Sebastián Aguirre Eastman
Colaborador
Ningún usuario se encontraba presente dentro de la cabina cuando el cajero electrónico comenzó a expulsar cientos de billetes que unos transeúntes empezaron a recoger. Ocurrió en Kiev, la capital de Ucrania, en 2013. La misma situación se presentó varias veces, el mismo día, y en distintos cajeros.
Algo debía estar funcionando mal, se preguntaba la mayoría, pero, tras una investigación, la firma rusa Kaspersky Lab, especializada en ciberseguridad, concluiría que, detrás del aparente error tecnológico, se encontraba una poderosa red de hackers que había logrado acceder a los sistemas de, al menos, 100 bancos en 30 países.
Tras recibir un correo electrónico de un remitente desconocido, que invitaba a descargar un archivo de Word con información en apariencia importante, cientos de empleados de los bancos señalados como víctimas hicieron caso al mensaje —no así a las recomendaciones de seguridad—, y salvaron el documento en sus computadores, pero, al mismo tiempo, un software malicioso grababa las pantallas y los movimientos de sus teclados.
La noticia fue difundida en 2015 por The New York Times, cuya investigación reveló cómo el virus Carbanak desnudó las fallas de seguridad cibernética de algunos de los bancos principales de todo el mundo, entidades que, al ser consultadas, prefirieron omitir dar declaraciones, pero para el diario era claro que su silencio indicaba que no querían admitir las fragilidades de sus sistemas de protección.
El Carbanak fue creado por un ucraniano, Denis K., el cerebro detrás de la banda que, con la información recogida, logró hurtar hasta mil millones de dólares.
“¿Pondrías en la calle tu nombre y tu dirección, con teléfono, diciendo ‘yo soy X y vivo en tal lugar, y este es mi número de cuenta bancaria’? No, cierto, entonces ¿por qué lo haríamos en internet?" Graciela Martínez.
El lunes 26 de marzo de 2018, Denis K., de 34 años, fue capturado en Alicante (España), tras un trabajo conjunto entre autoridades de varios países, entre estas Europol y el FBI, denominada la “Operación Carbanak”, que reveló cómo las actividades se planeaban desde un apartamento pequeño en Alicante, pero cuyos tentáculos se extendían, incluso, hasta China, donde Denis K. poseía unas granjas de bitcoins para el blanqueo de sus ganancias, como informó la policía española.
¿Se es consciente del riesgo?
El caso Carbanak demostró cuán expuesta está la información de cualquier clase que esté alojada en el mundo virtual, y lo importante que es saberla proteger. De esa necesidad han surgido los Centros de Respuestas de Incidentes de Seguridad, desde los que se reportan problemas de seguridad informática y, a su vez, se emiten alertas sobre amenazas latentes para prepararse con antelación y combatirlas.
Desde Uruguay, la Casa de Internet de Latinoamérica y el Caribe —Lacnic— es una organización no gubernamental internacional establecida en 2002 que, como se lee en su sitio web, “contribuye al desarrollo de internet en la región mediante una política activa de cooperación, promueve y defiende los intereses de la comunidad regional y colabora en generar las condiciones para que internet sea un instrumento efectivo de inclusión social y desarrollo económico de América Latina y el Caribe”. La organización consigna que sus asociados son un conjunto de más de 7000 organizaciones que operan las redes y brindan servicios en 33 territorios de la región.
Parte del miedo a usar internet para realizar transacciones es por el desconocimiento.
La uruguaya Graciela Martínez, coordinadora del Centro de Respuestas de Incidentes de Seguridad de Lacnic, estuvo presente en EAFIT, en noviembre de 2017, ofreciendo un taller sobre seguridad informática en el evento Lacnic on the move, efectuado en asocio con el Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia.
La experta compartió su preocupación, al considerar que la mayoría de los usuarios no tienen una “cabal conciencia” de todos los riesgos a los que están expuestos en Internet.
“¿Pondrías en la calle tu nombre y tu dirección, con teléfono, diciendo ‘yo soy X y vivo en tal lugar, y este es mi número de cuenta bancaria’? No, cierto, entonces ¿por qué lo haríamos en internet? Somos millones conectados, debemos tener precaución con la información que compartiremos con el resto del mundo para después minimizar los riesgos de que esos datos sean mal utilizados por algún atacante que me puede hackear la cuenta o, de repente, utilice mi información personal para hacerme algo”.
La coordinadora agregó que falta mucho por hacer, por enseñarles a los usuarios sobre el uso correcto de las tecnologías, y por alcanzar el mayor número de personas posibles como una forma de inclusión económica y social, pero con un obstáculo importante: el rápido avance de las tecnologías, “mucho más de lo que estamos pudiendo afrontar en cuanto a la concientización de los usuarios”.
Recorriendo a Latinoamérica ha evidenciado la preocupación que tienen los gobiernos por fomentar no solo la protección de los datos que se consignan en internet, sino el buen uso de esta herramienta que facilita la vida en muchos sentidos.
