Riesgos cibernéticos

El ámbito digital es también un ámbito humano. Como tal, es un territorio donde en esencia se realizan las mismas actividades sociales, económicas y políticas que hace décadas, sólo que potenciadas por la interconectividad. Los efectos gracias a la Red son más grandes, pero sobre todo son más veloces.

Gracias a las libertades de acceso y difusión que permite el campo digital, se han creado y consolidado empresas de diferentes tamaños y se han puesto en marcha proyectos de beneficio social, pero también han aumentado los riesgos cibernéticos con la práctica de actividades lesivas o ilegales.

Llegó también un momento en que el conocimiento de los sistemas informáticos empezó a ser usado para fines políticos, lo que abrió el debate ético sobre los límites de las prácticas digitales. Quizá el caso más controvertido fue el que originó el sitio Wikileaks a partir del 2008[i], con la difusión de documentos reservados, acto que tuvo repercusiones diplomáticas en varios países.

Otro caso menos conocido pero también con impacto internacional, fue el ciberataque de una empresa holandesa a una firma suiza en marzo de 2013. Aunque el origen de la disputa se centraba en las dos compañías, los efectos de la ofensiva afectaron a servidores de Estados Unidos, Reino Unido, Alemania y Holanda.[i] El principal responsable, un holandés de 35 años, fue detenido al mes siguiente en España.


Convenio de Budapest

El 23 de noviembre de 2001, en Budapest, Hungría, se firmó el primer convenio sobre ciberdelincuencia[iii], aunque no entró en vigor sino hasta julio de 2004. Éste se considera el primer tratado internacional que tiene la intención de enfrentar los delitos informáticos.

El tratado, también conocido como Convenio de Budapest, fue elaborado por el Consejo de Europa y según refiere en el preámbulo, pretende “la asunción de poderes suficientes para luchar de forma efectiva contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que permitan una cooperación internacional rápida y fiable”. [iv]

Este convenio, firmado por sólo 46 países hasta abril del 2014, [v] ha sido la base para que decenas de naciones emprendan medidas específicas tanto tecnológicas, educativas y penales para atacar este riesgo.

Las amenazas prevalecen mientras las estrategias de los países buscan hacerse más robustas. Los riesgos parecen crecer más rápido que las regulaciones y tal parece que el camino pasa por una mayor conciencia y educación para enfrentar con éxito los peligros.


El riesgo de la inmadurez

El tema de la seguridad dentro de las organizaciones se volvió un asunto de gran relevancia debido a las pérdidas económicas que están en juego. En mayo de 2014, por citar un ejemplo, la empresa de subastas en línea eBay sufrió un ataque de piratas informáticos en el que se robaron los datos de cerca de 233 millones de usuarios. [vi]

El analista Carlos Mota menciona que según una encuesta hecha por Pew Research Internet Project, 61% de los participantes de alto nivel aseguran que para el 2025 un ataque cibernético de grandes proporciones “resquebrajará a una nación y la dejará inerme ante la posibilidad de defenderse, así como [con] amplias pérdidas de miles de millones de dólares”. [vii]

Aunque el tema muestra focos rojos, tal parece que la construcción de la defensa ha sido lenta o inexistente. Según el “Índice[viii] de pobreza de seguridad cibernética” de RSA (Rivest, Shamir y Adleman)[ix], que es el algoritmo más utilizado para cifrar información delicada como claves y firmas digitales, un 75% de los profesionales de seguridad de las organizaciones carece de madurez para enfrentar este tipo de riesgos.

El peligro no es menor si se toma en cuenta que el estudio se realizó a 400 profesionales de 61 países sobre organizaciones de más de 10,000 empleados, en donde se calificó a dichas firmas “como inferiores a desarrolladas” en su nivel de madurez sobre seguridad cibernética.


Etapas de crecimiento

Los retos para América Latina y el Caribe, en cuestión de ciberseguridad, han motivado esfuerzos multilaterales para entender y desarrollar estrategias que protejan a la sociedad frente a las amenazas cibernéticas y para fomentar la prosperidad económica y social de la región. [x]

El Banco Interamericano de Desarrollo en conjunto con la Organización de Estados Americanos, elaboró y expuso un estudio[xi] en donde se presenta una visión general del estado actual de la seguridad cibernética en los países de la región.

El Modelo de Madurez de Capacidad de Seguridad Cibernética (CMM, por sus siglas en inglés) es una propuesta del Centro Global de Seguridad Cibernética de la Universidad de Oxford[xii] y fue incorporado por la OEA y por el BID en el estudio referido para hacer más accesible la comprensión de estos riesgos.

