La Agencia Nacional de Ciberseguridad (ANCI) publicó recientemente la guía de los “9 Básicos de la Ciberseguridad“, invitando a las instituciones a cumplir con las siguientes recomendaciones clave:
1. Capacitar periódicamente: Entrenar al personal en la identificación de phishing y manejo seguro de datos.
2. Actualizar periódicamente: Activar actualizaciones automáticas de sistemas y aplicaciones.
3. Minimizar privilegios: Entregar solo los accesos mínimos necesarios para cada puesto de trabajo.
4. Respaldar la información: Mantener copias de seguridad en dispositivos aislados y no conectados permanentemente.
5. Asegurar redes: Segmentar las redes internas según las responsabilidades de los equipos.
6. Asegurar equipos: Cifrar discos duros y eliminar claves predeterminadas.
7. Monitorear en tiempo real: Contar con sistemas automatizados para detectar actividad maliciosa.
8. Múltiple Factor de Autenticación (MFA): Agregar capas de validación extra para el ingreso a las cuentas.
9. Usar gestor de contraseñas: Almacenar credenciales corporativas mediante una clave maestra extensa y segura.
Si bien el documento establece una hoja de ruta clara para resguardar los activos institucionales, abordando desde la capacitación continua hasta el uso de herramientas avanzadas, expertos aseguran que la realidad operativa evidencia que no todos los puntos se incorporan con la misma rigurosidad.
En ese contexto, el comportamiento de las empresas locales ante las indicaciones de la institución es analizado por especialistas, dando a conocer la vulnerabilidad más recurrente y la solución más fácil de implementar.
David Pereira, gerente general de Inside Security, explica que “las recomendaciones de la ANCI representan una buena base, pero en la práctica vemos que muchas organizaciones aún presentan brechas en distintos niveles, desde controles básicos y falta de actualizaciones, hasta vulnerabilidades más complejas asociadas a configuraciones, sistemas operativos o arquitecturas tecnológicas”.
Por su parte, Cristián Riveros, director de Servicios Latam de ITMore Group, señala que existe la falsa creencia de que refrescar los sistemas es un proceso automático y rápido para las empresas, pero la realidad da cuenta de un retroceso alarmante. Según los datos globales del DBIR, el tiempo promedio para lograr un refuerzo completo ascendió a 43 días, empeorando drásticamente en comparación con los 32 días del año anterior.
El gerente general de Inside Security sostiene que uno de los puntos infringidos con mayor frecuencia corresponde a la gestión de accesos, especialmente en relación al uso de contraseñas débiles, permisos excesivos y falta de mecanismos como la autenticación multifactor.
“Los principios de menor complejidad para su adopción y fiscalización son el uso de mecanismos de Múltiples Factores de Autenticación (MFA) y la utilización de un gestor de contraseñas. Si bien el factor humano, que incluye errores, ingeniería social y mala implementación, está detrás del 60% de las brechas de seguridad actuales. La buena noticia es que dichos puntos son los de menor complejidad técnica para su adopción”, complementa Riveros.
En esa línea, Pereira apunta que existen hoy en día soluciones accesibles que permiten agregar una capa adicional de protección sin mayores inversiones ni cambios complejos en la operación. También destaca la importancia de avanzar en prácticas básicas, como mantener equipos actualizados y capacitar a los usuarios. Muchas brechas se deben a situaciones simples, como hacer clic en enlaces maliciosos o emplear credenciales expuestas.
“Implementar un gestor de contraseñas corporativo o exigir un segundo factor de autenticación no requiere modificar la infraestructura de la empresa ni grandes inversiones; las plataformas actuales ya traen estas capas integradas por defecto”, recalca el especialista de ITMore Group.
Por último, David Pereira asegura que Chile ha hecho progresos relevantes en la construcción de un marco de ciberseguridad más exigente, principalmente con la creación de la ANCI y las nuevas regulaciones en protección de datos y ciberseguridad.
