robos de datos.
“Chile, con los ataques bancarios como el de hace dos meses a RedBanc, donde expusieron la información de al menos 42 mil usuarios del sistema”, aseguró Velázquez, a una audiencia que para ese tramo de la charla ya comprendía lo difícil de los tiempos actuales en los que, subir información a la nube, puede significar un próspero día soleado en materia de negocios o una verdadera tormenta informática con pérdidas de dinero y credibilidad a un sistema, como el bancario.
En Chile ocurren desde el año pasado y el tema es altamente sensible para todo usuario bancario en cualquier país del mundo.
Custodiar la plata de quien confió en otro, para su resguardo, debería volverse un elemento casi sagrado. Pero fue profanado recientemente, de nuevo. Para muestra, enjambre de ataques: solo en junio, hubo 500 ciberataques en territorio chileno.
A manera de ejemplo, el experto en Ciberseguridad pidió a usuarios que ingresaran a una plataforma en la que debían registrarse para responder a algunas interrogantes. Si el acceso a algunas de estas que no son confiables se materializa, (porque las empresas no desarrollaron el escudo tecnológico para protegerse) se vulneran datos que permiten el hackeo incluso fuera del territorio donde ocurre el ataque.
Al menos cinco personas entraron a la dinámica del experto, quien se acompañó de Juan Carlos Carrillo, Asociado de IBM en temas de Servicios de Seguridad. Todos respondieron a preguntas tan importantes y básicas como: ¿cuántos dispositivos existen a nivel mundial?
“Tenemos, a nivel mundial, 20.8 billones de dispositivos por proteger”, aseguraba Carrillo, mientras Velázquez se paseaba por el salón lleno de personas con su tablet, celular, computador y otros dispositivos conectados en ese espacio.
Otra de los interrogantes era: ¿cuántos trabajos no cumplidos de Seguridad Cibernética tendrán los Isos para el año 2022? Habían varias opciones en cifras para responder.
“Dentro de 3 años vamos a necesitar cerca de dos millones de personas dedicadas a la Ciberseguridad, que hoy día no están en el mercado. Ni las universidades los están dando ni los estamos formando lo suficiente, decía el alarmante dato en respuesta a una realidad incómoda y sin clave (aprendizaje) para protegerse.
Los blancos favoritos de ataque son la banca y el retail
Los cifras sobre los sectores industriales más atacados, en ausencia de políticas para la Ciberseguridad, lo dicen todo.
La banca con un 39% ostenta el primer lugar como blanco de los hackers, según las estadísticas globales de ambos expertos. Le sigue el Retail con un 6%, Seguros, con 4% y Manufactura en el cuarto lugar con un 2%.
Se trataba de una dinámica para aprender, pero también para darse cuenta de una vez por todas de lo importante que es protegerse contra esa amenaza en un inicio invisible.
Por cierto, al ganador de la trivia dinámica, los expertos le obsequiaron un condón tecnológico. Se trata de un dispositivo que debe conectar en aeropuertos u otros lugares donde quiera accesar a internet vía WiFi. Eso lo protege de liberar sus datos en redes inalámbricas no seguras.
Para el resto vino un reto: “¿qué hacen ustedes conectados a una red desconocida (del hotel en Miami) cuando por sus cargos deberían traer su paquete de datos activos para proteger sus datos?”.
Todos rieron con una mueca más parecida a la vergüenza, por lo certero de la pregunta.
Un experimento real fue puesto en discusión. 75 apps de empresas dedicadas a retail, Fin Tech (Tecnología Financiera) y salud, en EEUU, fueron sometidas a una prueba de vulnerabilidad. Para esto, usaron a estudiantes de informática.
El resultado, arrojó otro algoritmo de preocupación: de las 75, solo 12 no fueron “hackeadas”.
Los jóvenes lograron, tras 15 minutos de descargar una aplicación de la Play Store de Android, vulnerar a la mayoría.
Su lema asegura que “existen dos tipos de compañías: las que han sido hackeadas y las que pronto lo serán”.
“Hay mucho por aprender… en Chile y otros países”
Andrés Velázquez terminó su presentación. Poco tiempo después, accedió a hablar con BioBioChile, ante la evidente preocupación de una sociedad que está atenta y temerosa a ver expuestos sus datos en el ciberespacio, como ya ocurrió el año pasado y siguió ocurriendo hace un par de meses.
“Yo creo que Chile siempre se ha identificado como un líder en la parte tecnológica. Normalmente el tema de adopción, de lograr que las cosas vayan funcionando. Y bueno yo creo que de los temas principales que hemos visto últimamente, tiene que ver desde los ataques al Banco de Chile de hace un año y que obviamente estamos viendo que esto es una repercusión de lo que está sucediendo a nivel internacional”.
El experto en Ciberseguridad hace una diferencia al analizar la realidad chilena y la de su país, México. Los atacantes que han vulnerado plataformas (incluso gubernamentales) están dentro de ese territorio.
