Con más del 84 % de la población online, América del Sur es una de las regiones más conectadas del mundo, solo por detrás de Europa y Norteamérica en cuanto a penetración de Internet. Además, es también uno de los mayores mercados digitales del mundo, con más de 368 millones de usuarios de Internet en total.
Así es que no es de extrañar que para los ciberdelincuentes sea un objetivo primordial.
Mientras la región experimenta una transformación digital, se enfrenta a un aluvión de ataques de ransomware, Business Email Compromise (BEC) o phishing, entre otros tipos. Ejemplo: según nuestro informe anual State of the Phish, en Brasil más del 70 % de las organizaciones han sufrido en 2022 al menos un ataque de phishing que ha conseguido su objetivo.
Al senador chileno Kenneth Pugh no le extraña. Pugh, que representa a la región de Valparaíso desde 2018, fue clave en el respaldo a la ley que declaró octubre como “Mes de la ciberseguridad” en Chile. (Chile es uno de los países más avanzados digitalmente de la región; tiene el porcentaje más alto de usuarios de Internet y las velocidades de ancho de banda más rápidas.)
El ex oficial de la marina chilena considera que la ciberseguridad y su importancia incumben tanto al sector público como al privado. El pasado año ayudó a aprobar un proyecto de ley para proteger la infraestructura crítica del país. Además, participó en la elaboración de nuevas leyes sobre inteligencia, protección de datos personales y ciberdelincuencia. Kenneth Pugh está trabajando en el Senado en la legislación para establecer normativas sobre ciberseguridad y proteger la infraestructura crítica. Entre otras medidas, la propuesta crearía una nueva agencia de ciberseguridad nacional en Chile.
Pugh ha hablado recientemente con Proofpoint y nos ha transmitido su visión del panorama de las amenazas en Latinoamérica y las perspectivas en la región:
¿Cuál es la situación de la ciberseguridad en América Latina? ¿Cómo afectan las amenazas a las organizaciones en esta región? ¿Es igual o diferente a otras regiones?
La ciberseguridad en Latinoamérica se encuentra en un nivel entre intermedio y bajo, según las evaluaciones realizadas cada cuatro años por la Organización de Estados Americanos (OEA) que siguen el modelo de capacidad de ciberseguridad desarrollado por la Universidad de Oxford. En el último informe de 2020, los países más maduros de la región se encontraban entre las fases 2 y 3 (de 5) en cada dimensión.
Algunos de los ciberdelincuentes más habituales actúan en todo el mundo. También hay otros locales, como el grupo “Red Guacamaya” que atacó a grandes empresas y organismos públicos el año pasado.
¿Hay un desfase entre las amenazas a las que se enfrentan las organizaciones y su nivel de concienciación o preparación frente a estas amenazas? ¿O entre los directivos de seguridad en la región y sus empleados?
Sin duda, hay una brecha en cuanto a la percepción. En el ciberespacio los ciberdelincuentes disponen de todo tipo de recursos (tiempo, talento y dinero) y no están obligados a cumplir reglas. Sin embargo, los organismos públicos y las empresas privadas deben respetar las reglas. Y, a veces, no cuentan con los recursos adecuados para hacer frente a los ciberataques.
Aunque hayan mejorado algo la concienciación durante la planificación, puede que, durante el ataque, encuentren problemas de organización y preparación que lastren su capacidad para responder de manera adecuada. Las organizaciones deben estar preparadas para estos escenarios.
Los responsables de seguridad deben ir más allá del departamento de TI y estar más presentes en sus organizaciones; en ocasiones sus ideas no llegan ni siquiera a los órganos directivos de sus empresas. Necesitamos directores de ciberseguridad cualificados en los consejos de administración.
Internet está omnipresente en nuestras vidas y necesitamos nuevos políticos que sean líderes de seguridad en el ciberespacio para proteger a las personas y defender sus derechos. Por ejemplo, la libertad de expresión es un derecho humano que se debe proteger en el ciberespacio. Pero es un derecho de las personas, no de la inteligencia artificial (IA).
¿Qué se necesita a nivel de país para combatir con eficacia las amenazas en la región, dado el aumento de volumen y sofisticación?
Necesitamos más expertos con conocimientos sólidos y experiencia en ciberseguridad para adaptarse y reaccionar rápidamente ante las nuevas formas de ataque y las nuevas TTP (tácticas, técnicas y procedimientos). Además, necesitamos la ayuda de la IA en este proceso para acelerar la respuesta. Una vez que se desarrolle este talento y esta cibercultura, debemos tomar la iniciativa para neutralizar estos ataques.
¿Cuál es el papel de los sectores público y privado en la ciberseguridad y en qué se diferencia de otras regiones? ¿Existen oportunidades para que colaboren? ¿Hay riesgo de exceso de regulación por parte de los organismos públicos en un intento por responder a las amenazas y su rápida evolución?
El gobierno debe definir una directiva permanente sobre estos temas, una estrategia para encarar la situación con objetivos claros y cuantificables (que se puedan conseguir en un plazo definido) y crear una política pública 2.0 con reglas para todo el mundo, y después aplicar estas reglas. La tecnología evoluciona rápidamente, por lo que, una vez realizada una evaluación completa, el proceso debe revisarse al menos cada cuatro años, como ocurre en la OEA.
El sector privado debe seguir las reglas establecidas por el gobierno y preparar a los empleados. Es necesario que inviertan en formación sobre ciberseguridad para sus equipos, que incluya la participación en retos para la seguridad a nivel internacional. Además, deben invertir en la actualización del hardware y el software, así como en la creación de una cultura corporativa sobre ciberseguridad empezando por los miembros del consejo de administración. Y deben probar sus capacidades con servicios de una empresa externa.
¿Hay riesgo de exceso de regulación por parte de los organismos públicos en un intento por responder a las ciberamenazas y su rápida evolución?
Naturalmente hay riesgo de hiperregulación de una tecnología concreta. La política pública 2.0 debe basarse en datos y pruebas, no en una tecnología específica.
Los ciberdelincuentes no siguen reglas ni cumplen normativas. Disponen de bastantes recursos y mucho tiempo. En cambio, la Administración y las empresas siguen reglas y tienen un acceso limitado a los recursos.
Es fundamental establecer principios y crear una nueva cultura de ciberseguridad, tanto en el sector público como en el privado. Este problema no se puede abordar y resolver únicamente desde el ámbito de la empresa o desde la Administración pública. Es esencial una colaboración pública-privada.
¿Qué consejo daría a las organizaciones latinoamericanas para protegerse sin afectar a los procesos empresariales o la productividad de los usuarios?
Ir un paso por delante de los ciberdelincuentes. Invertir en sus equipos y tecnología de ciberseguridad. Actualizar e investigar continuamente. Llevar a cabo cursos de formación con equipos internos y externos, y enfrentarlos a retos de ciberseguridad y ejercicios prácticos. Esto les ayudará a crear una nueva cultura de ciberseguridad en la organización.
Deben intentar seguir mejores prácticas de confianza cero e invertir en una identidad digital robusta. Además, es preciso que inviertan en conocimiento para todos los miembros de la organización, incluidos los externos con los que trabajan, para que sepan reconocer y evitar las campañas de phishing y desinformación.
Descubra cómo ayuda Proofpoint a las organizaciones de Sudamérica a proteger a las personas y defender los datos.