• Cotizaciones
    lunes 20 de enero de 2025

    ¡Hola !

    En Búsqueda y Galería nos estamos renovando. Para mejorar tu experiencia te pedimos que actualices tus datos. Una vez que completes los datos, tu plan tendrá un precio promocional:
    $ Al año*
    En caso de que tengas dudas o consultas podés escribir a [email protected] o contactarte por WhatsApp acá
    * Podés cancelar el plan en el momento que lo desees

    ¡Hola !

    En Búsqueda y Galería nos estamos renovando. Para mejorar tu experiencia te pedimos que actualices tus datos. Una vez que completes los datos, por los próximos tres meses tu plan tendrá un precio promocional:
    $ por 3 meses*
    En caso de que tengas dudas o consultas podés escribir a [email protected] o contactarte por WhatsApp acá
    * A partir del cuarto mes por al mes. Podés cancelar el plan en el momento que lo desees
    stopper description + stopper description

    Tu aporte contribuye a la Búsqueda de la verdad

    Suscribite ahora y obtené acceso ilimitado a los contenidos de Búsqueda y Galería.

    Suscribite a Búsqueda
    DESDE

    UYU

    299

    /mes*

    * Podés cancelar el plan en el momento que lo desees

    ¡Hola !

    El venció tu suscripción de Búsqueda y Galería. Para poder continuar accediendo a los beneficios de tu plan es necesario que realices el pago de tu suscripción.
    En caso de que tengas dudas o consultas podés escribir a [email protected] o contactarte por WhatsApp acá

    Especialista en ciberseguridad cree que en 2025 habrá una “ola” de uso de IA para cometer ciberataques

    Alan Mai, quien considera a Uruguay “líder” regional en ciberseguridad, dice que “se empiezan a vender” en la dark web herramientas de inteligencia artificial para delincuentes: “Eso no se ha masificado, y va a ser brutal”

    Hace casi un año, a comienzos de 2024, el Foro Económico Mundial incluyó a la ciberseguridad en una lista de los principales desafíos globales, por debajo de la polarización social y por encima de los conflictos armados internos. Para el especialista en ciberseguridad en Latinoamérica Alan Mai, un uruguayo radicado en España, el 2025 será el año del auge del uso de la inteligencia artificial para cometer ataques cibernéticos. “Todavía no hemos visto consecuencias realmente graves”, advirtió.

    Mai es el CEO de la empresa Bloka, que da servicios gestionados de seguridad a empresas a nivel mundial y también a organismos estatales, incluso en Uruguay. Según sostiene, los ciberataques se agravaron porque ahora los objetivos “no solamente son las grandes empresas” y los Estados, también son blancos las pequeñas y medianas empresas. Las facilidades para monetizar este tipo de maniobras con criptomonedas también facilitó su expansión.

    Sobre las cifras de ciberataques en Uruguay, considera que son la punta del iceberg, porque una empresa que es víctima de un ataque “no tiene incentivo para denunciar”. Como usuarios de aplicaciones, dijo que habría que “exigir más” a las compañías.

    Lo que sigue es un resumen de la entrevista que Mai mantuvo con Búsqueda.

    —¿Los ataques cibernéticos se agravaron en el último tiempo?

    —Sí, totalmente. Se agravaron en cualquier aspecto en que lo quieras medir, tanto en términos de cantidad como en tipo de víctima. Antes hablábamos más de ataques dirigidos a actores estatales o a organismos públicos, y a empresas de renombre que pudieran tener cierto impacto, en su cotización, o por la información que se le pudiera vender a su competidor. Hoy eso es totalmente obsoleto. Pospandemia se dieron dos factores, que son claves para la explicación de este incremento que, para mí, es exponencial. Se aceleró la transformación digital y eso hizo que crezca de manera exponencial la superficie de ataque: si tú eras un ladrón que vivías en un barrio y te dedicabas a robar 100 casas, de pronto, para los mismos ladrones hay 3.000 casas ahí, y claramente derivó en que haya más ciberdelincuentes interesados en entrar al negocio. Eso hizo que se incrementaran, luego bajaron —aunque siempre lejos de los niveles prepandemia— y ahora viene la ola de la inteligencia artificial (IA), que le da ventaja al atacante, aunque todavía no hemos visto consecuencias realmente graves. Un intento de estafa tiene un grado de conversión mucho mayor, porque hoy el estafador le puede decir a una herramienta como ChatGPT que intente hacer una estafa en lenguaje uruguayo, y eso va a ser más sigiloso.

