En conjunto, Latinoamérica ha vivido una profunda transformación digital que, mezclada —o mejor dicho— afectada por la poca preparación que muchos de nuestros países tienen en materia digital (apenas unos pocos tienen agencias nacionales de ciberseguridad que reporten directamente a la Presidencia de la República), y la escasa inversión que los gobiernos locales inyectan a estrategias nacionales de ciberseguridad, la ha hecho particularmente vulnerable ante la ciberdelincuencia.
Esto ha convertido a Latinoamérica en una región de alto riesgo con profundas deficiencias en materia de seguridad informática y ciberdiplomacia en la que, según datos de EY, 62 % de las empresas locales han sufrido alguna filtración de datos; 91 % de las empresas locales han tenido incidentes de ciberseguridad; y 52 % de las compañías han experimentado entre una y 9 filtraciones de datos, 10 % han tenido entre 10 y 24 filtraciones y 42 % entre 25 y 49 casos. En conjunto, estos ataques cibernéticos le causaron a las empresas (en 2023) gastos de entre 1,5 millones de dólares y 50 millones de dólares.
Relacionado: Ley de Ciberseguridad en Chile, ¿cómo impacta a las empresas?
A finales de 2023, el Instituto para el Análisis de Relaciones Internacionales (IARI) se refirió a la tasa anual de ciberataques contra la infraestructura gubernamental de países latinoamericanos como “alarmante” y, como ya se dijo, pone de manifiesto las profundas deficiencias de la ciberseguridad en la región, entre las que destacan: una ciberdiplomacia progresiva aunque ineficaz, falta de concienciación sobre las vulnerabilidades y escasa inversión y capacitación, lo que ha derivado en que los estudios que abordan este problema son muy técnicos “y carecen de una perspectiva holística que permita una visión general de la situación”.
Si se le pregunta a Andrea Zanusso, experta en ciberseguridad y protección de datos personales y directora de tecnología, innovación & IA de Estudio Olaechea (Lima), dónde está América Latina en materia de seguridad cibernética y qué estamos haciendo bien y qué mal, la respuesta de la abogada es directa: “Creo que todavía hay mucho camino por recorrer, prácticas por fortalecer y una fragmentación regulatoria que atender”. Para ella, ahora hay una mayor conciencia sobre los riesgos asociados a posibles filtraciones e incidentes de seguridad, y las organizaciones tienen una mayor comprensión acerca de las posibles consecuencias a las que se pueden enfrentar, lo que –cree– ha aumentado la inversión en robustecer la ciberseguridad dentro de las empresas.
Esto pone a nuestra región en una posición en la que se debe abordar la brecha del talento y generar incentivos para formar profesionales altamente capacitados en este campo, así como promover la colaboración interdisciplinaria y asegurar la formación y especialización continua para hacer frente a las amenazas emergentes en evolución, buscando el camino para fortalecer la ciberresiliencia, al tiempo que se debe seguir impulsando el fomento de una cultura de ciberseguridad (prioritaria en la agenda regional) dentro de las organizaciones, que se constituya como “un valor fundamental”.
Sobre esto: ¿Dónde está Latinoamérica en materia de protección de datos?
Esto es especialmente importante si se toma en consideración que, como indica Jorge de los Ríos, socio de derecho de la competencia, protección al consumidor y protección de datos en Posse Herrera Ruiz (Bogotá), a pesar de que América Latina ha avanzado en materia de seguridad cibernética, aún enfrenta obstáculos como la falta de recursos dentro de organizaciones que no tienen suficiente capital para implementar medidas efectivas; una disparidad significativa en la preparación y capacidad de respuesta entre los diferentes países de la región y una concienciación insuficiente sobre la importancia de la ciberseguridad en muchas organizaciones.
Aún así, estamos haciendo algo bien, apunta el experto, y es que varios países han implementado leyes y regulaciones específicas para la protección de datos y ciberseguridad, se han creado equipos y centros de respuesta a incidentes cibernéticos y hay un creciente reconocimiento de la importancia de la colaboración entre el sector público y privado. Si los gobiernos regionales deciden tener las discusiones necesarias para mejorar están deben centrarse en el fortalecimiento de la cooperación y el intercambio de información entre los países de la región, la inversión en infraestructura y capacitación en ciberseguridad, el desarrollo de capacidades locales y la formación de profesionales en ciberseguridad y la adopción de tecnologías avanzadas (como la IA) para mejorar la detección y respuesta a incidentes cibernéticos.
Más del tema: Hackeos y ciberdelincuencia, ¿hacia dónde deben dirigirse las leyes para proteger a usuarios y empresas?
El enorme peso del ransomware
De acuerdo con las estadísticas del líder mundial en ciberseguridad Fortinet, en 2022, América Latina y el Caribe sufrieron más de 360.000 millones de intentos de ciberataques con métodos como el wiper malware, el ransomware (en niveles máximos sin evidencia de desaceleración), el Ransomware-as-a-Service (RaaS), el phishing, los ataques man in the middle, el identity theft, el business email compromise (BEC) y los ataques DDoS, lo que para el hub estadounidense resalta la necesidad de que las organizaciones locales se centren en habilitar la inteligencia de amenazas “coordinada y procesable, impulsada por el aprendizaje automático en tiempo real en todos los dispositivos de seguridad para detectar acciones sospechosas e iniciar una mitigación coordinada.”
