Gustavo Ríos, es Cibersecurity Partner de la consultora Cyberstrust Latam, empresa que lleva casi una década asesorando y trabajando en «equipos de rescate» de ciberataques en Chile y otros 5 países de la región. En este Diálogos Sostenibles admite que el impacto de estos crímenes es cada vez mayor desde el punto de vista «operativo, financiero, legal y de cumplimiento», de las compañías. 

«Se espera que cada vez sean más complejos, que incluyan tecnologías disruptivas, como la Inteligencia Artificial (IA). Es un tema que no va a disminuir. Es una realidad  que llegó para quedarse y hay que analizarlo desde el punto de vista estratégico para ponérsela más difícil al ciber criminal», sentencia de entrada.

¿Cómo es hoy un clásico ciberataque a una empresa?

Cuando me inicié en ciberseguridad, estaban orientados, muchas veces, a ganar fama. Hubo un caso emblemático de un ciberataque a la Nasa, en que la persona terminó presa, pero después fue contratado para robustecer los sistemas. Hoy ha ido evolucionando a cosas no tan sencillas, a cómo funciona el negocio.  Puede que entren por la cadena de suministro, por ejemplo. La verdad es que con toda la tecnología a la que están expuestas las compañías, con todos sus proveedores, la tecnología en la nube, la superficie de ataque que tiene un cibercriminal es bastante amplia y es algo que la empresa debe conocer y robustecer.

¿Cuál es la realidad de las empresas en Chile? ¿Qué tan prioritario es el tema ?

Cada vez es más prioridad. Un gran hito fue cuando atacaron al Banco de Chile en 2018. Ahí la demanda creció de manera exponencial. He tenido la oportunidad de trabajar en equipos de respuesta a incidentes, como el famosos ranson, el malware que ataca sistemas, secuestra la información, en  empresas pequeñas, de retail. La verdad es que ninguna compañía que tenga acceso, que utilice una plataforma tecnológica para operar, para comercializar con sus clientes, está exenta. Hay que tomar consideraciones. Entender el modus operandis de hoy, que también ha ido migrando a atacar los usuarios de los sistemas. El famoso cuento del tío bancario.

Las empresas más avanzadas prohiben internamente el uso de sistemas como gmail u otros . ¿A eso deberían tender todas las compañías?

Es una forma de cuidarse. Que no podamos tener acceso a cuentas personales a través de plataformas corporativas, ya es una realidad. Muchas empresas ya han bloquearon chat GPT y otros,  pues todas esas son vías donde pueda haber fuga de información.

¿Osea eso sería el «desde» ?

Realmente es el desde. Pero son múltiples capas. Muchas veces uno ve a la ciberseguridad como una cebolla que tiene un núcleo, pero múltiples capas para llegar a él, que podrían ser los controles, que se la ponen más difícil al cibercriminal o al usuario interno que se quiere portar mal.

Digital y sustentable

Hace poco se publicó la Ley Marco de Ciberseguridad, ¿cuál es el alcance de ella?

Es algo 100% necesario cen un planeta donde cada vez se masifican los canales digitales. Estamos buscando una economía digital sustentable, evitando que haya fraudes. Si queremos tener como país, como planeta, una economía digital sustentable, es necesario colocar medidas de ciberseguridad. Cuando hacemos la bajada, el tema de ciberseguridad ya no está sólo en las compras que hacemos sino que en los sistemas. En los que manejan la transmisión y distribución de energía eléctrica, el suministro de agua, transporte, empresas portuarias. También tienen sistemas digitales que controlan, desde puertas que se abren, hasta las mismas transacciones, o hasta los componentes químicos, todos tienen oportunidad de ser manipulados por un atacante. Y ahí ya no estamos hablando de un incidente donde me hackearon la cuenta del banco, si no que de infraestructura de la que dependen vidas humanas. Infraestructura crítica.

Que también pueden tener un impacto importante en el medioambinte, pensando en derrames, explosiones…

Las empresas cada vez toman más conciencia de esto, quizá ya le han ocurrido incidentes donde se bloquea una maquina, una cuenta de correo o el famoso phishing, pero cuando esos incidentes actúan sobre la red que controlan, que abren o cierran válvulas , que encienden un mecanismo para enfriar un motor y evitar una explosión, o algo por el estilo, de eso dependen vidas humanas, o que un gas o un químico peligroso llegue a un rio y lo contamine.

Por eso la Ley Marco de Ciberseguridad es un gran paso al frente, para incluso sancionar a empresas que no cumplan. Y lo importante es que la aplicabilidad es bastante amplia, no solo para empresas públicas, también privadas, de servicios críticos. De alguna manera sube la vara  de los controles de ciberseguridad y la estrategia que debe tener una empresa para hacerle frente a las actividades maliciosas de grupos de ciberatacantes.

Invertir para proteger

¿Hay alguna fórmula que uno pudiera tener en cuenta para saber cuánto es lo que deben invertir las empresas en ciberseguridad? Un porcentaje respecto al valor de la infraetructura, o algo así.

Siempre están las limitaciones de presupuesto. Usualmente se ve al área de ciberseguridad como un gasto. Tenemos que gastar en el firewall, en antivirus, en el servicio consultivo de hacking ético, en las pruebas que hay que hacer para ver si los controles están bien implementados. Hay una máxima, en termas de controles en general, no vale la pena invertir una cifra superior de lo que quieres proteger. 

Es una pregunta compleja porque hay múltiples escenarios, puede ser una empresa de 4 ó 5 trabajadores, una Fintec que no tiene mucho personal pero quizá procesa una gran cantidad de transacciones y  además  almacena tarjetas de crédito o tiene tarjetas virtuales. La cantidad de transacciones justificaría controles mucho más robustos y que la inversión en ciberseguridad sea alta.

No hay una cifra específica, es ajustable, va en función del negocio, de las actividades que la empresa quiera proteger  e incluso, desafortunadamente, depende también del apetito de riesgo de la compañía. Puede ser muy grande, con muchos trabajadores, con datos muy críticos, pero un perfil de riesgo, relajado, por decirlo de alguna manera, y no destina demasiada inversión a ciberseguridad o controles.

¿Para cerrar entonces, las empresas en Chile van al frente en este tema, están en la mitad o al debe? 

Estamos hablando de tecnologías disruptivas, de Inteligencia Artificial, estamos hablando del negocio del cibercrimen, que es muy lucrativo, yo dejaría una respuesta un poco abierta, siempre estaremos al debe.