    —¿La masificación de la IA juega a favor de los delincuentes?

    —Sin dudas, les da un montón de herramientas que no tenían. Y creo que aún no hemos llegado a ver el auge, que se va a ver recién en 2025, porque estas herramientas, que son large language model (LLM), todavía no han sido explotadas con la capacidad que realmente tienen, desde un punto de vista no ético. Ahora, en la dark web, se empiezan a vender este tipo de modelos de lenguaje para trabajar desde un punto de vista cibercriminal, pero todavía eso no se ha masificado, y va a ser brutal.

    —¿Se están vendiendo creaciones de IA que se hicieron específicamente para cometer delitos?

    —Sí. Se empiezan a comercializar y algunos ni se comercializan, son de código abierto. El objetivo sería un bot o un GPT para un uso específico, por ejemplo, para crear cierto tipo de ataque, escanear la vulnerabilidad de un tipo de organización y otras cosas más técnicas. Otra cuestión que ha acelerado los ciberdelitos tiene que ver con la facilidad con que pueden monetizar su ataque con las criptomonedas. El atacante hoy puede monetizar un ataque de manera superfácil, manteniendo unos niveles de anonimato que son brutales. Entonces, hoy un atacante tiene, por un lado, una cantidad de víctimas gigantes mucho mayor a la prepandemia, y, por otro, un medio para hacerse de ese trabajo; por lo tanto, hay un cóctel importante.

    —Planteaba que los ataques también se agravaron. ¿En qué sentido?

    —Porque las víctimas no solamente son las grandes empresas y los actores estatales. Esto es trasversal a todo, ya no queda nadie ajeno a necesitar una computadora para llevar a cabo un negocio, como una pyme, y en esa computadora hay información, y esa información, sea para la propia persona, sea para el dueño, vale. Hay un incremento de las víctimas potenciales del ransomware, que viene de la palabra raíz “rescate” y “ware”, la terminación de software, hardware. Esto es un malware de software malicioso que lo que hace es secuestrar virtualmente la información para pedir un rescate a cambio. Las vulnerabilidades para que puedan entrar están en el teléfono que usamos, en el ordenador que usamos y en las cosas que están dentro del navegador.

    —Este contexto, de digitalización y de cobro por criptomonedas, hace más difícil el combate de estos delitos, porque no se cometen en la vía pública con las imágenes de una cámara que se puedan usar como evidencia.

    —Sí, pero creo que como sociedad nos victimizamos mucho más de lo que deberíamos. Hay cosas muy fáciles de hacer, que no tienen que ver con grandes inversiones. Hay un cambio cultural que hay que hacer. Es como que a un auto de gama baja le agregue un control de estabilidad, cambios automáticos, un tipo de frenado asistido, un control de tracción, pero vos te emborrachás, entonces, el auto no sería el problema…

    —¿Qué pueden hacer los usuarios de tecnologías para disminuir los riesgos?

    —Lo primero es poner el tema sobre la mesa. La mayoría de las personas que usan WhatsApp, que es la herramienta de comunicación digital, no tienen el doble factor de verificación activado. Es algo que hay que hablar, porque el peligro está ahí. A cualquiera lo pueden llamar y lo pueden engañar. En el ámbito empresarial es lo mismo. He visto situaciones muy graves que ponen en peligro a una compañía, porque el tema no estaba sobre la mesa.

    —En el último tiempo en Uruguay hubo varios casos de empresas privadas que sufrieron ataques cibernéticos, como bancos donde robaron datos de usuarios. ¿Se puede hacer algo como usuarios?

    —Lo correcto, y lo que está a nuestro alcance, es cambiar las credenciales, es decir, actualizar la combinación de usuario y contraseña. Y hay herramientas gratuitas que te dicen si el usuario que vos tenés registrado en una compañía o un servicio online o en una red social fue filtrado y entonces tu dato corre peligro. Hay una que se llama Have I Been Pwned (HIBP). Eso se debería monitorear. Lo otro es comenzar a ser más exigentes con nuestros proveedores. Todos somos clientes y ellos tienen la responsabilidad legal de proteger nuestra información. Si fuéramos más exigentes, habría un montón de lugares donde no daríamos nuestros datos, y eso haría que ellos sean más exigentes consigo mismos como con los ataques a la cadena de suministros, a los que son proveedores de los bancos, por ejemplo.