El CMM consta de 49 indicadores llamados subfactores. Éstos son distribuidos en cinco áreas que pudieran estar relacionadas: Políticas y estrategia nacional de seguridad cibernética, cultura cibernética y sociedad, educación, formación y competencias en seguridad cibernética, marco jurídico y reglamentario, y normas organización y tecnologías.

Cada una de estas cinco áreas se evalúan en cinco grados llamados niveles de madurez:

Inicial: no existe nada, o bien se tiene una idea, pero no hay acciones concretas.

Formativo: en éste algunas características han comenzado a crecer, pero sin estar definidas.

Establecido: en este nivel, los elementos o subfactores son funcionales y están definidos, pero la asignación de recursos no se ha considerado adecuadamente.

Estratégico: en este nivel ya se han elegido los aspectos del subfactor que resultan clave y se han establecido objetivos nacionales.

Dinámico: Aquí se tienen mecanismos claros para modificar la estrategia en función de las circunstancias, por ejemplo la tecnología acerca de las amenazas como la delincuencia cibernética y los ataques a la privacidad.

De los 32 países que reúne el estudio se presentan seis que muestran una visión del panorama regional.


Una región con grandes retos

Según Luis Alberto Moreno, presidente del Banco Interamericano de Desarrollo, los delitos cibernéticos representan una pérdida a nivel mundial de 575,000 millones de dólares anuales, equivalente a 0.5% del PIB global. [xiii] Señala también que en América Latina y el Caribe el cibercrimen cuesta cerca de 90,000 millones de dólares cada año.

La región de América Latina y el Caribe enfrenta serios desafíos que pueden agruparse en los asociados a las regulaciones y penalizaciones y por otra parte, a la protección de datos. Es notable que cada país de la zona ha avanzado a un ritmo distinto, pero en general su nivel de desarrollo frente a los ciber riesgos es entre medio y pobre. Con algunas excepciones como Uruguay, la mayoría de los países tienen esquemas incipientes.

Uruguay es el país con más madurez en cuanto a ciberseguridad se refiere.[xiv] Su alto desarrollo en gobierno electrónico, normas de privacidad, formación, privacidad y protección de datos dentro del marco legal y su capacidad de respuesta a incidentes le da un nivel por encima del promedio regional. En términos generales, en sus cinco áreas predomina el nivel estratégico, que es el cuarto de los cinco.

Por otra parte, Uruguay no cuenta con una estrategia nacional específica para atender la seguridad cibernética, pero la Agencia para el Desarrollo del Gobierno de Gestión Electrónica incluyó en su agenda el tema de seguridad cibernética en su plan 2015–2020.

Otro país, éste con un desarrollo medio, es Brasil. Cuenta con varios grupos de respuesta a incidentes de seguridad informática, todos ellos bajo la coordinación del Equipo Nacional de Respuesta a Incidentes Informáticos. [xv]

Entre sus aspectos más sólidos destacan los que giran en torno al derecho procesal, al cumplimiento de la ley, aplicación de normas mínimas aceptables en tecnología, y en capacidad de respuesta a incidentes, todos ellos en un nivel estratégico.

Chile,[xvi] por su parte, ha mostrado más desarrollo en normas de privacidad, derecho procesal de la delincuencia cibernética y en la organización frente a la protección de la infraestructura crítica nacional.

Asimismo, los tres rubros más destacados sobre seguridad cibernética en México[xvii] son una cultura de las normas de privacidad, cumplimento de la ley e identificación en respuesta a incidentes dentro de la tecnología. La División Científica de la Policía Federal de México es la responsable de investigar los delitos cibernéticos a nivel nacional.

Con un desarrollo medio–bajo en general, Argentina[xviii] cuenta con un proyecto de Estrategia Nacional de Seguridad Cibernética. Su área de marcos legales tiene un nivel medio y, un grado más alto, los ámbitos de normas de privacidad y designación frente a respuesta a incidentes en tecnología son los únicos en un nivel estratégico, el cuarto de los cinco niveles.

Colombia[xix] es uno de los países con un nivel menos maduro para enfrentar los ciber riesgos. Aquí el Poder Judicial tiene la capacidad de investigar casos de delincuencia cibernética, pero carecen de la formación para concluir con éxito dichos casos en los tribunales. Cabe señalar que la consciencia social sobre la importancia de la privacidad y la seguridad en internet, así como la confianza en los sistemas digitales ha crecido en parte gracias a campañas nacionales.

Entre sus subfactores destacados, el área de cultura y sociedad es donde predominan los niveles que corresponden al intermedio o establecido, lo mismo para el área de marcos legales.

