—Sí, totalmente. Se agravaron en cualquier aspecto en que lo quieras medir, tanto en términos de cantidad como en tipo de víctima. Antes hablábamos más de ataques dirigidos a actores estatales o a organismos públicos, y a empresas de renombre que pudieran tener cierto impacto, en su cotización, o por la información que se le pudiera vender a su competidor. Hoy eso es totalmente obsoleto. Pospandemia se dieron dos factores, que son claves para la explicación de este incremento que, para mí, es exponencial. Se aceleró la transformación digital y eso hizo que crezca de manera exponencial la superficie de ataque: si tú eras un ladrón que vivías en un barrio y te dedicabas a robar 100 casas, de pronto, para los mismos ladrones hay 3.000 casas ahí, y claramente derivó en que haya más ciberdelincuentes interesados en entrar al negocio. Eso hizo que se incrementaran, luego bajaron —aunque siempre lejos de los niveles prepandemia— y ahora viene la ola de la inteligencia artificial (IA), que le da ventaja al atacante, aunque todavía no hemos visto consecuencias realmente graves. Un intento de estafa tiene un grado de conversión mucho mayor, porque hoy el estafador le puede decir a una herramienta como ChatGPT que intente hacer una estafa en lenguaje uruguayo, y eso va a ser más sigiloso.
—¿La masificación de la IA juega a favor de los delincuentes?
—Sin dudas, les da un montón de herramientas que no tenían. Y creo que aún no hemos llegado a ver el auge, que se va a ver recién en 2025, porque estas herramientas, que son large language model (LLM), todavía no han sido explotadas con la capacidad que realmente tienen, desde un punto de vista no ético. Ahora, en la dark web, se empiezan a vender este tipo de modelos de lenguaje para trabajar desde un punto de vista cibercriminal, pero todavía eso no se ha masificado, y va a ser brutal.
—¿Se están vendiendo creaciones de IA que se hicieron específicamente para cometer delitos?
—Sí. Se empiezan a comercializar y algunos ni se comercializan, son de código abierto. El objetivo sería un bot o un GPT para un uso específico, por ejemplo, para crear cierto tipo de ataque, escanear la vulnerabilidad de un tipo de organización y otras cosas más técnicas. Otra cuestión que ha acelerado los ciberdelitos tiene que ver con la facilidad con que pueden monetizar su ataque con las criptomonedas. El atacante hoy puede monetizar un ataque de manera superfácil, manteniendo unos niveles de anonimato que son brutales. Entonces, hoy un atacante tiene, por un lado, una cantidad de víctimas gigantes mucho mayor a la prepandemia, y, por otro, un medio para hacerse de ese trabajo; por lo tanto, hay un cóctel importante.
—Planteaba que los ataques también se agravaron. ¿En qué sentido?
—Porque las víctimas no solamente son las grandes empresas y los actores estatales. Esto es trasversal a todo, ya no queda nadie ajeno a necesitar una computadora para llevar a cabo un negocio, como una pyme, y en esa computadora hay información, y esa información, sea para la propia persona, sea para el dueño, vale. Hay un incremento de las víctimas potenciales del ransomware, que viene de la palabra raíz “rescate” y “ware”, la terminación de software, hardware. Esto es un malware de software malicioso que lo que hace es secuestrar virtualmente la información para pedir un rescate a cambio. Las vulnerabilidades para que puedan entrar están en el teléfono que usamos, en el ordenador que usamos y en las cosas que están dentro del navegador.
—Este contexto, de digitalización y de cobro por criptomonedas, hace más difícil el combate de estos delitos, porque no se cometen en la vía pública con las imágenes de una cámara que se puedan usar como evidencia.
—Sí, pero creo que como sociedad nos victimizamos mucho más de lo que deberíamos. Hay cosas muy fáciles de hacer, que no tienen que ver con grandes inversiones. Hay un cambio cultural que hay que hacer. Es como que a un auto de gama baja le agregue un control de estabilidad, cambios automáticos, un tipo de frenado asistido, un control de tracción, pero vos te emborrachás, entonces, el auto no sería el problema…
—¿Qué pueden hacer los usuarios de tecnologías para disminuir los riesgos?
—Lo primero es poner el tema sobre la mesa. La mayoría de las personas que usan WhatsApp, que es la herramienta de comunicación digital, no tienen el doble factor de verificación activado. Es algo que hay que hablar, porque el peligro está ahí. A cualquiera lo pueden llamar y lo pueden engañar. En el ámbito empresarial es lo mismo. He visto situaciones muy graves que ponen en peligro a una compañía, porque el tema no estaba sobre la mesa.
—En el último tiempo en Uruguay hubo varios casos de empresas privadas que sufrieron ataques cibernéticos, como bancos donde robaron datos de usuarios. ¿Se puede hacer algo como usuarios?
