DORCiberseguridad: Un compromiso diario, no sólo una elección de carrera

Oct 24, 2016 - by administrador

Vivimos en una sociedad completamente dependiente de la tecnología. De hecho, la generación millennial no conoce un mundo sin Movilidad e Internet, ya que prácticamente, están conectados todo el tiempo a través de sus celulares, tablets y computadoras personales, así como de electrodomésticos inteligentes y dispositivos portátiles tipo accesorio. Año con año, la cantidad de datos que los millennials producen y publican en línea aumenta de manera exponencial, lo que provoca un incremento de información sensible que se genera, almacena y comparte. Aun así, sólo pocos países de América Latina ofrecen programas educativos, a nivel posgrado, que incluyen la ciberseguridad como un componente integral. El número de programas dedicados a preparar a profesionales en ciberseguridad es incluso menor. ¿Por qué la generación más “conectada” es también la que enfrenta la escasez de personal calificado? El problema empezó con la falta de comunicación con la generación anterior de no-usuarios de Internet…

 

El malware más común

Con frecuencia, los padres de familia les dan el mismo consejo a sus hijos todos los días: No hables con extraños. No le abras la puerta a extraños. No aceptes dulces de extraños. Sin embargo, nunca consideran advertirlos sobre su equivalente digital: No hables con extraños en Facebook ni aceptes a amigos que no conoces en persona. No abras e-mails de direcciones desconocidas. No descargues aplicaciones gratuitas o programas que te ofrecen sin que los hayas solicitado.

 

De hecho, esta última advertencia puede prevenir a muchos de convertirse en víctimas del malware más común en América Latina: el ransomware. Muchas aplicaciones que ofrecen servicios gratis son usadas como puertas traseras para obtener información de los usuarios. Hoy día, los cibercriminales han cambiado sus intereses de sólo robar información financiera como cuentas de banco o números de tarjetas de crédito (las cuales pueden ser canceladas, bloqueadas o cambiadas), a recopilar datos que pueden utilizarse para robar la identidad del usuario (lo que no puede modificarse fácilmente). Otro crimen informático que cada vez se ha vuelto más común es el “secuestro” de información personal. Los cibercriminales codifican los datos de los dispositivos portátiles o personales y los propietarios deben pagar un “rescate” para volver a tener acceso a ellos. ¿Cuánto está dispuesto a pagar por recuperar todos los números de teléfono de sus contactos?, ¿cuánto por las fotografías de su último cumpleaños o por las de su ser querido que se ha ido a disfrutar de un viaje prolongado? La respuesta es entre USD$20 y USD$50, por lo que los cibercriminales deben atacar a un número muy grande de la población para lograr alguna ganancia. De acuerdo con estimaciones, lo logran y de manera exitosa, ya que generan millones cada año.

 

Definiendo el cibercrimen

¿Qué es el cibercrimen? Las leyes sobre ciberseguridad y cibercrimen difieren en cada país por diversas razones, desde espionaje industrial hasta el daño a infraestructura importante o desde acceso no autorizado a sistemas computacionales hasta el mal uso de información sensible o personal e incluso aplicando el bullying cibernético a los cambios en los contratos de privacidad. Uno de los dilemas más comunes involucra el robo de fotografías o información personal publicada en redes sociales privadas como Facebook. Los ladrones vuelven a publicar las fotografías en foros públicos o se hacen pasar por esa persona. ¿Esto es un crimen? Desafortunadamente, no lo es en algunos países. ¿Qué pasa si las fotografías robadas son retocadas como fotos de desnudo? En un gran número de países, aún no existe una base legal para perseguir este tipo de robo. Por lo anterior, se necesita llevar a cabo un consenso general para determinar lo que constituye un cibercrimen. Las transgresiones pueden ser muy diversas y los ataques virtuales, por lo que éstos se pueden originar desde cualquier parte del mundo.

Crear un nuevo marco legal en seguridad cibernética y actualizar los que ya existen es un primer paso esencial para proteger, apropiadamente, a los ciudadanos del siempre cambiante panorama de amenazas informáticas. Las políticas en ciberseguridad deben tener una aplicación holística que considere a los sectores públicos y privado, como al comercio y la milicia.

 

Sólo los países más grandes y ricos de América Latina son los mejor dispuestos para enfrentar estos retos de ciberseguridad. México, Brasil, Argentina, Chile, Colombia y Perú son de los pocos que se han preparado, desde el punto de vista tecnológico, trabajando en la promulgación de leyes contra crímenes informáticos y estableciendo agencias de seguridad cibernética para proteger la infraestructura crítica. Pero estas estrategias han atravesado por diferentes niveles de madurez; algunos requieren de la cooperación de diversas entidades gubernamentales mientras otros, simplemente definen los derechos y responsabilidades de los usuarios de Internet.

 

Las leyes no significan nada sin las fuerzas del orden

Cuatro de cada cinco países en la región de América Latina y el Caribe no cuentan con infraestructura de protección. Pero el cibercrimen no sólo se concentra en lo individual, puede tener un impacto global; por ejemplo, si un ataque que se origina en México compromete a una organización en Brasil que a su vez, ofrece servicios de abastecimiento a una empresa colombiana, la cual tiene contratados los servicios de almacenamiento de activos e información con un Centro de Datos en los Estados Unidos, entonces ¿cuál país debe ser responsable de perseguir a los culpables?  Además, no todos los países cuentan con agencias policiales y de inteligencia o con equipos de respuesta para este tipo de incidentes. El establecimiento de leyes sin el apoyo de las fuerzas del orden que las respalden, no lograrán mucho.