Entre la muestra de seis países y tomando en cuenta sólo los tres niveles más altos de los 49 indicadores, sólo Uruguay muestra a cinco de ellos en el punto más desarrollado, el resto de los países registran un nivel de madurez no mayor a intermedio, es decir, establecido. (Fig. 1)

Figura 1


Seguros cibernéticos

Debido a las pérdidas económicas que representa un ataque informático, muchas empresas han optado por protegerse mediante una cobertura. El seguro de riesgos cibernéticos tiene dos tipos de protección, uno de ellos frente a los riesgos directos como el daño o pérdida de datos y utilidad dejada de percibir por la interrupción del negocio. El otro cubre la responsabilidad frente a “terceros”, es decir, la responsabilidad ante la comunidad, clientes o entidades regulatorias. [xx]

Con una póliza de riesgos directos, por ejemplo en el caso de una filtración de datos, la póliza ayudaría con los costos de notificación a los titulares de la información, los costos asociados a servicios de monitoreo de créditos y de restauración de identidad, según sea el caso. Así mismo respaldaría al asegurado frente a la pérdida en la utilidad neta que sufra a consecuencia de la interrupción del negocio y los costos asociados a la recuperación del mismo.

Por su parte, mediante una póliza de cobertura de terceros, una empresa encuentra soporte frente a los gastos de defensa en que incurra por alegaciones relacionadas con los daños causados por una falla en el manejo de los datos personales o corporativos o por no gestionar adecuadamente la seguridad de su red. También habría soporte frente a la indemnización que le correspondan pagar legalmente.

Como en todos los seguros, en los de riesgo cibernético el interesado debe revisar las limitaciones y las exclusiones.


Hacia una mayor seguridad

La tendencia actual frente a la gestión de los riesgos cibernéticos no comprende únicamente el trabajo en controles y prevención, sino en la preparación de empresas y gobiernos a la hora de manejar el incidente cibernético, una respuesta adecuada y preparada mitiga el valor de las pérdidas económicas y reputacionales.


[i] Navarro, Fernando. “Wikileaks: cómo destapar escándalos en internet”, El País, España, 26 de julio del 2010. Consultado en http://bit.ly/2nwn0YU
[ii] Sánchez, J. M. “Sven Olaf Kamphuis, el holandés errante que provocó el mayor ataque de internet”. ABC Tecnología, España, 27 de mayo del 2013. Consultado en http://bit.ly/2oc780Y
[iii] Consejo de Europa. Convenio sobre la ciberdelincuencia. Consultado en http://bit.ly/2fgtbPS
[iv] Íbid, p. 2.
[v] Migliorisi, “Qué países firmaron y ratificaron la convención mundial contra el cibercrimen (Budapest 2001). Estudio jurídico. Consultado en http://bit.ly/2nyFDv3
[vi] Mota, Carlos. “2015: año de ciberataques globales”. Revista Forbes México, 29 de marzo del 2017. Consultado en http://bit.ly/2ozl9Sc
[vii] Íbid.
[viii] Revista Forbes. “Las organizaciones no saben enfrentar riesgos cibernéticos”, 29 de marzo del 2017. Consultado en http://bit.ly/2obBbpj
[ix] El sistema criptográfico con clave pública RSA es un algoritmo asimétrico cifrador de bloques, que utiliza una clave pública, la cual se distribuye (en forma autenticada preferentemente), y otra privada, la cual es guardada en secreto por su propietario. Los mensajes enviados usando el algoritmo RSA se representan mediante números y el funcionamiento se basa en el producto de dos números primos de más de 10 dígitos elegidos al azar para conformar la clave de descifrado. Blog Seguridad Informática. Consultado en http://bit.ly/2nNeref
[x] Maciel, Marilia; Foditsch, Nathalia, et. al. “Seguridad cibernética, privacidad y confianza: tendencias en América Latina y el Caribe. El camino a seguir”. Banco Interamericano de Desarrollo. Ciberseguridad ¿Estamos preparados en América Latina y el Caribe. Informe Ciberseguridad 2016 (PDF). Consultado en http://bit.ly/2mQHcHR
[xi] Banco Interamericano de Desarrollo (BID). Ciberseguridad ¿Estamos preparados en América Latina y el Caribe. Informe Ciberseguridad 2016 (PDF). Consultado en http://bit.ly/2mQHcHR
[xii] El Centro Global de Capacidad sobre Seguridad Cibernética de la Universidad de Oxford fue establecido en 2013, para construir una comprensión global de prácticas eficientes y eficaces de creación de capacidad de seguridad cibernética mediante la investigación académica.
[xiii] BID. Op cit. p. IX.
[xiv] BID. Op cit. p. 108.
[xv] BID. Op cit. p. 60.
[xvi] BID. Op cit. p. 62
[xvii] BID. Op cit. p. 86.
[xviii] BID. Op cit. p. 50.
[xix] BID. Op cit. p. 64.
[xx] Myers, Lysa. “Qué es el seguro cibernético”. We live security en español. 8 de junio del 2015 http://bit.ly/2o7PCIk