¿Es necesaria la ciberseguridad?

Hechos recientes han desatado preocupación entre particulares porque los ciberataques pueden afectar a personas físicas y morales
.
 .  (Foto: iStock)

Los delitos en el mundo digital se han convertido en la mayor y más poderosa amenaza para la economía mundial, incluyendo tanto a las empresas como a los individuos.

El ciberespacio puede considerarse un “amazonas salvaje”, ya que es un espacio tan simple como complicado, atractivo como peligroso, lleno de bondades pero también de riesgos nos comenta el Mtro. Jesús Edmundo Coronado Contreras, coordinador de las áreas de Fiscal, Jurídico-Corporativo y Comercio Exterior de IDC Asesor Fiscal, Jurídico y Laboral.

Según el reporte de Symantec 2018 sobre amenazas en Internet, de todos los ataques ransomware México recibió 2.5 % del total de estos ubicándose en el octavo lugar a nivel mundial. Esta es una práctica frecuente en los países con gran cantidad de conexiones a Internet.

En su reporte 2017-18 Kroll sobre el riesgo de fraude indica que en nuestro país el tipo de fraude más común es el robo de información, pérdida de esta o bien, ataque para robo de datos, el cual representa el 38 %, siendo el promedio mundial de 29 %, lo que hace tener un foco rojo en este apartado. Se señala también que la eliminación de información es el tipo de incidente más frecuente de cibercrimen; representando el 35 %.

El comportamiento del atacante y del defensor. El atacante es generalmente anónimo y aleatorio, lo cual es otro de los desafíos de la industria 4.0, el criminal tiene mil y una formas de esconderse y ocultar su verdadera identidad.

La sociedad digital se ha venido empoderando, tiene acceso a una tecnología que le da posibilidad de llevar a cabo diversas acciones, en ciertos casos: estudiar, divertirse, trabajar, todos somos parte de esta.

En Latinoamérica, por cuestiones culturales o porque una gran parte de la sociedad no tiene acceso a Internet, la privacidad de la información no es un tema tan relevante como lo es en Europa o Estados Unidos de América.

En México no existe una legislación adecuada sobre la privacidad y el manejo de la información personal, los consumidores deben de exigir esto por parte de sus proveedores.

En mayo en Europa entró en vigor la legislación GDPR, la cual ha sido el mejor intento de regulación respecto al uso de la información personal que cualquier gobierno ha desarrollado. Es probable que el resto del mundo adopte esta medida de la Unión Europea para desarrollar sus marcos normativos.

El mundo digital puede ser similar a un gran océano donde confluyen una serie de datos e interactúan un incontable número de actores, entre ellos los piratas informáticos, que son conocidos popularmente como hackers o crackers.

En anteriores entregas (Datos ¿El recurso más valioso?, IDC 397 30 de junio de 2017) ya hemos abordado la importancia de los datos en la actualidad. La era digital es una realidad y a cada instante todos nos encontramos compartiendo una gran cantidad de información por medio de los diferentes dispositivos que tenemos al alcance.

Los avances tecnológicos han simplificado la vida cotidiana en muchos aspectos, pero en otros han representado riesgos considerables que no pueden pasarse por alto.

Hoy en día no es indispensable memorizar los números de una agenda telefónica o las rutas de las calles de una ciudad, pues por lo que hace a la primera el teléfono móvil cuenta con una memoria para resguardar todos esos datos y la segunda existen aplicaciones capaces de guiarnos a casi cualquier dirección. Hace 30 años, las personas debían memorizar esos números o al menos anotarlos en una agenda y verificar muchas veces las rutas a seguir para poder llegar a su destino. Los adelantos tecnológicos han simplificado esos aspectos, pero qué sucede en el momento en que no podemos acceder al móvil o no tenemos acceso a Internet para esas dos acciones.

Antes era necesario acudir a las sucursales bancarias para desahogar un gran número de trámites (depósitos, consultas, compras, etc.), ahora es posible efectuarlos por medio de la banca en línea o aplicaciones desde los dispositivos móviles. En este punto surge una interrogante delicada, ¿es completamente seguro el uso de estos medios?

El 14 de mayo pasado por la tarde se difundió la noticia de que hackers habían robado millones de pesos en nuestro país a través de transferencias bancarias, el ya conocido caso del “SPEI”.

.
 .  (Foto: IDC)

Caso SPEI

Los bancos sufrieron sustracción de recursos no autorizados por medio del Sistema de Pagos Electrónicos Interbancarios (SPEI) y los clientes adolecieron demoras en sus transacciones electrónicas por una migración a un sistema de pagos más seguro por prevención.

El SPEI es un instrumento para transferir fondos entre instituciones financieras, como lo son los bancos; este fue estrenado en 2004 y permite efectuar transferencias electrónicas entre las instituciones financieras por Internet o vía móvil en tiempo real las 24 horas del día los 365 días del año.

