Seguridad digital: lo que debe hacer y lo que definitivamente no
A pesar de las amenazas y el miedo, los usuarios tienen formas de protegerse en un mundo que normalmente explota la ingenuidad y la negligencia de las personas.
Santiago La Rotta
Todos los días son especiales, literalmente. Hace un par de semanas fue el Día Internacional de la Eliminación de la Violencia contra la Mujer, justo después del Día Mundial de la Televisión. Esta semana hay quienes quizá celebraron el Día de las Felicitaciones Electrónicas enviando postales por email. Y el 30 de noviembre fue el Día Internacional de la Seguridad Informática, en el que puede que no haya mucha celebración, sino más reflexión.
Reflexión que suele incluir cifras como estas: los ataques digitales han aumentado 40 % en Latinoamérica, y Colombia es el tercer país más afectado por esta práctica en la región. Casi 80 % de los latinoamericanos fueron víctimas de esta práctica en 2015, según una encuesta. Y otro estudio concluye que 25 % de las redes públicas de wifi en el mundo no cuentan con ninguna medida de seguridad informática.
Aunque estos análisis se hacen con la intención de esclarecer cómo opera el negocio del cibercrimen, lo que termina pasando usualmente es que todos nos morimos del miedo. Bajo esta luz, internet es un lugar sin dios ni ley y los usuarios, como una doncella medieval, están a la merced de peligros y problemas sin mayor remedio.
Colombia tiene problemas específicos de seguridad en su ecosistema digital, pero eso no significa que en esta fábula la doncella no tenga opciones. Los siguientes expertos hablan de estos temas: Santiago Hernández, consultor de seguridad; Adrián Tovar, investigador de cómputo forense; Giovanni Cruz, CEO de la corporación Csiete, y Daniel Quintero, viceministro TI.
Uno de los retos que identificaron los analistas es la ausencia de suficiente información pública sobre los ataques de seguridad informática. En Colombia, las empresas no están obligadas a reportar sus incidentes en este tema. Cuando suceden los ataques, las compañías prefieren no revelarlos para proteger su reputación corporativa. Esto, como en cualquier delito, genera subregistro, o sea, es muy difícil diagnosticar y tratar un problema si no se conocen sus mecanismos de funcionamiento.
“Vemos que las autoridades desarticulan frecuentemente bandas dedicadas a fraudes bancarios en internet, por ejemplo. Pero a la vez el Gobierno nos dice que Colombia es uno de los países con mejor seguridad digital en la región. Esas narrativas no cuadran. Falta información”, dice Hernández.
Otro de los puntos en los que coincide la mayoría de los expertos consultados es que el marco normativo de seguridad digital en el país, si bien ha tenido mejorías en años recientes, sigue estando muy orientado a proteger al Estado y a las compañías, y no tanto al usuario final. Esto tiene cierto sentido si se tiene en cuenta que, en 2015, 40 % de las empresas de Latinoamérica sufrió un ataque con software malicioso (malware). Algunos especialistas incluso han llegado a afirmar que el cibercrimen genera más pérdidas financieras que el tráfico de drogas.
Esta semana, el Ministerio TIC anunció la realización del primer estudio que se hace en el país para medir el impacto económico del cibercrimen; el análisis se hace en conjunto con la OEA. “Con un ambiente digital seguro se promueve la prosperidad económica y social, ya que los ciudadanos perderán el temor a realizar compras y trámites en línea, transacciones de gobierno electrónico, compras públicas, entre otras actividades que contribuyen al crecimiento económico del país. Por ello, los resultados y el análisis de la información obtenida nos ayudarán a todos para estar mejor preparados ante los riesgos del ámbito digital”, en palabras del viceministro TI.
Quintero asegura que algunos de los puntos flacos de la seguridad digital en las instituciones colombianas tienen que ver con que, en su mayoría, hay una “falta de conciencia, especialmente en la alta dirección, lo cual repercute en que las áreas encargadas de esta gestión no tengan el apoyo necesario en recursos, ni en la agenda de prioridades de estas entidades”.
La falta de una cultura de seguridad digital es un asunto que permea empresas e instituciones y genera que las compañías no tengan un oficial de seguridad digital o incluso un departamento para tratar el tema, por ejemplo.
Pero esto es algo que va más allá del mundo empresarial. Cruz dice que “aquí no se hace mucha investigación en seguridad informática y lo que sí tenemos es mucho culebrero. En una empresa en la que trabajé, el gerente de mercadeo decía que este tema se vende con sexo o con miedo: una mujer bella o el terror de un ataque convencen a un cliente. No se habla de cuáles son las necesidades de los usuarios. Los ingenieros que programan, que desarrollan los productos, no hablan de seguridad. No existen muchas universidades que tengan integrado este tema transversalmente en sus programas”.
Ahora bien, en todo este escenario, el usuario es la parte más vulnerada en todo el ecosistema digital. Y los usuarios colombianos, en particular, sufren más por causas como la falta de actualización de sus sistemas operativos y en general de todas sus herramientas digitales. “La gente está muy acostumbrada a descargar cosas de todo lado, a ejecutar archivos de donde sea, y así se exponen mucho más”, asegura Hernández.
