En este contexto, las organizaciones tratan de proteger la información pensando “erróneamente que con un control específico o la adopción de una norma van a estar protegidos”. El experto resaltó que no basta con tener una plataforma, un Endpoint Detection and Response (EDR), un sistema Security Information and Event Management (SIEM), soluciones tecnológicas como antivirus o una normativa ISO, ya que siempre “van a haber trozos de rompecabezas que vamos a tener que ir cubriendo de alguna manera”, aclaró.
Fue enfático en señalar que “en la actualidad los cibercriminales van cinco pasos más adelante. Están tratando de hacer estafas con clonación de voz, existe el deep fake que puede emular videos de una persona con la cara de otra persona, fotos trucadas por Inteligencia Artificial. Y eso lamentablemente se está ocupando para hacer ciberataques, estafas y fraudes a nivel mundial”.
“Se han potenciado los grupos de cibercriminales que utilizan una conocida técnica: los Advanced Persistent Threat (APT)”, indicó. Estas utilizan técnicas de hackeo de manera permanente, que son clandestinas y cuyo fin es acceder a un sistema para extraer información sensible, esperando el momento adecuado preciso para atacar, a diferencia de lo que ocurría el año 2000, por ejemplo. “Los ciberataques tenían blancos muy puntuales y efectos mínimos. Con el ransomware Wannacry (2017), cambió la forma en la que se gestaba un ataque: apareció la propagación masiva de ransomware”, indicó.
Planteó que las organizaciones deben centrarse en tres aspectos: concientización de los usuarios en las organizaciones, controles y cumplimiento normativo, y generar un equilibrio en el pensamiento positivo, que impida pensar en que esto no le ocurrirá a la organización.
“Tenemos que concientizar a las empresas y entorno (…) en recuperarnos de un desastre. Si me ocurre un incidente hoy, que haré”. En este caso, añadió que es preciso conocer los diferentes ciberataques que ocurren hoy en día y aprender lo que ha ocurrido en otras organizaciones.
En relación al cumplimiento normativo, Peñailillo enfatizó que resulta necesario capacitar y entrenar a los usuarios, haciendo ejercicios de ethical phishing. Respecto al pensamiento positivo, sostuvo que en exceso genera una falta de consciencia de los riesgos, por lo que sirve realizar ejercicios externos de prueba de penetración de caja negra, y caja blanca, para poner a prueba los sistemas y ver si existen vulnerabilidades. “Se deben conocer tus debilidades, para corregirlas”, puntualizó.
CIBERSEGURIDAD
¿Son las normativas globales suficientes para prevenir los ciberataques?
En el webinar “Ciberataques en Chile: ¿Es suficiente adoptar una norma estándar internacional?”, Andrés Peñailillo, académico del Diplomado Avanzado de Ciberseguridad y Protección Digital de Datos de la unidad de Educación Ejecutiva (UEjecutivos) de la FEN U. de Chile, destacó que, en el último tiempo, diversos incidentes han tenido una gran connotación en Chile.
Publicado el 15 dic 2023
Artículo 1 de 4
