La vulnerabilidad informática amenaza a las empresas de Latinoamérica

¿Qué haría usted si cada vez que abre la puerta de su casa es objeto de intentos de robos?, lógicamente no se sentiría seguro.

 

El mismo fenómeno experimentan las empresas cada vez que los hackers intentan acceder a sus bases de datos con el fin de robar las identidades de los clientes. Natalia da Silva, directora de marketing y comunicaciones para Latinoamérica del proveedor de soluciones de seguridad digital Gemalto, señala que “si a lo anterior sumamos el fenómeno de la convergencia tecnológica, donde hoy los computadores y notebook tienen funcionalidades de telefonía y los celulares cuentan con acceso a Internet, el tráfico de voz, imágenes y datos confidenciales han dejado de ser seguros, contribuyendo en gran medida a un cóctel de amenazas y ciber crímenes”.

 

Dentro de este escenario, la consultora tecnológica Yankee Group, plantea que las compañías de la región latinoamericana son más vulnerables al robo de información a través de dispositivos móviles -esencialmente notebooks- y sugiere que éstas deben mejorar sus políticas de protección de los datos, especialmente en lo referido a la forma de acceder a la información crítica.

 

Las conclusiones son fruto de la “Encuesta Móvil” realizada por la consultora, donde se entrevistó a 225 ejecutivos del área informática de firmas de México, Brasil y Colombia. La investigación estableció, entre otros aspectos, que más del 80% de las empresas utilizan un esquema de contraseñas simples para controlar la identidad de los propios usuarios. De igual forma, sólo las grandes compañías utilizan autentificación de identidades como certificados digitales, tokens y smart cards (llaveros digitales y tarjetas inteligentes), mientras que sólo el 67% de las firmas, utiliza sistemas de encriptación para proteger los datos.

 

Las empresas encuestadas pertenecían al sector salud, manufactura, finanzas, comercio minorista, construcción e incluso gobierno. Según explicó Andrew Jaquith, Analista Senior de la consultora, se eligió a México, Brasil y Colombia como muestra representativa del comportamiento de América Latina, precisando que no descartan replicar el estudio en otros países de la región.

 

La escasa protección regional de la información

Enrique Canessa, profesor de la Facultadde Ingeniería y Ciencias de la Universidad Adolfo Ibáñez de Chile, sentencia que la falta de protección de los datos es mayor en las compañías latinoamericanas respecto de los países más desarrollados, debido a que “el volumen de transacciones en línea de las firmas regionales es menor que el que presenta Europa, Estados Unidos y algunos mercados asiáticos”. En consecuencia, afirma, las empresas de la región implementan medidas para asegurar los datos una vez que han alcanzado un volumen crítico de transacciones, “sólo entonces incurren en gastos para resguardar la información más sensible”.

 

Por este mismo motivo, señala Alejandro Mellado, profesor de la Escuela de Ingeniería Informática de la Universidad Católica de Temuco (Chile), “la inversión corporativa en sistemas de seguridad también es más baja en comparación con las naciones desarrolladas”.

 

Otro punto importante, resalta Horst Von Brand, profesor del Departamento de Informática de la Universidad Técnica Federico Santa María (Chile), esque “el costo de las soluciones de seguridad es alto, lo que también constituye una valla para las compañías latinoamericanas”.

 

No obstante, además del aspecto económico, el consenso de los profesores es que hay otras situaciones de tipo profesional, educacional, cultural y político que inciden en esta dejadez para adoptar estándares de seguridad, y que estarían actuando como barreras en la región.

 

Las barreras culturales

Alejandro Mellado destaca que una de las principales barreras culturales, “es la falta de preocupación de los directivos de las firmas regionales, quienes además se han visto sobrepasados por los cambios tecnológicos y las nuevas técnicas de robo de información que han aparecido”.

 

Eduardo Moreno, profesor de la Facultadde Ingeniería y Ciencias de la Universidad Adolfo Ibáñez (Chile),coincide con el académico, añadiendo que “esta escasa preocupación se traduce en que algunos sitios webs de bancos utilizan sistemas de protección de muy baja seguridad, donde los usuarios acceden con claves de tan sólo cuatro dígitos”.

 

Al respecto, Natalia da Silva, de Gemalto, enfatiza que en la región hay un gran problema relacionado con la clave de acceso para entrar a los sistemas virtuales. “Generalmente, el username y password son muy débiles, y por ende, fáciles de copiar y clonar por los hackers”.

 

Y obligar a los usuarios a cambiar de forma periódica sus claves de acceso, o bien, instarlos a que usen sistemas de claves de mayor complejidad, causa molestia, explica Eduardo Moreno. Por este motivo, dice, “las empresas latinoamericanas desisten del tema de las claves y simplifican su uso, mientras que las claves de acceso de más alto nivel, como los certificados digitales, no son consideradas por lo mismo”.

