Durante la primera quincena de mayo, Costa Rica se vio obligada a decretar una emergencia nacional como consecuencia de una serie de ciberataques que han paralizado parte de su operación como país.
Dichos ciberataques han sido atribuidos al grupo de ciberdelincuentes llamado Conti, quienes han manifestado su apoyo total al Gobierno ruso. Conti exigió un pago de 20 millones de dólares por cesar el hackeo. Sobre el alcance de estos ciberataques, Conti ha vulnerado los sistemas del Ministerio de Hacienda, del Fondo de Desarrollo y Asignaciones Familiares (Fodesaf), del Ministerio de Trabajo y Seguridad Social (MTSS) y de la Sede Interuniversitaria de Alajuela (Siua).
Este caso de Costa Rica debe despertar alertas en el resto de los países de la región, estamos ya inmersos en un mundo digital en el cual la novedad, desde el punto de vista de riesgos, es que se deben gestionar los ciberataques. Dicha gestión no es sencilla, requiere especialización e inversión significativa, pero previo a ello, necesita conocer el tamaño del riesgo para darle la importancia del caso. Esto último, constituye una gran carencia en la región y especialmente en nuestro país.
¿EN EL PERÚ ESTAMOS PREPARADOS?
Creo que la respuesta puede ser evidente, más aun teniendo en cuenta la capacidad de gestión del Gobierno de turno.
En los últimos meses han sucedido intrusiones sin mayor relevancia mediática, por citar una: hackearon el Sistema Integrado de Administración Financiera (SIAF) del Ministerio de Economía y Finanzas (MEF), la cual trajo como consecuencia transferencias de dinero indebidas en un municipio distrital en Lima.
Muchos de los ciberataques que ocurren a diario, tanto en el sector privado como público, no se conocen, se evitan de la exposición pública ya que generan, entre otros daños, un impacto en la reputación de la empresa o entidad que sufre el incidente.
Sin embargo, creo que llegado el caso que un grupo como Conti ponga en su mira al Perú, podría hacernos mucho daño y empeorar, mucho más aún, todos los problemas que estamos afrontando en el contexto actual.
LA IMPORTANCIA DE LOS REGLAMENTOS
La importancia de los reglamentos en la administración pública radica en la necesidad de proteger las infraestructuras críticas y de operación regular de los países. Si bien en nuestro país existen reglamentos para algunos gremios, el camino por recorrer aún es largo y es una tendencia empezar a cubrir más industrias con reglamentos eficientes en cuando a ciberseguridad.
En enero del presente año, se publicó un artículo en Gestión, el cual señalaba que el 93% de entidades del estado no cuenta con un equipo de respuesta ante incidentes cibernéticos. ¿Qué quiere decir esto? que, ante un ciberataque, 9 de cada 10 entidades estatales simplemente no sabrán que hacer.
MINERÍA E INDUSTRIA
En el caso del sector minero y la industria, no existen en nuestro país reglamentos que impulsen la protección de las operaciones mineras. Siendo la minería uno de los pilares de nuestra economía y desarrollo, considero muy importante que existan y se ejecuten reglamentos efectivos y eficientes.
Por citar un ejemplo, en Chile, el Ministerio de Minería acaba de lanzar un plan estratégico de cinco ejes principales: identificar, proteger, detectar, responder y recuperar.
Asimismo, considera seis pilares que corresponden a: resiliencia, sensibilización, fortalecer la red, relación con los proveedores, gestión de riesgo y monitoreo.
El plan será revisado por la Sociedad Nacional de Minería (Sonami) y el Consejo Minero, siendo ejecutado por la Corporación Alta Ley. El objetivo del programa es enfrentar y gestionar las amenazas que representan los ciberataques.
Existen países más maduros en ciberseguridad que podrían ser referentes, países que tienen estrategias definidas de seguridad nacional y que incorporan medidas para proteger las actividades económicas criticas e infraestructuras en sus países. Reino Unido, por ejemplo, cuenta con una estrategia desde el 2016.
Creo oportuno y más probable que el gremio tome iniciativas de colaboración como lo ha hecho Chile, ya que si las empresas, en el sector minero e industrial, deciden esperar una estrategia de parte del estado sería un camino muy lento. Los ciberatacantes no esperan, basta con ver las estadísticas de crecimiento e impacto.
Para que este tema tome relevancia debe estar en la agenda de los ejecutivos del sector, el punto de partida es la conciencia real de lo que el riesgo de los ciberataques representa.
Espero que el caso de Costa Rica ponga en alerta real al resto de la región y con ello se inicie un despegue de impacto en la materia, tanto en el sector privado como público.
Por Ivan Goicochea, CEO & Founder P&P Cybersecurity Solutions
