En un mundo cada vez más digitalizado y con mayores flujos de información y automatización se hace esencial mantener una ciberseguridad adecuada que provea sostenibilidad a las empresas y gobiernos.
A las pandemias del COVID-19 y de las redes sociales se ha unido la epidemia de hackeos, entre los cuales se cuentan el del mayor oleoducto de Estados Unidos (Colonial Pipeline), que transporta gasolina y otros combustibles desde Texas hasta Nueva Jersey (8800 km). Se hizo en mayo de 2021 y resultó en un pago de rescate en bitcoins equivalente a cinco millones de dólares. Los criminales vulneraron una entrada vía VPN (red privada virtual, por sus siglas en inglés) que no contaba con doble seguridad, es decir, solo requería una contraseña sin requerimiento adicional (por ejemplo, mediante un mensaje de texto a un celular).
También en mayo pasado, JBS (nombre formado por las iniciales del nombre de su fundador, el brasileño José Batista Sobrinho), la empresa procesadora de carne más grande del mundo, sufrió ataques que paralizaron su operación en Estados Unidos, Canadá y Australia. En Estados Unidos incluso los departamentos de policía han optado por pagar rescates para no perder información crítica o para no incurrir en el costo de reconstruir los sistemas de información. Para la mayoría de las empresas un riesgo relevante es el de las demandas de sus usuarios por la revelación de información confidencial de ellos que está en poder de las empresas.
Cualquier empleado sin preparación suficiente o con actitud desprevenida puede originar un hackeo al bajar de internet información contaminada o al perder su clave de acceso. La pandemia del COVID-19 desplazó a sus casas a millones de empleados que antes contaban con ambientes más seguros en las oficinas de las entidades donde trabajaban y que en sus hogares estaban sujetos a mayores distracciones por atender múltiples actividades en la familia, como el cuidado de niños y tareas del hogar.
En cualquier lugar donde haya conectividad existen riesgos de ciberseguridad. Muchos procesos ahora están automatizados y reciben órdenes a través de redes informáticas que pueden ser vulneradas.
Entre las acciones que pueden tomar las empresas (algunas de las cuales también pueden ser aplicables a individuos) para protegerse en estos temas está la toma de conciencia del riesgo, es decir, fortalecer la cultura del riesgo.
La ciberseguridad es uno de los tres riesgos de mayor importancia actualmente, según varios sondeos de opinión. Este riesgo debe incorporarse en la planeación estratégica y en los planes de acción de empresas y otras entidades, como las universidades. Las que elaboren Mapas de Riesgo tendrán las herramientas para la identificación, análisis, evaluación y seguimiento de cada riesgo particular relacionado con la ciberseguridad
Todo acceso a computadores, fuentes o redes de información debe incluir un doble control (como una contraseña y la confirmación mediante un código adicional vía mensaje de texto). Actualmente existen herramientas para el acceso sin contraseñas ‒por ejemplo, a través de la identificación biométrica‒, pero su popularización es aún lenta.
Así como en temas de cumplimiento se exige cero tolerancia, en cuestión de ciberseguridad debe manejarse cero confianza para el manejo de los controles.
No hay almuerzo gratis o de eso tan buen no dan tanto, decimos coloquialmente como prevención de lo que no nos cuesta. En verdad, internet provee un gran volumen de información gratuita, pero no por eso está libre de riesgos que pueden resultar muy costosos.
Juan L. Gómez
Enero, 2022