—Lo correcto, y lo que está a nuestro alcance, es cambiar las credenciales, es decir, actualizar la combinación de usuario y contraseña. Y hay herramientas gratuitas que te dicen si el usuario que vos tenés registrado en una compañía o un servicio online o en una red social fue filtrado y entonces tu dato corre peligro. Hay una que se llama Have I Been Pwned (HIBP). Eso se debería monitorear. Lo otro es comenzar a ser más exigentes con nuestros proveedores. Todos somos clientes y ellos tienen la responsabilidad legal de proteger nuestra información. Si fuéramos más exigentes, habría un montón de lugares donde no daríamos nuestros datos, y eso haría que ellos sean más exigentes consigo mismos como con los ataques a la cadena de suministros, a los que son proveedores de los bancos, por ejemplo.
—¿Qué se puede exigir como usuarios?
—Hacer reclamos, hacer comentarios; obviamente, no tenemos gran poder de negociación con los bancos, que creo que deberían hacer un esfuerzo aún mayor para nuestra seguridad.
—¿Y a escala de los gobiernos?
—En Uruguay, estoy muy conforme con los pasos que se han dado. Hoy es líder a nivel regional. Se ha logrado hacer un trabajo sumamente profesional, quedan cosas por hacer, pero la seguridad no tiene un fin, no hay un momento en el que somos seguros. La seguridad es un proceso continuo. Si el que me va a atacar tiene más poder que yo, no me alcanza. Entonces, en el ámbito gubernamental somos líderes de la región. Lo que no quiere decir nada tampoco. Pero la región es un desastre. Un desastre porque ni siquiera hay un criterio definido, como en Argentina, donde en el ámbito estatal ni siquiera hay consenso para definir cuáles son las estructuras críticas del país. Sin eso no podemos empezar ni a hablar, si no identificamos primero cuáles son las joyas de la corona, cuáles son los activos que de verdad tenemos que proteger, sin los que no podemos vivir o no podemos funcionar como país, no podemos empezar a hablar de estrategia.
—Durante el primer semestre de 2024 en Uruguay, en el Centro Nacional de Respuestas de Incidentes de Seguridad Informática (Certuy) se respondieron 4.772 incidentes, de los cuales el 1% fueron clasificados como de severidad alta o muy alta. ¿Qué reflejan esas cifras?
—Creo que hoy la mayoría de los casos no se denuncia, entonces, es muy difícil obtener cifras. Habría que hacer una encuesta como parte del censo, para preguntar si sabrían cómo denunciar un incidente de seguridad. Te aseguro que, si comparo esos números con los que tiene el centro de ciberseguridad de España, que tiene una especie de 911 para incidentes de este tipo que trabaja todo el día y es gratuito, va a ser un número nulo.
—¿Es la punta del iceberg entonces?
—Totalmente. Creo que hay un componente, que es que, en la medida que los ciberseguros, que cubren ciberriesgos, se hagan accesibles para mucha gente o muchas empresas, las denuncias van a empezar a correlacionarse mejor con esos datos, ya que el asegurado va a necesitar denunciar. Lo que pasa es que en nuestras regiones al no haber normativas que exijan a que una empresa denuncie es que no tiene incentivo para denunciar. Por lo regular lo hacen para poder iniciar una causa judicial que en general no llega a nada, porque es complejo. Si eres una empresa y te filtraron datos de tus usuarios, ¿cuál es el incentivo para ir a denunciar eso y que todos lo sepan?
—En setiembre de 2024 Uruguay aprobó la legislación de los ciberdelitos, ¿cree que va a tener un impacto en su combate?
—Sí, un marco normativo es beneficioso. Quizás no lo veamos como algo tan tangible para el empresario o al usuario, pero nos permite alinearnos con una comunidad internacional que está mucho más avanzada y acceder a un nivel de cooperación internacional, como una capacitación para funcionarios de Agesic.
—La ley también incluyó una campaña educativa, ¿te parece importante?
—Súper. Creo que es de las inversiones más económicas y quizás de más alto impacto. Es fundamental, a nivel estatal como país, y también creo que las empresas tienen que hacer su trabajo. En términos cuantitativos es una inversión despreciable, pero cuyo impacto es brutal, porque la última línea de defensa de las empresas son las personas. Yo escucho casos de estafa haciendo el cuento del tío que teníamos en 1990. Lo están haciendo ahora en digital y el cibercriminal no tuvo que poner nada en juego, estaba en su casa esperando la transferencia. Entonces, tanto para estafas de este estilo como para incidentes mucho más grandes, creo que es relevante la educación.
—En 2025 se debatirá la Ley de Presupuesto. ¿Debería crecer la asignación dirigida a seguridad informática?
—Sí, 100%. Igual, en países como Uruguay, el camino es la cooperación internacional. Haciendo bien las tareas como ahora se posiciona como un firme candidato a poder incrementar los montos de préstamos de organismos multilaterales a tasas beneficiosas.