“Normalmente estamos hablando de actores internacionales que están muy bien orquestados y que tienen una figura muy similar al crimen organizado en cuestión de cómo operan y que han estado afectando a muchos países, no solo en América Latina, sino a nivel mundial. Particularmente vemos en el caso de México un ‘modus operandi’ completamente diferente donde pudimos llegar a confirmar que está metido crimen organizado local”, dice el experto, debido a que en uno de los ataques a territorio chileno se gestó desde Asia.
Sin embargo, Velázquez, considera que otro de los problemas son los atacantes internos que conocen el sistema y la forma de golpear, exponiendo cuentas o triangulando detalles con otros actores foráneos, para finalmente llevar acabo el temido ataque en la banca u otros sectores.
“Nos protegemos más de los de afuera que de los de adentro. Eso es una ventaja, pero también puede llegar a ser una desventaja”.
¿Qué debe hacer Chile?, le consultamos. No hay una respuesta que venga como fórmula mágica, dada la legislación de los territorios que han sido o pueden ser vulnerados y por supuesto, la diplomacia de un experto que no quiere vulnerar los asuntos internos de esos países.
Obligadamente, salió como ejemplo la tardanza para que el gobierno chileno reemplazó a Jorge Atton, denominado informalmente como el “zar” de la Ciberseguridad.
Transcurrieron 8 largos meses hasta que por fin en junio pasado llegó el reemplazo, justo en el período en el que RedBanc fue blanco de un nuevo ataque que salió a mención en la conferencia de Velázquez.
¿Como se puede interpretar que un gobierno tarde tanto en nombrar una plaza tan importante?, le consultamos.
“Obviamente lo primero que nosotros tratamos de comparar es lo que está sucediendo en EEUU con respecto a las políticas. El tema del ‘Ciber zar’, como ente o persona que va a estar asesorando al gobierno en Ciberseguridad, ha sido uno de los temas más importantes en el país del norte. Sin embargo, es un tema que ha sufrido en diferentes situaciones. En el caso de México, estamos ahorita igual que en el caso de Chile. La posición que antes estaba encargada de ver todo lo que tiene que ver con agenda digital, Ciberseguridad, pues no ha estado tan presente dentro de las políticas públicas. Yo me iría más allá de cuestionar específicamente el caso de Chile. Yo creo que todos los países de América Latina tienen que entender que el tema de Ciberseguridad ya es un tema de seguridad nacional, es un tema de seguridad pública y que se tendrá que ver de diferentes aristas”, dice Velázquez.
Una de esas áreas de la que habla, tiene que ver con la escasa enseñanza superior en los países vulnerados o que podrían serlo. Tal como hacían referencia frente a empresarios de varios rubros en la conferencia mencionada al inicio de este reporte.
“Desde el tema educativo, hasta el tema que tiene que ver con implementar Ciberseguridad en todos los diferentes ministerios o secretarías que se encuentren en cualquier país, para poder llegar a entender la protección que se tiene que dar a los datos, tanto de la sociedad, así como la información que se tiene a partir del gobierno”.
Error: cuando los bancos se niegan a actuar frente los ciberataques
Cuando hay una institución vulnerada, por ejemplo los bancos, Velázquez recordaba en su charla que algunas instituciones financieras se niegan a bajar completa su plataforma, porque significa perder tiempo y dinero, pese a la amenaza que están enfrentando miles de sus clientes. Error.
El nerviosismo es el elemento que se percibe desde los usuarios comunicándose a través de redes sociales a cerca de un evento inesperado en el ciberespacio. En cambio, hay instituciones que podrían entrar en estado de negación, dado el shock informático causado.
“Hay cosas que se tienen que hacer y otras que no se tienen que hacer. El manejo de crisis tiene que ser muy importante. El de que todos los bancos y todas las instituciones tengan ese proceso como tal de manejo de crisis, que puede llegar a ser desde un punto de vista mediático, puede ser jurídico pero también tiene que ser cibernético.
Negarse a la realidad, a partir de la vulneración de su plataforma, es abonar a que empeore la situación, irónicamente cuando las cuentas están siendo vaciadas.
“Será muy importante poder llegar a capacitar y educar a la gente de que esto va a seguir pasando, o sea, lo que están haciendo los bancos es minimizando los riesgos y en ese sentido, todavía existe la posibilidad de que haya un (nuevo) ciberataque. Tendrán que comunicarlo claramente a los clientes y puede llegar a definir claramente hacia los clientes y hacia las autoridades o el tema de cumplimientos, cuál fue la afectación real”.
Velásquez considera que la vulneración no tiene como víctima exclusivo a la banca o retail chilena. No obstante, su conferencia fue tomada como un llamado de atención a los estados para que puedan protegerse ante esta nueva realidad criminal desde el ciberespacio.
“No estamos diciendo que no se suban a la nube, sino, que sea seguro” y “no todos los datos son asegurados en la nube”, son parte de los mensajes de estos expertos en Ciberseguridad a las empresas o gobiernos, reconociendo la debilidad de los sistemas, la cual se alimenta del desinterés de los países.
¿Falta mucho por hacer? (nuestra última interrogante para él). “Falta mucho por aprender”, responde, respirando profundo. Como desde las entrañas mismas de un sistema que ahora está endeble y enfermizo por ese tipo de bacterias tecnológicas, acechándolo todo.
