Todos somos objetivo del cibercrimen

Del 2 al 16 de febrero se celebró TIC Fórum Centroamérica, el evento donde Telefónica Business Solutions muestra cómo apoyan a las empresas en su migración digital, y en sus operaciones de negocio, a través de la implementación de la tecnología. Esta 6ª edición se celebró bajo el lema «Ciberseguridad: Protegiendo activos digitales«.

ElevenPaths, como unidad de Ciberseguridad de Telefónica, apoyamos dicho evento para concienciar a las organizaciones en Centroamérica de la necesidad de implementar medidas de seguridad. Así que tuve el honor de realizar la ponencia principal, donde mi objetivo era mostrarles a los asistentes cómo podían y estaban siendo usados por el cibercrimen y cómo esto les estaba afectando.

Fue por esto que mi ponencia se llamó “¿A quién le interesaría atacarte? Todos somos objetivo del cibercrimen”, donde la idea era enseñar con ejemplos claros cómo los grandes mecanismos que usa la ciberdelincuencia les estaban afectando y cómo estaban siendo usados, en la mayoría de casos sin sospecharlo. Usando herramientas online mostramos cómo Panamá había sido atacado por DDoS durante el mes de diciembre de 2016.

Ilustración 1. http://www.digitalattackmap.com/#anim=1&color=0&country=PA&list=2&time=17141&view=map

Pero era importante no solo mostrar cómo eran usados o cómo eran atacados por el cibercrimen, sino también mostrar que esto se genera por errores en la gestión de la seguridad de la información en las empresas y la falta de concienciación de los usuarios.
Uno de los ejemplos más claros de la falta de gestión en la ciberseguridad es que, tras 3 años divulgada una de las vulnerabilidad más críticas de la historia, como lo es HeartBleed, siguen más de 200.000 dispositivos vulnerables a este ataque, por lo que usando Shodan en cada país evidencia que en sus redes existen equipos con esta vulnerabilidad.

Ilustración 2. Dispositivos detectados vulnerables a heartbleed en cada país

Todos estos ejemplos prácticos estaban orientados a mejorar los niveles de concienciación y gobierno de la seguridad de la información en la región, pues según los estudios del Banco Interamericano de Desarrollo (BID) y la unidad de Ciberseguridad de la OEA, que como se puede ver en su informe en el 2016 evidencia que en todos los países visitados están en un estado inicial de las políticas y estrategia en ciberseguridad.

Ilustración 3. http://observatoriociberseguridad.com/graph/countries/sv-gt-cr-ni-pa/selected/pa/0/dimensions/1-4

En resumen, el énfasis que se dio en la presentación era mostrar como cualquier tipo de organización puede ser víctima de la delincuencia cibernética, por lo que es necesario que se tomen medidas para calcular los riesgos a los que se ven expuestos y buscar más allá de las medidas tradicionales de seguridad, con las cuales es evidente que no se mitigan correctamente los riesgos.
Es necesario que se utilice la inteligencia y el conocimiento colectivo que en asocio con un socio cuya principal razón de funcionamiento sea las comunicaciones, la digitalización y la seguridad, permitiendo así usar todo el conocimiento que se tiene en esta industria para mitigar de forma correcta los riesgos cibernéticos.