Los tres grandes rubros de ciberataques que veremos este año son:
1. Malware sofisticado que va cambiando cada vez más
2. Phishing, que busca suplantar la identidad a través de un correo electrónico o sistema de mensajería instantánea
3. Botnets: Robots que ingresan a cualquier computadora o red, empiezan a tomar información a través de Inteligencia Artificial. 'Toma comportamiento de diferentes áreas, por ejemplo a la hora de pagar planilla. Ya no es que te ataquen por atacar, sino como ataque dedicado. Ven cuando se paga planilla, cuándo se saca un nuevo producto, empiezan a entender quién saca mejores productos y así', explicó Lucila Barrios, gerente comercial de Fortinet para Centroamérica.
'Hoy puedes contratar empresas de ciberataques para dañar a otras compañías', dijo Danny Cruz, country manager de Fortinet en El Salvador. La empresa es el principal proveedor de ciberseguridad global que ha fortalecido su presencia en la región gracias al auge de transformación digital que vive Centroamérica.
Para Barrios, las organizaciones en la región están caminando rápido a una adopción de tecnología y protección de datos: 'En el tema del panorama de las amenazas, todos los empresarios son más conscientes que deben de estar innovando. Dentro del estudio que hizo Foro Económico Mundial detectó que el 74% dijo que el top 5 de riesgos vendrán de ciberataques. Las preocupaciones top 4 y 5 son en ámbito de tecnología: robo de información, daño de infraestructura'.
Barrios insistió: 'Los empresarios están tomando en serio esto con distintos planes de tecnología, pero todavía hace falta mucho por hacer una conciencia más allá que me infecto. Un virus. Es lo más que está en la cabeza de muchos empresarios. Los ataques van más allá: robo de información, pérdida de información, mal reputación'.
Por ejemplo, dijo Barrios, si una empresa de retail en El Salvador se queda sin poder operar su caja registradora en Black friday es gravísimo. 'Hay amenazas para robarte dinero y te realizan una Denegación de servicios. Te mandan un malware, te bota el servidor por dos horas y con eso perdiste montón de plata que la puedes cuantificar Lo que no puedes cuantificar es la reputación de tu marca'.
Cruz puntualizó que los ciberataques se pueden extender a los sistemas de salud de la región. 'Hay temas más delicados como el robo de una base de pacientes de un hospital. La bitácora de pacientes con enfermedades complicadas que sea intercambiada o sea robada. Son temas delicados que ya se han podido mitigar en el país con nuestras soluciones'.
Los perfiles requeridos para trabajar en soluciones de ciberseguridad son los relacionados a conocimiento de networking, seguridad Cloud, Internet de las Cosas y Big Data. Fortinet impulsa que las universidades centroamericanas enseñen materias de ciberseguridad.
¿Cuál es el ABC para invertir en ciberseguridad?
Barrios dijo que debe de haber una planificación primera. '¿Adónde quiero llevar a mi PYME en tecnología? Esto es infraestructura: si quiere tener tus páginas en cloud, si quiere tener acceso a POS en tus dispositivos móviles, si sabes cómo estará tu red PYME tienes que tener cuál es tu plan de protección. Debes contar con procesos, debes tener claro cuáles serán tus políticas de seguridad: firewall, Switch con acceso de seguridad, un Access Point que tenga las políticas de seguridad, que se interconecte entre sí. Esto se llama Secure access'.Esto es básico que lograr: f iltro de información al que se accesa en internet, adónde estás navegando, que no se conecte ningún malware a tu red. 'También logras un usuario informado: qué cosas puedes recibir, cuáles no, conductas que sí pueden hacer sus empleados y no', dijo Barrios.
Fortinet ha invertido en analizar el comportamiento del usuario en internet. Es así que sabe cómo se previene el tráfico malicioso en internet:
1. Con Firewalls
2. Con Access Point
3. Con Switches
'Todo esto se llama Security Fabric, que dispositivos trabajen integrados en políticas, procesos, que de una consola puedas monitorear el tráfico, si viene una red WIFI, que puedan identificar que vino de X red, que interconexión va a estar bloqueada y no puede pasar a más'.
¿Desde dónde vienen las principales amenazas? 'El tema del crecimiento en amenazas es correo electrónico, es donde más despunta', dijo Cruz. Barrios complementó: 'Los temas de phising siguen pasando, cada vez es más sofisticado y el usuario sigue cayendo. Cada vez es más sofisticado'.
El usuario es el protagonista número uno de regar un ataque. 'El ransomware es de lo más famoso y todo se resume en secuestro de la información que es donde nosotros tenemos soluciones desde IoT hasta la nube. Damos valor a las compañías llevándoles nuestras visiones integradas. Nuestros clientes puede ver en qué momento están siendo atacados porque tienen visibilidad a través de una sola consola: red inalámbrica, servidores de aplicaciones, de página web', dijo la ejecutiva.
¿Hace falta evangelización a usuarios y empresarios? ¿Qué tanto destinan los empresarios de su presupuesto para buscar una medicina preventiva?
'Tenemos un gran reto como fabricantes de ciberseguridad que es la evangelización', dijo Barrios. 'Hoy con los empresarios tenemos la visión de evangelizar en uso de tecnología y cómo se puede usar. Primero capacitamos a todo nivel, gerente general, analista, usuario final'.
A nivel global el presupuesto de ciberseguridad es de 17%. 'Las estrategias de las empresas se han dado cuenta que al dejar el pilar de seguridad a un lado las empresas terminan gastando más post crisis porque han perdido información, porque el sitio se cayó. Buscamos apoyar y empoderar a los VP, llevar la conversación de inversión a otro nivel. No hablando de bit and bites, sino cómo afecta al negocio', apuntó Barrios
¿Mejores prácticas?
¿Qué pasa en una empresa en caso de una contingencia? ¿Qué pasa si hay un ataque en la red? 'Es importante que los empresarios tengan un plan: de ciberseguridad, si no tienen una normativa, por lo menos una noción de qué normativas sirven y tener un plan propio. También una estrategia clara en función de cada tecnología y cómo lo va a hacer. Lo otro es tener la tecnología adecuada. Tener el personal capacitado, preocupado, que sepan de mejores prácticas'.