En un 28,30 por ciento crecieron los cibercrímenes en Colombia de 2016 a 2017, reportó el Centro Cibernético Policial de la Policía Nacional.
“Al usuario le tendríamos que hacer ver las ventajas del internet, donde puede pagar muchas cuentas, se ahorra tiempo, logra acceder a mercados que si no fuera por esta vía sería imposible, pero, igualmente, tenemos que explicarle los riesgos, aclarándole que existen plataformas seguras. Parte del miedo a usar internet para realizar transacciones es por el desconocimiento”, sostuvo Graciela Martínez.
La región ha logrado conectar a una gran cantidad de centros de respuestas de incidentes de seguridad, tanto regionales como nacionales, de acuerdo con el objetivo de cada uno: negocios, academia, educación, investigación y desarrollo, entre otros. Esto les ha permitido interactuar y enfrentar juntos incidentes de seguridad, minimizando los posibles daños que los ataques les infringen a las organizaciones en tres ejes de protección de la información: confidencialidad, integridad y disponibilidad de la información.
La protección de los datos que se alojan en internet es responsabilidad de todos los usuarios. Desde el usuario que utiliza una contraseña poco segura, hasta del administrador del sistema que no hace respaldo de la información y no mantiene actualizados los programas antivirus, hasta de quienes deciden si invertir o no en programas de vigilancia que garanticen la seguridad de la información de la compañía.
“Hay quienes se dedican exclusivamente a buscar cómo vulnerar los sistemas. Por eso debemos evitar compartir contraseñas o datos personales por correos”, alertó Graciela.
La situación en Colombia
En un 28,30 por ciento crecieron los cibercrímenes en Colombia de 2016 a 2017, reportó el Centro Cibernético Policial de la Policía Nacional. La venta de datos personales; la oferta inusitada de malware; la comercialización de productos ilegales como armas, estupefacientes, bienes hurtados, documentos fraudulentos; también el gromming (engaño pederasta) y sextortion (extorsión sexual), en 2017, fueron delitos que registraron las autoridades.
Mediante el tráfico de datos financieros personales, conocido como vishing, el Centro conoció 1055 casos en los que los delincuentes se quedaron con cerca de 2132 millones de pesos.
Otro dato preocupante, informado por las autoridades, fue el de las ciberpirámides. “Los delincuentes están aprovechando la incertidumbre que existe respecto a la legalidad y la fluctuación de las criptomonedas, al captar la atención de incautos inversionistas para hacer supuestas compras en monedas como el bitcoin, ripple o ethereum, recaudando dineros para luego desaparecer mientras estafan masivamente a los ciudadanos”, aseveró.
Por este hecho, “las sumas son superiores a los 1500 millones de pesos, representados en 182 personas que, en 11 ciudades, informaron al @caivirtual una estafa por parte del portal web Me Coin”.
Esta información le sirve al Mintic para tomar medidas que les ofrezcan a los colombianos una navegación segura en internet. Nicolás Silva, director de Industria de Comunicaciones de ese Ministerio, indicó que su propósito es que los usuarios conozcan las ventajas y las oportunidades que les brinda la tecnología, pero, a su vez, los riesgos que cada vez “son más marcados”.
Una de las estrategias ha sido la de crear y estructurar desde el Gobierno unas políticas que sirvan como base y referencia para tener seguridad digital en el país. Silva afirmó que recientemente se han promovido dos documentos Conpes que han definido la hoja de ruta en este campo.
“El objetivo general de esta política es que los ciudadanos, las entidades del Gobierno y los empresarios conozcan e identifiquen los riesgos a los que están expuestos en el entorno digital y aprendan cómo protegerse, prevenir y reaccionar ante los delitos y ataques cibernéticos”, se lee en el sitio web del Mintic al hacer referencia a los documentos Conpes.
Y agregó: “la Política contempla la realización de campañas educativas y de concientización para que los colombianos conozcan cuáles son los riesgos a los que están expuestos con el uso del internet, cómo cuidarse y prevenir los delitos y ataques cibernéticos. De hecho, el Ministerio TIC implementa la iniciativa En TIC confío, que es la estrategia de promoción de uso responsable de internet y de las nuevas tecnologías”.
Silva comentó sobre En TIC Confío que la iniciativa busca llevar a distintos espacios, escuelas y colegios elementos que permitan crear en jóvenes y niños, y en padres de familia y profesores, conciencia de qué es aquello que está detrás de lo que ven en la red y sus peligros, cómo comportarse, qué información dar y cuál no.
De otro lado, el Ministerio ha venido actualizando las plataformas que soportan la navegación en el país, es decir las autopistas sobre las que viajan los datos. Hoy, explicó Silva, Colombia trabaja en la adopción de esquemas de navegabilidad más seguros gracias a la evolución que ha tenido el protocolo IP, que pasó de la versión 4 a la versión 6, la que ayuda a identificar todos los dispositivos que existen en el país, ya que les entrega una dirección única y que, en caso de cualquier incidente de seguridad digital, se puede identificar quién lo provocó.
“Es necesario hacer esfuerzos, los riesgos van evolucionando”, cerró el funcionario.