 

Pero no sólo eso, tal y como alerta Eduardo González, profesor de la Facultadde Ingeniería y Ciencias de la Universidad Adolfo Ibáñez, “el problema es que incluso los empleados comparten entre sí sus claves de acceso”, lo que a su juicio, refleja la inexistencia de políticas regionales de difusión hacia los empleados sobre la importancia de mantener ciertos estándares de seguridad.

 

Los obstáculos profesionales y educacionales

El profesor Mellado asevera que en Latinoamérica hay menor cantidad de profesionales especializados en el campo de la seguridad informática, respecto de los países desarrollados, lo cual ha influido en el descuido que evidencian las firmas para mantener una arquitectura de protección de los datos.

 

Por su parte, González opina que “a diferencia de lo que sucede en países como Estados Unidos, los ejecutivos de las compañías latinoamericanas desconocen los diferentes productos tecnológicos que hay en el mercado para asegurar la información. Entonces, como no saben cómo operan estas soluciones, les restan importancia, y finalmente, se diluye la prioridad de implementarlas”.

 

Horst Von Brand, comparte plenamente la visión de González, ejemplificando que “la encriptación -o codificación de la información para que no pueda ser descifrada o interceptada-, es una herramienta muy eficaz para proteger los datos, pero he visto problemas más graves por su inadecuado uso que por su falta de aplicación. Por lo tanto, tenemos un problema relacionado con la educación; son contados los profesionales que hoy conocen las innovaciones que ofrece la industria de la seguridad y que saben cómo utilizarlas correctamente”.

 

También ocurre mucho, especifica González, que las firmas tienden a replicar las políticas de seguridad que implantan otras empresas, sin evaluar antes cuáles son las propias necesidades. “Con ello lo único que se logra es mantener la vulnerabilidad de la información”.

 

Los factores políticos

Horst Von Brand, describe cómo el aspecto político ha moldeado el actual perfil de Latinoamérica en el ámbito de la seguridad informática. “En la región venimos saliendo de un período extenso de gobiernos autoritarios, bajo los cuales la protección de los datos personales era casi un contrasentido. Ello explica por qué la legislación actual privilegia el acceso eficiente a los datos, antes que la protección de la identidad de los usuarios”.

 

Por ejemplo, en Chile, apunta el profesor, para la concreción de negocios entre privados, se exige el RUT -Rol Único Tributario o identidad de la persona-. “En Estados Unidos o el Reino Unido una cosa de este tipo jamás sería posible, debido a los riesgos a la privacidad que ello implica”.

 

Por otra parte, “la participación de Latinoamérica en eventos claves sobre seguridad informática es muy baja”, asevera Italo Foppiano, Jefe de la Unidad de Arquitectura Tecnológica de la Universidad de Concepción (Chile), explicando que lo anterior quedó demostrado durante la XVI conferencia anual del FIRST, Forum for Incident Response and Security Teams, la organización mundial que ofrece respuestas efectivas a los incidentes de seguridad informática mediante las buenas prácticas y el uso de tecnología de punta, celebrada en Busapest, Hungría en 2004.

 

En esa ocasión, indica Foppiano, “sólo habían seis representantes de toda la región, comparado con los más de 30 profesionales del Asia Pacífico y los 20 especialistas provenientes de Alemania”. Y uno de los factores que incide en este escenario, detalla el académico, es la escasa participación de los gobiernos latinoamericanos en estos temas, “lo que se refleja en la pobre legislación regional referente a la protección y privacidad de los datos”.

 

Las consecuencias de la exposición

“En la década de los 80, los virus se propagaban por medio de disquetes, únicamente infectaban a máquinas individuales y se propagaban en semanas o meses”, explica el informe “Redes Autodefensivas”, emitido por el proveedor de soluciones de conectividad y seguridad informática Cisco Systems en 2006. En los 90s, los virus se propagaban principalmente a través del correo electrónico y en este período se empezaron a registrar los primeros incidentes de hackers, afectando a redes empresariales en cuestión de días o semanas, indica la investigación.

 

El estudio concluye diciendo que actualmente las amenazas han adquirido diferentes modalidades y que “el impacto es a nivel global y la velocidad de propagación puede llegar a infectar a cientos de miles de computadores en sólo segundos”.

 

Si a lo anterior se suman los fraudes financieros y la falsificación de identidades, producto de la manipulación de los datos y otros ciberdelitos más sofisticados como el sabotaje informático –una técnica para obstruir el normal funcionamiento del sistema -, las consecuencias para las compañías latinoamericanas son de alto impacto, advierte Italo Foppiano, quien las resume esencialmente en pérdida de imagen y credibilidad.

