Uruguay sufrió 670 millones de intentos de ciberataques el año pasado

En Uruguay las cifras oficiales son relevadas por el Centro Nacional de Respuestas a Incidentes de Seguridad Informática a partir de incidentes –no necesariamente delitos– denunciados en su mayoría por organismos públicos. En 2023 fueron 4.968.

Adicionalmente, a partir de información expuesta al mundo en Internet, el ejecutivo contó que se detectaron 343.000 dispositivos expuestos –no necesariamente hackeables–, la mayoría en Montevideo. Pero al poder ser vulnerados, “el atacante puede ingresar y moverse en la red buscando un objetivo que pueda ser motivo de monetización o exfiltración de datos para luego extorsionar o pedir rescate”. Además, encontraron 34.000 cámaras expuestas a Internet, algunas totalmente accesibles.

Según la última encuesta –aún no publicada– que realizó Datasec, su socio-director, Reynaldo de la Fuente, compartió con Búsqueda que en 2023 el 6% de las empresas en Uruguay reconoció que fue hackeada –unas 11.000 empresas– y el 20% dijo haber escuchado de otras firmas que sufrieron incidentes pero no se hicieron públicos.

Causas

“Lo que más motiva a los atacantes es poder quitar dinero a la víctima”, dijo Gutierrez en la charla del martes 12.

Sobre esto, Andrés Dandrau, el responsable del área de ciberseguridad de la empresa Security Advisor, que presta servicios de ciberseguridad en Uruguay, comentó que “si no hay más ciberdelitos, es porque por suerte y solamente en este sentido, todavía hay una brecha en lo que tiene que ver con las herramientas informáticas que hace que muchos delincuentes prefieren seguir agarrando un arma y salir a la calle en vez de agarrar una computadora y ponerse a hackear”.

Agregó que una diferencia clave respecto de los delitos tradicionales es que quienes los cometen “no tienen que llegar a la cárcel para adquirir más conocimiento”. Con el cibercrimen la “escuela” es Internet y “pueden aprender totalmente solos”.

Por el lado de las empresas, el socio-director de Datasec explicó a partir de la encuesta hecha en 2023 que el 30% de las firmas uruguayas no tomó medidas de ciberseguridad. “Luego, no nos sorprende que haya incidentes; si bien están gestionando el riesgo en virtud de sus posibilidades, son conscientes de que no hicieron todo lo que tenían que hacer”, comentó.

De la Fuente agregó que hay empresas con problemas de infraestructura tecnológica, como máquinas y sistemas operativos viejos “porque tienen limitaciones de presupuesto y de recursos humanos para hacer lo que sería ideal”.

Sobre las causas, estimó que a las empresas pequeñas no les preocupa la ciberseguridad porque “no impacta directamente en el negocio” ya que la dependencia de la tecnología es reducida” y, por ejemplo, no todas manejan redes sociales o datos confidenciales. Por el contrario, entre las firmas grandes y medianas crece la preocupación.

Exposición

Las empresas uruguayas están “tan expuestas como cualquiera del mundo, y eso está bueno aclararlo”, señaló Dandrau, que criticó la “falsa percepción” entre los responsables de algunas firmas con pequeño volumen de facturación que creen que “nadie les va a pegar. Eso puede ser cierto para algunos casos de hackeo, pero hoy hay una enorme cantidad de incidentes producto de sistemas automatizados, que no miden a quién están atacando”. Para un ciberdelincuente “no hay ninguna diferencia” entre una empresa uruguaya, argentina, estadounidense o china, subrayó.

En su empresa, explicó, la mayoría de las veces son contactados porque ya se sufrió un incidente. Hay “falta de proactividad”, según él, porque en la mayoría de las empresas no existe un área de seguridad de la información, entonces “nadie tiene por objetivo proteger los datos. Eso en una Pyme es razonable y justificable, pero cuando hablamos de empresas de mayor porte, cualquier responsable de la empresa estaría encantado de invertir el 1% de su presupuesto si supiera lo que le puede pasar con determinados incidentes informáticos”.

Sobre esto, De la Fuente agregó, en relación al dato de que el 30% de las empresas no tomó medidas, que el porcentaje se reduce a 20% entre las grandes y medianas. “Pero igual es preocupante que el 50% de las empresas tomó medidas parciales”, acotó.