En este participan bancos, casas de bolsa, casas de cambio, administradoras de fondos para el retiro, instituciones de seguros, sociedades distribuidoras de acciones de sociedades de inversión, sociedades financieras de objeto limitado y sociedades operadoras de sociedades de inversión.

El Banco de México (Banxico) es el quien opera y es propietario de este instrumento, siendo su supervisor y principal regulador. La Ley de Sistema de Pagos especifica que entre sus objetivos está que los sistemas de pago (como SPEI) sean seguros y eficientes.

Respecto al caso en concreto, Banxico reportó que desde el 27 de abril se presentaron incidentes operativos en quienes utilizan el SPEI que afectaron a algunas instituciones financieras en el servicio de transferencias electrónicas. A causa de ello, cinco instituciones financieras registraron transferencias no autorizadas vía SPEI desde el 27 de abril y hasta al menos el 11 de mayo.

Ello significó que las entidades financieras tuvieron retiros de dinero sin autorización desde cuentas falsas. Los incidentes se registraron en algunos aplicativos e infraestructura de cómputo de ciertos participantes para preparar sus órdenes de pago y conectarse al SPEI. Se estima que las cinco entidades financieras sufrieron un robo de aproximadamente 300 millones de pesos, medios internacionales refieren que fueron 400 millones, no obstante, hasta este momento se desconoce el monto exacto.

Respuesta de Banxico

Al respecto, el Banco de México (Banxico) publicó en el DOF del 17 de mayo pasado dos circulares (4/2018 y 5/2018) derivadas de los sucesos acontecidos desde el 27 y 30 de abril de 2018 respecto a las afectaciones de algunos participantes en el servicio de transferencias electrónicas del SPEI.

Banxico refiere que la infraestructura y el sistema central del SPEI no ha sufrido afectación alguna y que no existían indicios de que se hubiesen visto afectados los recursos de los clientes en ninguna de las instituciones participantes en el SPEI; incluso destaca que es conveniente hacer del conocimiento del público las acciones que han realizado para coadyuvar a que las instituciones participantes en el sistema refuercen sus procesos e infraestructura tecnológicas para mitigar el riesgo de ocurrencia de este tipo de incidentes.

Por ello, Banxico decidió emitir disposiciones que otorguen a las instituciones de crédito y demás entidades que prestan el servicio de transferencia de fondos, espacio para que estas implementen medidas de control adicionales encaminadas a fortalecer sus sistemas de detección de transferencias irregulares, verificar la integridad de sus operaciones y evitar posibles afectaciones a dichas instituciones, al resto de los participantes y al sistema en su conjunto.

Por medio de la Circular 4/2018 y hasta que Banxico lo considere conveniente, los participantes contarán con un día para entregar en efectivo o cheques de caja los recursos correspondientes a transferencias de fondos entre participantes o traspasos al interior de ellos, por montos iguales o superiores a 50 mil pesos, excepto en aquellos casos autorizados expresamente por los participantes, respecto de cada cliente, con base en sus características y operatividad.

Lo anterior, se traduce en que si a un cliente le depositan 50 mil pesos o más y quiere ir recogerlos en efectivo o en cheques de caja el mismo día que le fueron depositados no podrá hacerlo y tendrá que esperar un día hábil para ello. Sin embargo, si la entidad financiera autoriza expresamente la entrega de los recursos, podrá cobrar todo en efectivo o cheque de caja.

Esto no afecta que el cliente tendrá en su cuenta el total del dinero depositado a partir del momento en que sea autorizada la transacción y podrá llevar a cabo traspasos de sus recursos por medio de tarjetas de débito, transferencias electrónicas o traspasos de fondos, desde el instante en que sean acreditados en su cuenta.

Mediante la Circular 5/2018, a los participantes en el SPEI que reciban transferencias de fondos, y que así lo soliciten, se les podrá autorizar que puedan llevar a cabo las validaciones de dichas transferencias en periodos de tiempo superiores a los establecidos en las reglas aplicables para el abono de los recursos en las cuentas de los clientes beneficiarios (cinco o 30 segundos, dependiendo del tipo de participante), hasta en tanto concluyan las automatizaciones de las verificaciones que deben desarrollar.

Con estas modificaciones se pretende fortalecer los mecanismos de detección de traspasos de dinero irregulares, constatar la integridad de las operaciones y evitar afectaciones al sistema financiero en su conjunto.

Conclusiones

La razón principal por la que los crímenes en el mundo digital están en alza o en auge es que son rentables. Las barreras geográficas en el ciberespacio desparecen a cada instante y existen paraísos digitales, donde los perpetradores de hechos ilícitos suelen refugiarse para continuar con sus actividades.

