Hay algunas acciones que llegan tarde: experto.
Si bien desde noviembre pasado México cuenta con una Estrategia Nacional de Ciberseguridad y diversas acciones enfocadas en otorgar certeza en el ámbito digital, los recientes ataques a cinco instituciones financieras que usan el sistema SPEI dejaron clara la necesidad de pasar del papel a la práctica, pues la ciberdelincuencia se mantiene en constante alerta y evolución.
En opinión de Leonardo Carissimi, experto en Ciberseguridad de Unisys para Latinoamérica, la seguridad en el ciberespacio trasciende al plano físico de formas cada vez más rápidas y tangibles para los ciudadanos, frente a lo cual es fundamental que tanto gobiernos como empresas extremen medidas de prevención, detección y respuesta.
«En México y en varios países de América Latina no estamos tan preparados como deberíamos, desde el tema regulatorio hasta el nivel ejecutivo y directivo de las compañías que si bien tienen encargados de la seguridad capaces no siempre tienen las condiciones técnicas y económicas necesarias para hacer frente a las amenazas».
El caso de las vulnerabilidades registradas a los sistemas de cinco instituciones financieras que causaron un daño de alrededor de 300 millones de pesos, es un ejemplo de cómo la ciberdelincuencia buscó focalizar en un segmento el ataque, lo cual generó incertidumbre entre los usuarios e incluso a nivel empresarial.
Luego del ataque, el Banco de México (Banxico) formalizó la creación de una nueva Dirección de Ciberseguridad que se encargará de definir las acciones para proteger la infraestructura de tecnologías de información y fortalecer el desarrollo seguro de sistemas del Banco.
Además, el pasado 24 de mayo representantes de seis autoridades del sector financiero, la Procuraduría General de la República (PGR) y diversas asociaciones gremiales firmaron las Bases de Coordinación que fortalecen la forma en que las entidades y las autoridades del sector responden y se coordinan cuando ocurren eventos que puedan vulnerar la seguridad de la información en el sistema financiero mexicano.
Por su parte, la Estrategia Nacional de Ciberseguridadpublicada en noviembre de 2017 tiene el objetivo que en 2030 México sea una nación resiliente ante los riesgos y amenazas en el ciberespacio que aproveche con responsabilidad el potencial de las Tecnologías de la Información y Comunicación (TIC) para el desarrollo sostenible en un entorno confiable para todos.
Este documento «vivo» esta pensado para evolucionar conforme a las necesidades de la sociedad en torno a la ciberseguridad, establece también la creación de una Subcomisión de Ciberseguridad presidida por la Secretaría de Gobernación a través de la CNS (Policía Federal /División Científica).
Para el especialista de Unisys, el establecimiento de líneas de acción y estrategias son pasos positivos y fundamentales; sin embargo, la ciberseguridad requiere de una constante evaluación realista e integral que permita reducir riesgos.
«Hay acciones que llegan tarde pero son un componente importante de la solución y eso es positivo pero es importante que sean parte de un proceso y no una única solución. La evaluación, una visión más estratégica para manejar el problema, checar debilidades y tener planes de acción son puntos importantes».
Carissimi refirió que además de la política pública en materia de ciberseguridad, la implementación tecnológica es un tema clave en materia de prevención y para ello es fundamental echar mano de herramientas que por lo menos le hagan complicada la tarea a los cibercriminales.
«La tecnología de microsegmentación permite el aislamiento de sistemas críticos para contener un ataque, la exigencia de doble autenticación en sistemas como el SPEI para que además de usuario y contraseña haya por ejemplo token o algún elemento biométrico son elementos que reducirían las transacciones fraudulentas».
El especialista dijo que la inversión en tecnologías como las basadas en Machine Learning, Inteligencia Artificial y analíticos es fundamental para contar con sistemas de detección, respuesta y precisión de las incidencias.
La confianza en los servicios digitales, dijo, se debe cultivar día a día para no perder el terreno ganado y lograr equilibrar la «seguridad real» con la «seguridad percibida»; es decir, que los usuarios sepan por sí mismos identificar riesgos pero también oportunidades en el nuevo ecosistema.
C$T-GM