El aumento de los ciberdelitos en la región están motivados, según el medio especializado Segurilatam, por el lucro, la denegación de servicio y el robo de datos, en el caso del crimen con intención económica, Fortinet explica que estos fueron 73,9 % de los incidentes e involucraron, mayoritariamente, el ransomware y scripts maliciosos.
El ransomware, apunta Jorge de los Ríos, interrumpe las operaciones de las empresas afectadas, hasta que se pague el rescate o se recupere la información; ocasiona la pérdida de datos, lo que afecta la continuidad del negocio; representa altos costos no solo por el pago del rescate, sino también por la recuperación de datos y la implementación de medidas de seguridad adicionales, y reduce la confianza de los clientes y socios comerciales de las empresas.
Recomendamos: Piratería digital; ¿Dónde se desdibuja la línea entre equilibrio de derechos y negocio millonario?
Pero no solo esto, Andrea Zanusso (que estuvo en la última reunión IBA, como expositora en el panel de ciberseguridad) explica que el ransomware puede acarrear, además de consecuencias reputacionales, riesgos operativos y legales que, en el caso de las últimas, pueden “escalar exponencialmente” (doble y triple extorsión), teniendo en cuenta que los atacantes, además de cifrar información de la empresa (mediante el crypto ransomware), pueden amenazar con extorsionar a terceros relacionados con la empresa.
"El rol de los abogados especialistas en temas de ciberseguridad va más allá de la interpretación de la normativa sectorial; estarán mejor posicionados si adoptan un enfoque integral que abarque los aspectos legales y que también se involucren en aspectos técnicos, en el impacto operativo de los incidentes de seguridad, en el riesgo financiero, reputacional y demás cuestiones relacionadas. Este enfoque multidisciplinario es clave para colaborar efectivamente con los equipos técnicos y alinear estrategias legales".
Esto significa, añade de los Ríos, que los abogados deben prepararse para asesorar a sus clientes en cumplimiento normativo en protección de datos y ciberseguridad, planes de respuesta a incidentes cibernéticos, capacitación y concienciación continua entre los técnicos y evaluación periódica de riesgos y vulnerabilidades.
Así, desde el punto de vista de la asesoría jurídica, las mejores maneras de prevenir riesgos y gestionar los ataques cibernéticos se basan en el desarrollo de políticas internas de ciberseguridad y protección de datos, la inclusión de cláusulas específicas de ciberseguridad en los contratos con proveedores y socios comerciales, la realización de auditorías periódicas para evaluar el cumplimiento de las políticas de ciberseguridad, el desarrollo de planes de contingencia y recuperación ante incidentes cibernéticos y la capacitación continua en esta materia.
La ruta a seguir
Según el Foro Económico Mundial, los países latinoamericanos pueden fortalecer sus ciberdefensas y contribuir a un entorno cibernético global resiliente si adoptan marcos de gestión de riesgos (RMF) y aprovechan las tecnologías de nube pública para fortalecer sus defensas cibernéticas, que ya son iniciativas con un fuerte apoyo en América Latina, donde 72 % (en 2024) de los entes gubernamentales habían integrado un RMF en su estrategia de ciberseguridad y 78 % ya había utilizado o planeaba implementar una infraestructura de ciberseguridad basada en la nube.
Asimismo, en países sin normativas específicas de protección de datos o ciberseguridad como Venezuela, lo ideal sería, en opinión de Jorge de los Ríos, adoptar estándares internacionales de ciberseguridad como ISO/IEC 27001, fomentar la colaboración con otros países y organizaciones internacionales para compartir conocimientos y recursos y aumentar la concienciación sobre la importancia de la ciberseguridad a nivel empresarial y gubernamental.
Además de hacer que las organizaciones implementen y cuenten con estándares, políticas y protocolos documentados alineados con las prácticas internacionales para un manejo adecuado de la gestión de riesgos en ciberseguridad y también para estar preparados para las futuras regulaciones de sus países, agrega Zanusso.
El Foro Económico también comparte que mejorar la resiliencia cibernética de la región también pasa por realizar inversiones significativas en capital humano cualificado en la implementación y defensa de una cultura de ciberseguridad; establecer un marco voluntario de gestión de riesgos, que incluya una gobernanza mixta, un equipo nacional de respuesta a incidentes de ciberseguridad y bases de datos de incidentes sectoriales; invertir en infraestructura y tecnologías de ciberseguridad, y crear sistemas centralizados de gestión y notificación de amenazas cibernéticas.
"Ello hará el camino más ameno en caso de que la empresa sufra algún tipo de intrusión, dado que tendrá una guía clara acerca de los pasos a seguir, así como de los sistemas, redes y datos críticos a proteger y en los cuales enfocarse. Por otro lado, llevar a cabo evaluaciones periódicas en riesgos en ciberseguridad para detectar nuevas vulnerabilidades y auditorías legales son prácticas fundamentales para la prevención de riesgos legales, operativos y reputacionales", apunta Andrea Zanusso.
}
Add new comment