Por Georgina Baltazar Gaytán
Un hecho sin precedentes ocurrió a principios de mayo, cuando el Departamento de Defensa de Estados Unidos ofreció una recompensa de 10 millones de dólares (mdd), a quien proporcionara información para la identificación o localización de los responsables del ataque perpetrado con el ransomware Conti a instituciones del gobierno costarricense, el pasado 18 de abril.

El Buró Federal de Investigaciones (FBI) estima que esta cepa de código malicioso derivada del malware —surgida hace dos años y atribuida al grupo delictivo ruso Wizard Spider— es la más costosa documentada hasta el momento, con más de 1,000 víctimas y pagos por más de 150 mdd.

El ransomware no sólo secuestra información, también busca frenar las operaciones de las empresas o instituciones para negociar un pago de rescate. Además de los costos financieros, tiene afectaciones reputacionales.

En el caso de la nación tica, el ataque estuvo dirigido a obstaculizar los procesos de impuestos y aduanas gubernamentales, así como a afectar a instituciones como el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt). El monto del rescate solicitado fue de 10 mdd, mismo que el gobierno de Costa Rica se negó a pagar.

Leer: El sector Fintech en América Latina y El Caribe crece 112%: BID

En respuesta a este suceso, la Secretaría de Integración Económica Centroamericana (Sieca) implementó un mecanismo informático alternativo al sistema de Tecnología de Información para el Control Aduanero (TICA), con la finalidad de asegurar el flujo comercial de la región.

Un informe de Microsoft indica que, en paralelo a las invasiones militares, Rusia ha disparado cientos de ataques cibernéticos contra Ucrania desde que comenzó el conflicto bélico. Estas tácticas de guerra ‘híbridas’ tienen repercusiones también en otros países, incluyendo a Costa Rica.

Ante este escenario, a través del decreto 43542-MP-MICITT, publicado el 11 de mayo en La Gaceta número 86, el gobierno costarricense declaró Estado de Emergencia Nacional en el sector público. Al cierre de edición aún no estaban definidas las acciones ni el presupuesto para avanzar en una estrategia de ciberseguridad nacional.

Un plagio a la tranquilidad

En general, se está experimentando un crecimiento de ataques por ransomware. De acuerdo con el informe El estado del Ransomware, de Sophos, 64% de las empresas latinoamericanas en 2021 fueron víctimas de un ataque de esta cepa. En Centroamérica, este número se ubicó en 74%, cifra que representa un alza de 25% contra 2020.

SonicWall reporta un crecimiento global de ransomware en 2021 de 105%, con 623 millones de incidentes.

“Las técnicas usadas en los ataques más avanzados pertenecen a las familias de malware más comunes, distribuidas y programadas por criminales con poco conocimiento técnico”, explica Fabio Assolini, analista senior de Seguridad para América Latina de la empresa Kaspersky.

De acuerdo con Assolini, la tendencia de crecimiento en ciberataques como el ransomware ha sido notoria y se refleja en todos los países de la región. Panamá (+60%) y Guatemala (+43%) son los países centroamericanos más afectados. Aunque en 2021 los ataques por malware disminuyeron 4% (luego de haber decrecido 43% en 2020), se espera que nuevamente tengan un repunte, refiere Evaristo Martínez, gerente de canales en México, Centroamérica y El Caribe, de SonicWall, quien hace un llamado a ser más proactivos y a estar atentos para actuar de inmediato ante algún ataque: “Vivimos en una época en la que nadie está exento de ser vulnerado, cualquier gobierno y tamaño de empresa u organización puede ser blanco del crimen cibernético”, enfatiza Martínez.

Otra amenaza tradicional es el phishing (sitios falsos que reciben información de usuarios), la cual actúa con archivos adjuntos que se ejecutan. “Aunque son técnicas antiguas, siguen enganchando a los usuarios”, observa Yuri Rueda, domain expert de Fraude para SAS Latam, quien considera que el daño más rotundo en un ciberataque es el reputacional, “es algo de lo cual no se recupera tan fácilmente.”

Según datos del reporte Phishing Insights 2021, de Sophos, 67% de las empresas latinoamericanas experimentaron un aumento de ataques bajo esta modalidad desde el inicio de la pandemia; en Centroamérica se reportó un crecimiento de 61%.