Entre el total de las empresas 25% tiene alguien que se preocupa por la ciberseguridad, 44% entre las grandes y medianas. Solo el 4% de las empresas tiene un encargado de esta área y el 25% terceriza esta tarea, aunque no necesariamente lo hace “a una empresa de ciberseguridad” y “la mayoría lo terceriza al soporte de TI, que tal vez no tenga un especialista de ciberseguridad”, afirmó.

Las cifras de Datasec también mostraron que solo el 17% de las empresas tiene políticas de seguridad, 44% educa a sus trabajadores y 83% tiene antivirus, y 14% utiliza el segundo factor de autenticación. “Hay un escenario de debilidades, que hace que muchas estén expuestas, y en términos relativos hay pocos incidentes que toman carácter público”, aseguró su socio-director.

A la hora de acceder a los sistemas informáticos de una empresa o personas, Dandrau explicó que existen tres grandes mecanismos, las vulnerabilidades –fallas de diseño en programas y aplicaciones–, la ingeniería social –la ciencia de utilizar vulnerabilidades en el comportamiento y psicología–, y los virus informáticos, como el ransomware, que “son códigos pequeños dentro de archivos como juegos, películas o canciones, que luego se suben a Internet” y pueden llegar a infectar una computadora y cifrar datos.

Acerca de los ransomware, Ignacio Conti, de Fortinet, explicó que son cada vez “más dirigidos y más rápidos, actualmente se activan en menos de 24 horas”. Según las cifras de Datasec, el 2% de las empresas reconoció que sufrió un incidente de este tipo.

Dentro de la ingeniería social entra el phishing, el engaño vía mail, mensajes o llamadas, que de hecho “es la más utilizada para las personas, aunque las empresas también tienen casos bastante seguido”. Se ataca la psicología humana, y ni siquiera se requiere de una computadora, “la mayoría de los fraudes de robos de cuenta en bancos en Uruguay son casos de phising”, donde las personas terminan entregando por su propia voluntad las “llaves de su casa”, graficó Dandrau.

Conti explicó que hoy los casos de phishing son “mucho más dirigidos”, en los que previamente se investiga a la víctima y las nuevas “tecnologías que aparecen son utilizadas por los atacantes para perfeccionar armas viejas”.

Al involucrar sentimientos y emociones, cambian las decisiones racionales que las personas habrían tomado. Frente al llamado de quien dice tener “secuestrado a alguien de la familia, hay que estar en ese momento. Cuando uno piensa en frío, somos todos crack, ¿cómo pudo alguien caer en eso? Pasa que también las personas y las empresas no quieren decir la cantidad de veces que les pasó porque no quieren sentirse mal”, explicó el especialista de Security Advisor.

Conti agregó que hoy existen páginas web fraudulentas y cuentas falsas en redes sociales, y está pasando que “hay empresas que están saliendo de las redes sociales porque están hartos de que sus clientes caigan en estafas, les cuesta en plata y en reputación”.

Prevención

A la hora de prevenir estos casos, Dandrau recomendó hacer respaldos, usar contraseñas, la huella y la cara, usar doble factor de autenticación y “todo lo que se pueda”, como credenciales para acceder a cuentas en las redes sociales, bancos y otros sitios.

El socio-director de Datasec opinó que, además de aprobar leyes que establezcan obligaciones, formar y educar a los profesionales, también habría que “apoyar la innovación en ciberseguridad y financiar parte de esas mejoras. Hay iniciativas en Europa, subsidios para invertir en antivirus y en mejorar sus computadoras”.

Otro tema es “concientizar, generen un poco de demanda popular. Si los clientes no lo valoran y solo les interesa que sea más barato, no hay incentivo. Hay que educar a la gente acerca de la importancia de su privacidad”, explicó de la Fuente.

Dandrau agregó que, en el caso de los delitos que utilizan IA, por ahora “si bien no está adoptada al 100%, se han visto varios casos donde se pueden imitar el rostro y la voz de una persona”. En febrero, una empresa de Hong Kong sufrió pérdidas por US$ 25 millones en una situación de este tipo, según consignó la cadena CNN.

Ante estos casos, el especialista de Security Advisor recomendó a nivel empresarial utilizar “procesos rígidos” y no confiar en los dispositivos, haciendo un control por capas, donde en cada parte del proceso se valide la “autenticidad de la persona” con la que está comunicándose.

Pero reflexionó: “Si hoy estamos cayendo en un alto porcentaje de fraudes y son más bien simples, no estamos ni cerca de preparados para ese otro tipo de estafas bastante más sofisticadas y todavía no se ha visto. Pero en el corto plazo veremos muchísimos usos más dañinos de la IA”.