Gobiernos latinoamericanos enfrentan ciberataques ¿están listos para proteger a sus ciudadanos?


Imagen: shichigoro-shingo 三竦展



por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT™ y mentor del Centro de Ciberseguridad 05000.



Conti, grupo cibercriminal de ransomware de origen ruso, atacó al gobierno de Costa Rica. Le pidieron 10 millones de dólares en abril a cambio de cesar el ataque y devolver la información robada. El gobierno de Costa Rica se negó a pagar. Ahora — y en medio de un rumor de que han cerrado operaciones y desaparecido — Conti ha exigido 20 millones de dólares y amenazan con derrocar al gobierno en turno.

En este entorno, el nuevo presidente del país, Rodrigo Chaves, ordenó un estado de emergencia nacional tras un mes de ciberataques contra los sistemas de las instituciones del país.

El 18 de abril Conti dirigió a organismos e instituciones de Costa Rica un ciberataque masivo en forma de ransomware afectando a 30 instituciones costarricenses como el Ministerio de Trabajo, el de Ciencia, Tecnología y Telecomunicaciones, el Seguro Social o el Instituto Meteorológico Nacional. El más afectado fue el Ministerio de Hacienda, donde los ciberdelincuentes entraron a los servidores y usurparon todo tipo de información.

También se presentaron ataques contra el gobierno de Perú y, todo indica, que hay otros gobiernos en la región que podrían ser el blanco de nuevos ciberataques.

En este sentido, nos preguntamos ¿por qué los gobiernos de Latinoamérica son tan vulnerables a este tipo de ataques?

La mayoría de los países latinoamericanos no tienen una estrategia de ciberseguridad. Si bien contratan tecnología para poner en marcha sus operaciones para ofrecer servicios digitales a sus ciudadanos, sus sistemas e infraestructuras no están adecuadamente protegidos.

Se requieren tres áreas específicas — las cuales no tienen la mayoría de los gobiernos de los países latinoamericanos — para que una estrategia de ciberseguridad funcione:

1. Tecnología. La gran mayoría de los gobiernos de los países de América Latina no desarrollan su propia tecnología, por lo que la adquieren de países como Estados Unidos, Israel o China, principalmente. Esto provoca que muchas de las tecnologías adquiridas solo sean instaladas de acuerdo con los lineamientos de los fabricantes, pero que no sean analizadas o revisadas a detalle por un órgano interno de control. Esto da como resultado brechas o vulnerabilidades que no son identificadas a tiempo y que — en algunos casos — pueden ser utilizadas por los países de origen de las empresas fabricantes, con la finalidad de espiar, vulnerar sistemas, así como extraer y filtrar información confidencial.

Otro punto en la tecnología es que muchos de los gobiernos de los países latinoamericanos adquieren tecnología, supuestamente de ciberseguridad, que utilizan prácticamente para espiar a los grupos opositores del gobierno en turno, periodistas, activistas y, de tener la capacidad, a gobiernos de otros países.

En el caso de la ciberseguridad, todavía hay desconocimiento acerca de las funciones, capacidades y alcances de este tipo de tecnologías, porque — sumado a lo anterior — hay un déficit de talento en la región latinoamericana de especialistas en ciberseguridad que puedan trabajar para el gobierno. Por lo tanto, hacen falta profesionales de este sector que puedan, no solo utilizar la tecnología actual, sino que puedan desarrollar sus propias herramientas de hardware y software para no depender exclusivamente de productos y soluciones extranjeros.

Otro aspecto, es que los gobiernos en América Latina son relativamente efímeros y sus planes están diseñados para el corto plazo, incluso cuando se trata de gobiernos del mismo partido. En estos casos puede más la corrupción y la intención de preservar el poder en feudos, que avanzar en los temas que realmente benefician a los ciudadanos. Además, el actual gabinete de gobierno — de cualquier país — raramente le da seguimiento a los programas de los gobiernos anteriores, especialmente si estos son de partidos políticos diferentes o si se trata de opositores.

2. Factor Humano. Como lo mencioné en el punto anterior, hay un déficit de especialistas de ciberseguridad en la región de América Latina. Y en este punto es importante destacar que sí hay profesionales, pero por lo general se integran a las empresas que son las que pagan más y las que pueden ofrecer planes de desarrollo y crecimiento a sus empleados.

