Cibercrimen: ya no es una amenaza, sino una realidad tangible

rosa_meteus
Cedida

TRIBUNA de Rosa Mateus, senior manager en España del CISI (Chartered Institute of Securities and Investments).

El cibercrimen es a día de hoy el tipo de delito más denunciado por las instituciones financieras.

En el 2015, el director de Inteligencia Nacional de Estados Unidos, James R. Clapper, calificó el cibercrimen, por encima del terrorismo y el espionaje, como la mayor amenaza para la seguridad nacional. Ello es extrapolable a nivel global, pues las tecnologías no conocen barreras geográficas, ni las empresas de jurisdicciones, que por el carácter de algunas transacciones devienen ambiguas.

Actualmente el cibercrimen no es una amenaza, sino una realidad cotidiana. ¿Cómo pueden las empresas intentar paliarlo? Hay varias medidas que éstas pueden tomar para mejorar la solidez de sus defensas contra el delito cibernético, entre ellas una mejor comprensión del problema mediante asociaciones, invertir en tecnología como plataformas de análisis, formar a sus empleados y compartir la información que pueda ser relevante con las fuerzas de seguridad y los técnicos expertos en ciberseguridad.

A nivel de la UE, se prevé ampliar la legislación sobre ciberseguridad lo que obligará a los operadores de servicios de los sectores de la banca, energía, transporte y salud, así como a los proveedores de servicios digitales clave como los buscadores y la nube informática, a tomar medidas apropiadas de seguridad y a denunciar los incidentes a las autoridades nacionales correspondientes.

El número de incidentes a nivel global de infracción de seguridad de información reportados en todo el mundo aumentó un 48%, equivalente a 117.339 ataques diarios, según la Encuesta Mundial de Seguridad de la Información 2015, publicada por PwC junto con las revistas CIO y CSO. Los incidentes de seguridad detectados han aumentado un 66% año tras año desde el 2009, según los datos de dicha encuesta.

Aunque las grandes empresas han sido los objetivos más deseados para los piratas informáticos por disponer de un volumen de información grande y valioso, a medida que éstas implementan medidas de seguridad más eficaces, se incrementan los ataques contra las empresas de nivel medio y pequeño, que no suelen gozar todavía de la eficiencia y recursos de las grandes.

El conocimiento efectivo de la seguridad en las empresas requiere un compromiso y comunicación de arriba hacia abajo, donde regularmente haya reuniones para hablar, coordinar y comunicar los temas de seguridad de la información, hecho que actualmente en las empresas es a menudo inexistente.

Es fundamental que las empresas se centren en la detección rápida de intrusiones de seguridad y que tengan una respuesta rápida, efectiva y adecuada a las mismas. Dado el ecosistema empresarial interconectado de hoy, es importante establecer también políticas y procesos con respecto a terceros que interactúan con el negocio.

Los riesgos cibernéticos nunca serán completamente eliminados y con la creciente ola de cibercrimen, las organizaciones deben permanecer alerta y ágiles frente a un entorno en constante evolución. De la prevención y control hay que pasar a invertir en políticas y procesos de concienciación sobre seguridad interna para que dichas empresas se centren más en el riesgo de sus activos más valiosos y en las amenazas que pudiesen convertirse en realidad. Esto requiere una formación adecuada de los empleados que demanda una inversión por parte de la empresa considerable pero de coste eficiente a medio-largo plazo. Es una necesidad, no un lujo ni un extra. Los reguladores tienen previsto establecer directrices y normativas que los sectores afectados deberán cumplir en muy breve espacio de tiempo.

La prioridad debe ser mitigar el riesgo. La vigilancia de los reguladores y de los políticos es vital. La formación de los empleados es vital. En relación al sistema financiero internacional, ejemplo ilustrativo es el ataque contra el Banco Central de Bangladesh en febrero del 2016, que resultó en una pérdida de 81 millones de dólares. El uso de las tecnologías de la información y la comunicación (TIC) en la actividad delictiva está aumentando. La integración del mundo digital en el sector bancario lo ha dejado más vulnerable ante los ataques cibernéticos. Las instituciones financieras, particularmente las que operan en diferentes jurisdicciones, están especialmente en riesgo.

Las amenazas a las instituciones financieras incluyen dos tipos de cibercrimen: aquel en el que el uso de internet es imprescindible (piratería, ataques DoS…) y los que siendo delitos tradicionales (fraude, robo y extorsión) son ejecutados a través de la tecnología, pero que podrían seguir teniendo lugar si la tecnología no estuviera disponible. Las instituciones financieras deben tener estrategias que les permitan comprender los dos tipos de amenazas y aún más importante responder a las mismas.

El informe ThreatMetrix Cybercrime para el cuarto trimestre de 2015 señaló que había habido un aumento de 40% en la actividad cibercriminal contra los bancos durante los 12 meses anteriores, incluyendo más de 100 millones de intentos de fraude.

Los bancos necesitan también la ayuda y colaboración de los clientes para combatir el delito cibernético, lo que implica que la educación al respecto a nivel individual es de suma importancia. Es un proceso que debe empezar desde ya para alcanzar su madurez en los años venideros.