 

“Para las pequeñas firmas las repercusiones no son tan perjudiciales”, indica Mellado. Sin embargo, dice, “las medianas y grandes empresas que no estén adaptadas al cambio tecnológico de una sociedad conectada como la actual, que elimina las barreras geográficas a través de la red, la omisión de estándares de seguridad puede restarles dinamismo, generar poca confiabilidad entre los clientes y, con el tiempo, afectar su competitividad en un mercado globalizado”.

 

Y en este punto Mellado alerta que “muchas veces los robos de información son realizados por las mismas personas que trabajan al interior de la organización, y este tipo de ataques no son tan sofisticados”. En efecto, según una reciente investigación efectuada por la consultora tecnológica IDC (International Data Corporation), nada menos que un 70% de los ataques son generados por empleados descontentos con la empresa para la que trabajan.

 

“Por este motivo, una de las primeras medidas que Mellado recomienda para reducir el riesgo a un ataque como el robo de información confidencial, “es evaluar al personal antes de contratarlo y que esta evaluación sea asistida por un psicólogo, buscando un perfil de profesional comprometido con la ética y la probidad”.

 

Las medidas para mitigar las vulnerabilidades

Como segunda iniciativa, agrega Mellado, la organización debería dictar una política de gestión en seguridad, que determine responsabilidades y controles de accesos a distintos niveles de información. “Una tercera medida es aplicar sistemas de encriptación y una cuarta estrategia debería ser la aplicación de herramientas de autentificación con claves, y controles biométricos de identidad”.

 

Mientras que Foppiano sugiere que “los estándares de seguridad deben ser patrocinados por la alta gerencia, reafirmando así su compromiso con estos temas, tal como lo exige la norma ISO 27001:2005 sobre Sistema de Gestión de Seguridad de la Información”.

 

“La seguridad de los datos es un proceso integral que va desde la auditoría, programación y pruebas hasta la puesta en marcha y la operación”, asegura Horst Von Brand, indicando que lo anterior “también implica incorporar el tema de la seguridad en la formación de los profesionales del área, un ítem en el cual lamentablemente en la región aún estamos en pañales”.

 

De igual forma, para el académico la legislación cobra un rol medular, subrayando que “el actual sistema penal requiere de una urgente actualización en tópicos relacionados con la seguridad, tales como el concepto de “evidencia electrónica”, que requiere de una definición especial para poder tipificar el delito electrónico”.

 

En tanto, Foppiano, señala queChile ya ha dado un primer paso con la aprobación de la firma electrónica. “Por su parte, México, Brasil y Argentina están constituidos en Equipos de Respuesta a Incidentes (CERTs), que apoyan directamente a los gobiernos en estas temáticas”. La proliferación de estos grupos técnicos (ONGs) que se nutren de agrupaciones globales como el grupo de respuesta a los incidentes de seguridad FIRST, (Forum for Incident Response and Security Teams), agrega el profesor, pueden promover mayor conciencia y conocimiento en seguridad de la información.

 

“Pero sin duda, Latinoamérica enfrenta un gran reto para instaurar un marco legislativo que regule la protección y privacidad de los datos”, concluye Foppiano.

Cómo citar a Universia Knowledge@Wharton

Close


Para uso personal:

Por favor, utilice las siguientes citas para las referencias de uso personal:

MLA

"La vulnerabilidad informática amenaza a las empresas de Latinoamérica." Universia Knowledge@Wharton. The Wharton School, University of Pennsylvania, [06 agosto, 2008]. Web. [21 November, 2017] <http://www.knowledgeatwharton.com.es/article/la-vulnerabilidad-informatica-amenaza-a-las-empresas-de-latinoamerica/>

APA

La vulnerabilidad informática amenaza a las empresas de Latinoamérica. Universia Knowledge@Wharton (2008, agosto 06). Retrieved from http://www.knowledgeatwharton.com.es/article/la-vulnerabilidad-informatica-amenaza-a-las-empresas-de-latinoamerica/

Chicago

"La vulnerabilidad informática amenaza a las empresas de Latinoamérica" Universia Knowledge@Wharton, [agosto 06, 2008].
Accessed [November 21, 2017]. [http://www.knowledgeatwharton.com.es/article/la-vulnerabilidad-informatica-amenaza-a-las-empresas-de-latinoamerica/]


Para fines educativos/empresariales, utilice:

Por favor, póngase en contacto con nosotros para utilizar con otros propósitos artículos, podcast o videos a través de nuestro formulario de contacto para licencia de uso de contenido .

 

Join The Discussion

No Comments So Far