Lo dicen una y otra vez los analistas: aplique el sentido común cuando utilice su correo electrónico, no haga clic en todo lo que ve, no existen cosas realmente gratis, verifique quién le envió esa promoción que parece irresistible, examine la página a donde lo llevó un supuesto correo de su banco. “Hay casos en los que hacemos ataques para verificar la seguridad de un sistema. Mandamos correos desde una dirección cualquiera en Gmail con un texto que dice algo como ‘la persona con la que usted está no es quien usted cree’. Todo el mundo hace clic en un enlace y ahí ya queda infectado ese computador”, cuenta Cruz, mientras que Tovar asegura que entre 70 % y 80 % de los casos de fraude bancario que analiza arrancan cuando una persona le hace caso a un correo fraudulento que resulta no ser del banco.
Estos esquemas se replican ahora a través de Whatsapp, la aplicación más usada en Latinoamérica, según un estudio de IMS y Comscore: “Promociones, ofertas, descuentos, ¡gratis, gratis, gratis!”. Todas palabras que suelen ser parte del repertorio de los ataques para robar datos o tomar control remoto de un celular. Por eso, de nuevo, el usuario debe utilizar el sentido común y dudar. Siempre dudar y verificar.
Otro de los puntos transversales en el análisis es el mal uso de las contraseñas. Este no es un problema típico colombiano, sino típico de toda la humanidad. Repetir contraseñas o formular combinaciones débiles es la práctica común y es la forma más sencilla de facilitar ataques digitales.
Nadie quiere recordar 70 contraseñas diferentes, con letras, números y caracteres especiales (¿cuántos pueden incluso?). Lo bueno es que no hay que hacerlo, necesariamente. Hay administradores de contraseñas que guardan una copia segura de estas en un computador o en la nube. Usar estas herramientas es una capa extra de defensa. Y, si va a hacer un respaldo de esta información en un papel, no es sabio dejarlo a la vista de todo el mundo, en una nota pegada en la pantalla del computador de la oficina.
Otro de los consejos es habilitar la verificación en dos pasos que ofrecen servicios como Gmail, Facebook o Twitter. Esto significa que, después de ingresar la contraseña, el usuario recibe un código único en el número celular que tenga registrado en estas plataformas, sin el cual no puede ingresar a su cuenta.
Todas estas son capas extra de seguridad que pueden ayudar a proteger la información de los usuarios en un mundo en el que lo que más se vende es miedo e incertidumbre. Si bien ninguna tecnología es 100 % segura, siempre hay cosas por hacer. La batalla no está perdida.
Todos los días son especiales, literalmente. Hace un par de semanas fue el Día Internacional de la Eliminación de la Violencia contra la Mujer, justo después del Día Mundial de la Televisión. Esta semana hay quienes quizá celebraron el Día de las Felicitaciones Electrónicas enviando postales por email. Y el 30 de noviembre fue el Día Internacional de la Seguridad Informática, en el que puede que no haya mucha celebración, sino más reflexión.
Reflexión que suele incluir cifras como estas: los ataques digitales han aumentado 40 % en Latinoamérica, y Colombia es el tercer país más afectado por esta práctica en la región. Casi 80 % de los latinoamericanos fueron víctimas de esta práctica en 2015, según una encuesta. Y otro estudio concluye que 25 % de las redes públicas de wifi en el mundo no cuentan con ninguna medida de seguridad informática.
Aunque estos análisis se hacen con la intención de esclarecer cómo opera el negocio del cibercrimen, lo que termina pasando usualmente es que todos nos morimos del miedo. Bajo esta luz, internet es un lugar sin dios ni ley y los usuarios, como una doncella medieval, están a la merced de peligros y problemas sin mayor remedio.
Colombia tiene problemas específicos de seguridad en su ecosistema digital, pero eso no significa que en esta fábula la doncella no tenga opciones. Los siguientes expertos hablan de estos temas: Santiago Hernández, consultor de seguridad; Adrián Tovar, investigador de cómputo forense; Giovanni Cruz, CEO de la corporación Csiete, y Daniel Quintero, viceministro TI.
Uno de los retos que identificaron los analistas es la ausencia de suficiente información pública sobre los ataques de seguridad informática. En Colombia, las empresas no están obligadas a reportar sus incidentes en este tema. Cuando suceden los ataques, las compañías prefieren no revelarlos para proteger su reputación corporativa. Esto, como en cualquier delito, genera subregistro, o sea, es muy difícil diagnosticar y tratar un problema si no se conocen sus mecanismos de funcionamiento.
“Vemos que las autoridades desarticulan frecuentemente bandas dedicadas a fraudes bancarios en internet, por ejemplo. Pero a la vez el Gobierno nos dice que Colombia es uno de los países con mejor seguridad digital en la región. Esas narrativas no cuadran. Falta información”, dice Hernández.
