SANTIAGO.- Hace cinco meses los usuarios del sistema de tren suburbano de San Francisco (Estados Unidos) se encontraron con que no podían pagar sus pasajes. Un grupo de hackers había atacado el sistema y encriptado el acceso solicitando un rescate. En este caso, el costo fue para la empresa, pero las autoridades activaron las alarmas ante un incidente que pudo tener consecuencias mayores si hubiese afectado todo el sistema de transporte.
De acuerdo con The Boston Consulting Group (BCG), en 2017 las firmas chilenas gastaron US$ 195,7 millones en ciberseguridad, cifra que significó un alza de 4,1% respecto de 2016, cuando invirtieron US$ 187 millones. Y aunque este monto representó apenas el 0,07% del PIB nacional, lo que ubica a Chile bastante más atrás de lo que el mundo gastó como promedio (0,12%), la cifra refleja la preocupación de las firmas nacionales por impedir el acceso a su información y a la ejecución de sus operaciones, o lo que comúnmente se llama ciberataque.
«El 12 de mayo de 2017, Inglaterra reportó que 16 hospitales fueron objeto de un ciberataque a gran escala que impidió a los profesionales acceder a sus computadores y provocó el desvío de numerosos pacientes de urgencias» Servicio Nacional de Salud del Reino Unido.
«Hace 5 años no había conciencia. Se notaba en que las inversiones que hacían las empresas en tecnología y procesos, y en personas adecuadas en controlar todo esto, no guardaba relación con el discurso de que les importaba la seguridad», señala a Emol Camilo Vidal, gerente de Desarrollo y Negocios de COASIN.
En ese sentido, el sector financiero ha sido pionero. De acuerdo con el BCG, entre 2016 y 2017, fueron la banca y el retail nuevamente los que más invirtieron en proteger sus operaciones y datos.
¿Pero qué ocurre con otras áreas? El ciberataque del ransomware WannaCry, que marcó al mundo en mayo de 2017, vulneró más de 230 mil computadores pertenecientes a entidades gubernamentales y hospitales. Organizaciones de 180 países vieron interrumpidas sus funciones debido a la encriptación de sus archivos. Para liberarlos había que pagar. Chile fue uno de los nueve países latinoamericanos afectados; la Policía de Investigaciones (PDI) recibió 13 denuncias de compañías.
Cifra menor si se toma en cuenta la magnitud del ciberataque. Tampoco hay números asequibles. Lo que se sí se sabe, según información que maneja COASIN y la Brigada del Cibercrimen de la PDI, es que los ciberataques muestran una evolución. La banca, por sus resguardos, ya no es la más atractiva. Hoy están en la mira los sectores industrial y de la Salud.
«Los ciberataques mediante ransomwere se han expandido a otras industrias (fuera de la banca). Este es un malware que se instala en los computadores a través de correos electrónicos, que encripta los archivos dentro del equipo y se propaga internamente. Para liberarlos, los hackers solicitan dinero que se paga en bitcoins, porque es una criptomoneda que no se puede rastrear», explica a Emol el comisario y vocero de Cibercrimen de la PDI, Cristián Fernández.
«En Latinoamérica, Chile es el tercer país más afectado, tras Brasil y México, en ataque de ramsonwere», agrega, puntualizando que este año, ya van diez investigaciones y tres denuncias de este tipo, y que entre las empresas afectadas se encuentra una distribuidora de bebidas. Sin embargo, las cifras de empresas afectadas son mayores, según distintos estudios, pero no se reportan. Vidal de COASIN explica que «las empresas optan por no hacer público si fueron vulneradas. Prefieren no exponerse». Y la ley tampoco las obliga.
Los sectores productivos, que se dedican a producir bienes y servicios físicos, son inmaduros, lo que los hace vulnerable. «Le siguen los servicios de salud. Es una industria que viene de atrás, intentando ponerse a tono en materias de seguridad, entendiendo que hay activos valiosos desde el punto de vista del historial clínico de los pacientes», sostiene Vidal, enfatizando que la exposición afecta tanto a la Salud privada como pública.
Marco Antonio Navarrete, jefe de la División de Tecnologías de Información y Comunicaciones de la Subsecretaría de Salud Pública, explicó a Emol que «el Ministerio de Salud (Minsal) está consciente de los riesgos de ciberataques. Es por esto que todos los sistemas de información críticos, y especialmente los datos sensibles de las personas, están adheridos a la Red de Conectividad del Estado implementada por el Ministerio del Interior y Seguridad Pública, que cuenta con resguardos de alto nivel para reducir vulnerabilidades».
«Los riesgos informáticos son dinámicos en todas las industrias y no es posible eliminarlos totalmente. Frente a eso la estrategia del Minsal ha sido promover la conformación de equipos de respuesta en todo el sector para prevenir y enfrentar eventuales incidentes con planes de mitigación oportunos» Marco Antonio Navarrete, jefe TIC en el Minsal.
Adicionalmente, señala que el Minsal aplica sus propias políticas de seguridad, realizando permanentemente monitoreos preventivos a sus dispositivos y exigiendo acuerdos de confidencialidad y de seguridad a los proveedores externos que desarrollan sistemas para el sector Salud.
En ese sentido, Vidal recuerda que los hackers que están detrás de los ciberataques no son niños jugando. Y ahora tienen la capacidad de acceder a dispositivos médicos vulnerables, como marcapasos, ventiladores o sistemas de monitoreo.
La Asociación Médica Mundial también ha advertido la vulnerabilidad de los historiales médicos electrónicos y de los sistemas de cobranza. A ello se suma la falta de capacitación del personal para proteger de extraños el acceso a la información, sobre todo cuando se incorporan equipos de planta a los hospitales, que quedan con las credenciales o contraseñas por defecto poniendo en riesgo la seguridad.
«Estamos hablando de organizaciones estructuradas para ganar dinero. WannaCry tenía un call center para orientar el cómo pagar por si tenías un problema con tus medios de pagos», explica Vidal. «El beneficio que logran en el caso financiero es varias veces inferior al que obtienen por un registro médico obtenido desde el sector de Salud. Se paga diez veces más por esta información que pueden usar en tu contra para extorsionarte».
Fuente: Emol.com