    —¿Qué se puede exigir como usuarios?

    —Hacer reclamos, hacer comentarios; obviamente, no tenemos gran poder de negociación con los bancos, que creo que deberían hacer un esfuerzo aún mayor para nuestra seguridad.

    —¿Y a escala de los gobiernos?

    —En Uruguay, estoy muy conforme con los pasos que se han dado. Hoy es líder a nivel regional. Se ha logrado hacer un trabajo sumamente profesional, quedan cosas por hacer, pero la seguridad no tiene un fin, no hay un momento en el que somos seguros. La seguridad es un proceso continuo. Si el que me va a atacar tiene más poder que yo, no me alcanza. Entonces, en el ámbito gubernamental somos líderes de la región. Lo que no quiere decir nada tampoco. Pero la región es un desastre. Un desastre porque ni siquiera hay un criterio definido, como en Argentina, donde en el ámbito estatal ni siquiera hay consenso para definir cuáles son las estructuras críticas del país. Sin eso no podemos empezar ni a hablar, si no identificamos primero cuáles son las joyas de la corona, cuáles son los activos que de verdad tenemos que proteger, sin los que no podemos vivir o no podemos funcionar como país, no podemos empezar a hablar de estrategia.

    —Durante el primer semestre de 2024 en Uruguay, en el Centro Nacional de Respuestas de Incidentes de Seguridad Informática (Certuy) se respondieron 4.772 incidentes, de los cuales el 1% fueron clasificados como de severidad alta o muy alta. ¿Qué reflejan esas cifras?

    —Creo que hoy la mayoría de los casos no se denuncia, entonces, es muy difícil obtener cifras. Habría que hacer una encuesta como parte del censo, para preguntar si sabrían cómo denunciar un incidente de seguridad. Te aseguro que, si comparo esos números con los que tiene el centro de ciberseguridad de España, que tiene una especie de 911 para incidentes de este tipo que trabaja todo el día y es gratuito, va a ser un número nulo.

    —¿Es la punta del iceberg entonces?

    —Totalmente. Creo que hay un componente, que es que, en la medida que los ciberseguros, que cubren ciberriesgos, se hagan accesibles para mucha gente o muchas empresas, las denuncias van a empezar a correlacionarse mejor con esos datos, ya que el asegurado va a necesitar denunciar. Lo que pasa es que en nuestras regiones al no haber normativas que exijan a que una empresa denuncie es que no tiene incentivo para denunciar. Por lo regular lo hacen para poder iniciar una causa judicial que en general no llega a nada, porque es complejo. Si eres una empresa y te filtraron datos de tus usuarios, ¿cuál es el incentivo para ir a denunciar eso y que todos lo sepan?

    —En setiembre de 2024 Uruguay aprobó la legislación de los ciberdelitos, ¿cree que va a tener un impacto en su combate?

    —Sí, un marco normativo es beneficioso. Quizás no lo veamos como algo tan tangible para el empresario o al usuario, pero nos permite alinearnos con una comunidad internacional que está mucho más avanzada y acceder a un nivel de cooperación internacional, como una capacitación para funcionarios de Agesic.

    —La ley también incluyó una campaña educativa, ¿te parece importante?

    —Súper. Creo que es de las inversiones más económicas y quizás de más alto impacto. Es fundamental, a nivel estatal como país, y también creo que las empresas tienen que hacer su trabajo. En términos cuantitativos es una inversión despreciable, pero cuyo impacto es brutal, porque la última línea de defensa de las empresas son las personas. Yo escucho casos de estafa haciendo el cuento del tío que teníamos en 1990. Lo están haciendo ahora en digital y el cibercriminal no tuvo que poner nada en juego, estaba en su casa esperando la transferencia. Entonces, tanto para estafas de este estilo como para incidentes mucho más grandes, creo que es relevante la educación.

    —En 2025 se debatirá la Ley de Presupuesto. ¿Debería crecer la asignación dirigida a seguridad informática?

    —Sí, 100%. Igual, en países como Uruguay, el camino es la cooperación internacional. Haciendo bien las tareas como ahora se posiciona como un firme candidato a poder incrementar los montos de préstamos de organismos multilaterales a tasas beneficiosas.