Los gobiernos en América Latina cambian muy rápidamente de forma interna, incluso cuando se trata de funcionarios que pertenecen al mismo partido o grupo político, por lo que las contrataciones de profesionales y sus posiciones vacantes, por lo general corren el riesgo de perderse, una vez que hay elecciones o modificaciones en los gabinetes.

Además, es frecuente que los gobiernos latinoamericanos, al no tener una estrategia clara de ciberseguridad, tampoco tengan contemplado el establecer programas de capacitación y formación en este tema para su personal. Y esto es crítico, porque la primera línea de defensa de cualquier organización, son los empleados y si estos al no tener la preparación adecuada provocan las brechas y filtraciones de información que se han dado a conocer en diferentes medios de comunicación. Se estima que cuando surge un incidente de ciberseguridad en alguna organización, en alrededor del 72% de estos casos, está involucrado algún empleado, lo cual se conoce como “ciberataque de Insiders”.

3. Políticas. Al no tener una estrategia de ciberseguridad, es obvio que no se cuente con un apartado que señale las políticas, procedimientos y procesos que debe seguir cualquier dependencia de gobierno para mantenerse segura.

Existen diferentes marcos de referencia como NIST o ISO 27001 que son adoptados por muchas empresas para poder establecer estas reglas internas que les permitan cumplir con las regulaciones y normativas especializadas en la protección de la información, datos personales, identidades, historiales académicos, estados financieros, historiales de salud, datos confidenciales, patentes, secretos industriales, prototipos, etcétera. Y estos marcos de referencia y normativas no han sido considerados ni implementados por los gobiernos de América Latina.

Incluso, cuando varios países de la región han tenido la iniciativa de desarrollar políticas y regulaciones, muchas de estas son generadas por funcionarios, diputados, senadores, gente del gabinete que pueden tener experiencia política, pero no tienen experiencia tecnológica y mucho menos de ciberseguridad, por lo que estas leyes y reglas, en términos generales, se quedan muy cortas y tienen muchas áreas grises y lagunas que permiten que los ciberdelincuentes no puedan ser juzgados y castigados por sus crímenes.

¿Qué deberían hacer los gobiernos para evitar este tipo de incidentes?

Lo principal es trabajar en una estrategia de ciberseguridad, en la cual participen expertos y consultores que le transmitan a los gobiernos las mejores prácticas y que los alerten de los riesgos actuales. Esta estrategia debe contemplar las tres áreas antes descritas: tecnología, factor humano y políticas.

También esta estrategia debe impulsar la generación de especialistas que puedan trabajar en las dependencias del gobierno.

Otro punto es que el gobierno debe, antes que nada, identificar los activos tecnológicos con los que cuentan. Esto es: eliminar hardware y software obsoletos y actualizar e instalar parches de seguridad en los dispositivos y programas que están vigentes. Otro punto es que se debe elaborar un plan de riesgos que permita a los gobiernos, una vez que han identificado sus activos tecnológicos, establecer el tipo de riesgo que tiene cada activo, con la finalidad de poder tomar medidas preventivas para protegerlos adecuadamente.

También tener un mejor orden y control con respecto a estos activos digitales y de información. Esto es, tener un respaldo de la información para poder recuperarla en caso de un ciberataque, así como almacenar copias de esta información en diferentes lugares (en dispositivos de almacenamiento externo, en servicios en la nube y en servidores externos) con la finalidad de proteger al máximo esos datos.

Otra recomendación urgente: es crucial que dentro del plan de ciberseguridad se establezca un programa de prevención de pérdida de datos que obligue al personal de las dependencias de gobierno a cambiar contraseñas y que evite que estas personas tengan acceso a información para la que no tienen autorización. Prevenir el ataque de Insiders dentro de las dependencias de gobierno debe ser prioritario, pues lo que está en juego es la información de todo un país y, cuando se vulnera, se compromete y se filtra esta información, es un vector de ataque altamente aprovechado por el cibercrimen.

Para más información, visita: https://www.silikn.com/