 

El mejor ejemplo que ilustra la clara falta de cuerpos de seguridad es la frecuencia, sin regular, de correos spam y las llamadas de telemercadeo. Los correos spam ofrecen descuentos en las tiendas de tu preferencia, servicios que estarías dispuesto a contratar o incluso páginas web que frecuentas. Éstos e-mails están hechos a la medida de tus necesidades y hábitos conductuales – pero ¿de dónde proviene esa información y, aún más importante, quién les da la información? La respuesta es que no sabemos, pero podemos y debemos contar con el derecho legal para averiguarlo. Si solicita ser removido de una lista de correo o el nombre de la empresa que está vendiendo su información personal, lo más probable es que sea ignorado o le den una respuesta poco satisfactoria. Los ciudadanos no cuentan con las herramientas para protegerse ellos mismos de las compañías que venden su información y tampoco existe una agencia a la cual acudir para apoyo legal.

 

El gobierno puede enfrentar la falta de talento en seguridad a través de la creación de empleos para los millennials. Las agencias de seguridad necesitarán de profesionales altamente preparados que entiendan las amenazas más avanzadas y recientes. Las universidades tendrán que incluir programas avanzados a fin de proveer a la siguiente generación con oficiales de las fuerzas del orden, especializados en ciberseguridad.

 

Aunque los gobiernos deberían promover la necesidad por empleos en ciberseguridad, las universidades y las redes de estudiantes graduados deberían tener la iniciativa y el incentivo para ofrecer educación avanzada. Todos los programas universitarios deberían considerar, de alguna manera, el tema de la ciberseguridad, ya que cada vez se volverá más difícil encontrar empleos para profesionistas que no requieran habilidades computacionales y tecnológicas. Por otro lado, los estudiantes graduados están conscientes que el panorama de amenazas es un mundo virtual que cambia constantemente y que diferentes tipos de malware son creados diariamente para explotar las vulnerabilidades de los programas, sitios web, sistemas de seguridad y de todas las demás cuentas almacenadas en la red. Un título universitario de hace cinco años ya no es suficiente si la persona no se ha mantenido actualizada sobre las intrusiones más recientes, soluciones en seguridad cibernética, amenazas informáticas y debilidades generadas por los avances tecnológicos. La generación millennial también necesita buscar opciones con el objetivo de crear esos cambios para que el marco legal defina el cibercrimen y los estándares de ciberseguridad. Si no existen cursos de posgrado o seminarios gubernamentales, entonces los eventos públicos de las compañías especializadas en seguridad informática son la mejor opción para aprender de los expertos en la industria.  

 

Entrenando a los líderes en ciberseguridad

Equipo XTreme de Fortinet es el evento Premiere para los Mejores Socios de Fortinet en América Latina, el cual reconoce su liderazgo a través de entrenamientos exclusivos, contenido y premios. El propósito de este evento es permitir que los socios vivan la experiencia de las sesiones prácticas donde pueden resolver problemas de ciberseguridad del mundo real, los cuales enfrentan todos los días. Los expertos en tecnología e ingeniería compartirán sus experiencias, conocimiento e intercambiarán ideas. La verdad es que un problema de seguridad en Paraguay puede ser tan común como en Brasil, a pesar de las diferencias económicas y de idioma. XTreme es donde los profesionales se congregan para hablar acerca de la transformación digital y de cómo bloquear las cambiantes amenazas.

 

Fortinet también tiene un gran interés en educar sobre estos temas a la siguiente generación a través de la asociación con diferentes universidades de todo el mundo. El programa Academia de Seguridad de Redes de Fortinet (FNSA) está diseñado para ofrecer entrenamiento, reconocido por la industria, así como oportunidades de certificación para los estudiantes. Este programa colabora con instituciones académicas, agencias no lucrativas y programas de veteranos para enseñar a los estudiantes a través de estudios teóricos y laboratorios prácticos. Los que aprueben satisfactoriamente, pueden ser acreedores a una certificación de Fortinet. La primera escuela en adoptar el programa será el Instituto Tecnológico de las Américas (ITLA) en República Dominicana.

 

Todas y cada una de las profesiones son afectadas por la tecnología: Los abogados realizan conversaciones confidenciales con sus clientes a través de teléfonos celulares o correos electrónicos; los doctores tienen acceso virtual a la historia clínica de sus pacientes, los cuales pueden ser robados para chantajearlos. Todos tenemos la responsabilidad de estar informados acerca de las amenazas más recientes y la falta de profesionales en seguridad informática nos debe preocupar por igual, ya que ellos son los encargados de proteger el futuro. De otra manera, los coches sin chofer, las ciudades inteligentes, los dispositivos portátiles y otros avances tecnológicos creados para facilitar nuestra vida diaria, serán usados con fines maliciosos. Y este no es el futuro que queremos. Queremos y necesitamos un futuro brillante donde la tecnología nos permita vivir mejor y disfrutar la vida lo mejor posible. La ciberseguridad es el habilitador que puede hacer que eso suceda. ¡Aceptémosla!

 

Por: Redacción Juan Carlos Puentes, gerente Fortinet Colombia

0 Comentarios

Deje su comentario