Desde el espionaje a los gobiernos, pasando por el ataque a empresas, hasta la instalación de una aplicación maliciosa en el dispositivo móvil. En la era de las tecnologías de la información y la comunicación nadie parece estar a salvo de la vulnerabilidad en materia de privacidad. Educar y sensibilizar, así como prevenir un posible ataque a los sistemas de información, fueron algunas de las premisas que surgieron en un encuentro sobre ciberseguridad organizado por la Academia Nacional de Ingeniería del Uruguay.
Según el ingeniero y docente Gustavo Betarte, fundador del grupo de Seguridad Informática de la Facultad de Ingeniería de la Universidad de la República, en los últimos años se produjo una digitalización de los activos de las empresas, información a la que, una vez subida a los sistemas informáticos, se puede accedr fácilmente. La interconexión de los sistemas internos y su interdependencia de los sistemas externos, junto a la consolidación de determinados estándares comunicacionales como el protocolo de internet, provocaron que la información “abriera una ventana al resto del mundo”.
A su vez, la ciberseguridad involucra aspectos como la propiedad intelectual, la alteración o destrucción de datos, el daño a la imagen corporativa de la empresa, así como fallos en las infraestructuras críticas de los países.
Hace 25 años los problemas de seguridad se basaban en el malware, es decir, “troyanos” o “gusanos” que infectaban una red y generaban determinado tipo de daño. Pero el paradigma cambió. En la actualidad, según Betarte, se desarrollan amenazas persistentes y avanzadas, en las que los criminales van generando poder y pueden estar meses trabajando y “abriendo puertas” para atacar.
En este sentido, el Foro Económico Mundial advirtió que el ciberataque a nivel de los gobiernos se encuentra en el top five de los riesgos globales. Si de empresas se trata, sostuvo Betarte, no importa su dimensión, ya que los cibercriminales buscan atacar los activos: planes de negocios, contratos, datos de empleados, etcétera. Por eso, en su opinión es fundamental sensibilizar para que las instituciones sean más proactivas en cuanto a su seguridad. De esta forma, la threat intelligence (inteligencia de amenazas) es una estrategia que busca visualizar qué está haciendo el enemigo y qué puede hacer la organización para defenderse, así como tratar de entender si en determinado escenario tecnológico hay un problema de seguridad.
“En los sistemas de control industrial ya no se habla de proteger la información o el sistema, sino de proteger la salud, el ambiente y la seguridad. El ciberespionaje va hacia ese lugar”, comentó el ingeniero Santiago Paz, director del área de Seguridad de la Información de la Agencia de Gobierno Electrónico y Sociedad de la Información y la Comunicación (Agesic). En este sentido, uno de los desafíos de Uruguay es atacar esta problemática de forma estructurada.
Homo tecnologicus
Paz manifestó que hay un cambio de paradigma entre la red corporativa y la red personal, ya que las personas incorporan a su trabajo otras herramientas, como su Smartphone o su Tablet, por lo que estos artefactos forman parte de la persona, pero también de la empresa: “Evolucionan los ataques, pero también la superficie expuesta”. En este sentido, las conexiones caen por fuera del alcance habitual que tenían los gerentes de seguridad, señaló. A esto se suma que algunos servicios sólo se encuentran en la nube (cloud), es decir, en la conectividad en línea. Así, la territorialización aparece como uno de los principales problemas, ya que en este lugar no aplica la normativa nacional, señaló Paz.
En el caso de las amenazas a dispositivos móviles, según Betarte, existen al menos un millón de aplicaciones maliciosas: “Es muy alta la probabilidad de que cada uno de nosotros tenga alguno instalado”. Algo similar ocurre con las redes sociales, ya que la actividad criminal en este tipo de herramientas aumentó 67% entre 2013 y 2014. “Me sorprendí de que Google tiene mi tarjeta de crédito, la debo de haber puesto en algún momento”, ilustró Paz. Añadió que la información que están teniendo los sistemas sobre los usuarios excede la capacidad de advertir si están en riesgo. Por eso, en el futuro habría que “confiar en una tercera parte” que ayude al usuario a tomar decisiones.
Agesic trabaja para que todos los trámites se realicen en línea, así como para que los pagos sean electrónicos. Por eso, además de la seguridad de la información, se busca proteger la identidad del usuario. “Apareció la firma electrónica desde hace algunos años, y estamos trabajando en una plataforma de gestión de identidades robustas que tenga múltiples factores de autenticación, que permita trabajar desde el móvil”, explicó Paz.
La ciberseguridad desde el ámbito educativo fue una de las inquietudes del público. El acuerdo de Plan Ceibal con Google que tuvo lugar en junio de este año exterioriza la identidad de 700.000 usuarios del sistema educativo, reclamó un docente de Universidad de la República. Al respecto, una docente de informática comentó que todos sus alumnos de 13 años tienen cuenta de Facebook y que son los propios familiares quienes los inducen a las redes sociales. Por eso, sostuvo Betarte, la temática de la privacidad debería ser curricular y obligatoria, e instó a “dar la batalla en educación y sensibilización, que está más al alcance de la mano” que el desarrollo de otros mecanismos. “Siempre venimos corriendo de atrás”, sentenció. En este aspecto, el escenario tecnológico evoluciona tan rápidamente que la investigación en seguridad informática es un desafío importante desde el punto de vista académico.
Betarte señaló que desde su equipo se trabaja en dos proyectos. El primero es una iniciativa de cooperación internacional que aplica técnicas de inteligencia semántica para analizar problemáticas de seguridad. El segundo es un proyecto orientado a la detección de los perfiles que presentan los atacantes de aplicaciones web.