“Teniendo en cuenta que el phishing es el principal vehículo para iniciar un secuestro de información, hay una correlación interesante en Centroamérica al tener un mayor número de ataques de ransomware que el resto de Latinoamérica, probablemente por una capacidad menos fuerte en la detección de phishing”, comenta Juan Alejandro Aguirre, gerente de Ingeniería en Sophos Latinoamérica.

Un asunto de negocio

Los ataques de ransomware bajo el modelo como servicio (aaS) son una tendencia creciente. Consisten en que un ciberdelincuente invade a una organización a través de hacking o ingeniería social y vende el acceso a un segundo actor para que lo ejecute.

En amenazas avanzadas, uno de los métodos más utilizados es conocido como Living off the Land (LoL), señala el directivo de Sophos, en el cual los actores criminales usan la menor cantidad de malware posible para no ser identificados, en su lugar, usan los propios programas y aplicaciones de la víctima, así como utilidades del sistema operativo (como PowerShell y WMI) para apalancar su actividad maliciosa.

En opinión de Aguirre, “estas amenazas suelen ser más devastadoras. Al no ser identificadas y contenidas en las fases tempranas, el ciberdelincuente logra mayor alcance dentro de la organización a través de movimiento lateral, afectando a más activos de información crítica y provocando costos millonarios para las víctimas”.

Otra técnica es cryptojacking (transacciones con monedas digitales), que tuvo 97.1 millones de ataques, 19% más que en 2020, según SonicWall Capture Labs. La sofisticación consiste en que esta amenaza se mantiene sigilosa gran parte del tiempo.

Le invitamos a seguirnos en la cuenta de Twitter

Además de innovar en sus métodos, ahora los  cibercriminales intensifican el número de  intentos, las intrusiones silenciosas y las alianzas con otros atacantes.

En 2021 las amenazas cifradas registraron un crecimiento de triple dígito: 167% (10.1 millones de ataques).

Si los atacantes están duplicando sus esfuerzos, ¿los gobiernos y las empresas no deberían hacer lo mismo?, cuestiona Juan Carlos Carrillo, director de Cybersecurity, Privacy & Forensic Services, en PwC México.

Si bien se realizan esfuerzos, no son suficientes para avanzar a la velocidad a la que se mueve el cibercrimen, sentencia el directivo. “Nos estamos quedando cortos, ya no podemos pensar ‘a mí no me va a pasar.’”

El volumen y la intensidad de los ataques son tales, que las empresas están siendo obligadas a enfocar su estrategia de protección en ciberseguridad como un asunto de negocio.

Cambio de chip

En el contexto actual, José Cano, director de IDC, señala que para controlar la situación es necesario adoptar un nuevo enfoque pasando de la ‘seguridad perimetral’ a la ‘seguridad dato’. “Ya no basta con cuestionarnos si vamos o no a recibir un ciberataque, sino cuándo y qué impacto tendrá.”

A la par del crecimiento de datos y operaciones, hay un aumento exponencial de amenazas. “En promedio, una empresa podría recibir 500 ataques a la semana. Con que sólo uno tenga éxito, pondría en tela de juicio la viabilidad de esa compañía”, enfatiza José Cano.

Mientras, Yuri Rueda, de SAS Latam, advierte: “El robo de información o datos sensibles es un riesgo que no se puede cuantificar y que puede terminar con la imagen o existencia de cualquier empresa”.

El directivo de SAS en América Latina considera que existe un rezago en ciberseguridad en la región debido a que prevalece la idea de que adquirir soluciones tecnológicas para la prevención de fraudes o disminución de riesgos es un gasto, no una inversión que brinda beneficios.

En tanto, el experto de IDC estima que una organización tarda alrededor de 19 horas en detectar que está sufriendo un ciberataque. Sin embargo, en la encuesta Una triple amenaza en las Américas, de KMPG, la mayoría de directivos participantes respondió que demora un mes.

En 2022, uno de los retos de las organizaciones es determinar qué infraestructura, procesos, aplicaciones y datos son prioritarios para estar más protegidos. La meta es garantizar la continuidad del negocio y las operaciones institucionales.

En este sentido, la inversión para prevenir un ciberincidente siempre va a ser menor a la requerida para hacerle frente a las consecuencias económicas y reputacionales, coinciden los expertos consultados.

Los cibercriminales seguirán aprovechando cualquier brecha de seguridad para enganchar al mayor número de víctimas y ganar jugosos dividendos. En materia de prevención, no hay tiempo que perder.

Descarga gratis la edición impresa de Forbes Centroamérica