Otro de los puntos en los que coincide la mayoría de los expertos consultados es que el marco normativo de seguridad digital en el país, si bien ha tenido mejorías en años recientes, sigue estando muy orientado a proteger al Estado y a las compañías, y no tanto al usuario final. Esto tiene cierto sentido si se tiene en cuenta que, en 2015, 40 % de las empresas de Latinoamérica sufrió un ataque con software malicioso (malware). Algunos especialistas incluso han llegado a afirmar que el cibercrimen genera más pérdidas financieras que el tráfico de drogas.
Esta semana, el Ministerio TIC anunció la realización del primer estudio que se hace en el país para medir el impacto económico del cibercrimen; el análisis se hace en conjunto con la OEA. “Con un ambiente digital seguro se promueve la prosperidad económica y social, ya que los ciudadanos perderán el temor a realizar compras y trámites en línea, transacciones de gobierno electrónico, compras públicas, entre otras actividades que contribuyen al crecimiento económico del país. Por ello, los resultados y el análisis de la información obtenida nos ayudarán a todos para estar mejor preparados ante los riesgos del ámbito digital”, en palabras del viceministro TI.
Quintero asegura que algunos de los puntos flacos de la seguridad digital en las instituciones colombianas tienen que ver con que, en su mayoría, hay una “falta de conciencia, especialmente en la alta dirección, lo cual repercute en que las áreas encargadas de esta gestión no tengan el apoyo necesario en recursos, ni en la agenda de prioridades de estas entidades”.
La falta de una cultura de seguridad digital es un asunto que permea empresas e instituciones y genera que las compañías no tengan un oficial de seguridad digital o incluso un departamento para tratar el tema, por ejemplo.
Pero esto es algo que va más allá del mundo empresarial. Cruz dice que “aquí no se hace mucha investigación en seguridad informática y lo que sí tenemos es mucho culebrero. En una empresa en la que trabajé, el gerente de mercadeo decía que este tema se vende con sexo o con miedo: una mujer bella o el terror de un ataque convencen a un cliente. No se habla de cuáles son las necesidades de los usuarios. Los ingenieros que programan, que desarrollan los productos, no hablan de seguridad. No existen muchas universidades que tengan integrado este tema transversalmente en sus programas”.
Ahora bien, en todo este escenario, el usuario es la parte más vulnerada en todo el ecosistema digital. Y los usuarios colombianos, en particular, sufren más por causas como la falta de actualización de sus sistemas operativos y en general de todas sus herramientas digitales. “La gente está muy acostumbrada a descargar cosas de todo lado, a ejecutar archivos de donde sea, y así se exponen mucho más”, asegura Hernández.
Lo dicen una y otra vez los analistas: aplique el sentido común cuando utilice su correo electrónico, no haga clic en todo lo que ve, no existen cosas realmente gratis, verifique quién le envió esa promoción que parece irresistible, examine la página a donde lo llevó un supuesto correo de su banco. “Hay casos en los que hacemos ataques para verificar la seguridad de un sistema. Mandamos correos desde una dirección cualquiera en Gmail con un texto que dice algo como ‘la persona con la que usted está no es quien usted cree’. Todo el mundo hace clic en un enlace y ahí ya queda infectado ese computador”, cuenta Cruz, mientras que Tovar asegura que entre 70 % y 80 % de los casos de fraude bancario que analiza arrancan cuando una persona le hace caso a un correo fraudulento que resulta no ser del banco.
Estos esquemas se replican ahora a través de Whatsapp, la aplicación más usada en Latinoamérica, según un estudio de IMS y Comscore: “Promociones, ofertas, descuentos, ¡gratis, gratis, gratis!”. Todas palabras que suelen ser parte del repertorio de los ataques para robar datos o tomar control remoto de un celular. Por eso, de nuevo, el usuario debe utilizar el sentido común y dudar. Siempre dudar y verificar.
Otro de los puntos transversales en el análisis es el mal uso de las contraseñas. Este no es un problema típico colombiano, sino típico de toda la humanidad. Repetir contraseñas o formular combinaciones débiles es la práctica común y es la forma más sencilla de facilitar ataques digitales.
Nadie quiere recordar 70 contraseñas diferentes, con letras, números y caracteres especiales (¿cuántos pueden incluso?). Lo bueno es que no hay que hacerlo, necesariamente. Hay administradores de contraseñas que guardan una copia segura de estas en un computador o en la nube. Usar estas herramientas es una capa extra de defensa. Y, si va a hacer un respaldo de esta información en un papel, no es sabio dejarlo a la vista de todo el mundo, en una nota pegada en la pantalla del computador de la oficina.
Otro de los consejos es habilitar la verificación en dos pasos que ofrecen servicios como Gmail, Facebook o Twitter. Esto significa que, después de ingresar la contraseña, el usuario recibe un código único en el número celular que tenga registrado en estas plataformas, sin el cual no puede ingresar a su cuenta.
Todas estas son capas extra de seguridad que pueden ayudar a proteger la información de los usuarios en un mundo en el que lo que más se vende es miedo e incertidumbre. Si bien ninguna tecnología es 100 % segura, siempre hay cosas por hacer. La batalla no está perdida.