Los ciberdelincuentes suelen ser organizados, metódicos, disciplinados y sobre todo tienen muy claro cuál es su objetivo al momento de cometer un crimen. Los ciberdelitos en nuestro país no tienen una legislación en especial. A lo largo de diferentes periodos legislativos se ha intentado introducir una legislación al respecto, pero esta nunca ha sido afortunada. A nivel internacional existe la Convención de Budapest que establece ciertas líneas de acción, sin embargo, no se han puesto en marcha muchas de ellas, salvo lo que se refiere a los delitos contra derechos de autor y propiedad intelectual.

Los cibertaques son una constante y no se puede permanecer más tiempo al margen de estos. La prevención suele ser una de las principales herramientas para evitar sufrir las consecuencias catastróficas que puede desatar una amenaza de semejante calibre.

La marcada dependencia en las nuevas tecnologías ha hecho vulnerables tanto a individuos (particulares) como a colectivos (empresas y gobiernos). Anteriormente, las grandes empresas de tecnología trataban de evitar o ignorar la regulación, ahora ha cambiado, pues la tecnología suele ser incontrolable; el mejor ejemplo es Facebook, donde Mark Zuckerberg dio la bienvenida a la regulación siempre y cuando esta sea adecuada.

El debate sobre qué es preferible si una heteroregulación o una autorregulación sigue abierto, quienes cuestionan esta última señalan que la tecnología es incontrolable y que es indispensable poner ciertas barreras para evitar un caos.

Se ha señalado que el ataque ocurrido contra el sistema SPEI fue originado por los mismos trabajadores de los bancos, la investigación sigue abierta y tomará tiempo encontrar a los responsables.

Incluso hay quienes catalogan el ataque como “ciberterrorista”, ya que tiene aspectos similares a uno de los primeros casos de ciberterrorismo documentados en la historia. En Estonia, país ubicado en el Mar Báltico, en 2008 todo el sistema financiero fue hackeado por un día por un adolescente de origen ruso cuya motivación se centraba en protestar en contra del gobierno local porque este había removido todos los monumentos pertenecientes al pasado soviético de las principales plazas de la capital Tallin.

Hasta el momento en el caso del SPEI no hemos tenido a ningún grupo subversivo o reaccionario (por ejemplo: Estado Islámico) que se atribuya el ataque para poder catalogarlo como ciberterrorista. Habrá que esperar a que concluya la investigación para conocer la motivación de los ejecutores de estos actos.

Lo que demuestra este caso sin lugar a dudas es la falta de preparación que tiene, no solamente el sistema financiero, sino el país en general en este campo. Lo ocurrido debe ser una llamada de alerta para que tanto particulares como empresas y gobierno tomen medidas al respecto para prevenir amenazas de esta índole.

Eric Schmidt y Jared Cohen, ambos de Google, en su obra el futuro digital, refieren que, si los ciberterroristas ponen en riesgo con éxito la seguridad de la red de un gran banco, todos los datos y dinero de sus clientes estarían en riesgo; incluso siendo una amenaza, en las circunstancias apropiadas, podría causar una desbandada de clientes del banco.

Para prevenir los ciberdelitos, Carlo Ratti, director del Senseable City Lab del MIT, propone el empleo de piratas informáticos, lo cual traería una poderosa ventaja al diseñar una red de seguridad más estrecha y en el diagnóstico de los sistemas existentes.

Contar con hackers éticos al interior de las empresas conllevaría el desarrollo de sistemas más resistentes, teniendo en casa expertos que pueden fácilmente identificar los defectos o puntos débiles. Una práctica de semejante índole tanto en empresas como en gobiernos implicaría una disminución de las amenazas, sustituyendo actores que pueden ser amenazas en soluciones, e incluso abriría un nuevo mercado laboral para aquellos interesados en las nuevas tecnologías.

“El poder los ciberterroristas es que colaboran entre ellos, mientras que las empresas o gobiernos víctimas de los ataques se mantienen en silencio por miedo a que se dañe su reputación; este pensamiento debe revertirse y generar el intercambio de información para poder crear antídotos”.

Según Peter Cochrane, ingeniero electrónico afirma que no es inteligente depender una sola nube; si se esparce y es interceptada, el delincuente solo se apoderará de una parte, no de la cadena completa.

La nube ofrece más seguridad que el Internet porque permite repartir la información en varios lugares, dificultando la tarea de los ciberdelincuentes, ya que la información se encuentra dividida o diseccionada. Según PWC, alrededor del 78 % de las empresas en nuestro país gasta menos del 20 % de su presupuesto en servicios en la nube.

La industria 4.0 nos ofrece la nube como el vehículo más eficiente para dotarnos de soluciones de ciberseguridad.

Actualmente, la mayoría de las empresas, tanto grandes corporativos como pymes tienen una combinación de nubes que han sido denominadas como ambientes híbridos para resguardar la información.

El reto será el cambio cultural necesario para que los consumidores aprendan a protegerse y resguardar su información, elijan servicios adecuados y mantengan la disciplina del uso de la tecnología siempre pensando en la seguridad.


.
 .  (Foto: IDC)