“Ataques cibernéticos no le ocurren solo a grandes empresas”: Christian Nanne, gerente de SISAP

Por: Anderson Zapata Reyes/ Editor de Orden

Colombia recibió 12.000 millones de intentos de ataques cibernéticos en 2023, según datos de FortiGuard Labs, el laboratorio de análisis e inteligencia de amenazas de Fortinet.

Esta es una tendencia global ya que se observa una menor cantidad de ataques masivos respecto al 2022, pero un mayor volumen de explotaciones únicas y variantes nuevas de malware y ransomware que son mucho más dirigidos. En resumen, hay menos cantidad de ataques pero son diseñados para objetivos específicos, lo que los vuelve más sofisticados y con mayor posibilidad de éxito si las organizaciones no cuentan con defensas de ciberseguridad integradas, automatizadas y actualizadas.

En entrevista con El País, Christian Nanne, experto en ciberseguridad, gerente de SISAP, empresa que brinda soluciones avanzadas de ciberseguridad y que llegó hace poco a Colombia, habló sobre esta problemática y brindó recomendaciones claves para los gerentes de las pequeñas, grandes y medianas empresas.

¿Qué diagnóstico hace usted del tema de ciberseguridad empresarial en Colombia? ¿Cómo estamos actualmente en nuestro país?

Lo que he notado es que hay una división muy fuerte en lo que son las empresas altamente reguladas y las que no lo están.

A las empresas altamente reguladas, que son las que están vigiladas por la Superintendencia Financiera de Colombia o la Superintendencia de Sociedades, les están haciendo ciertos controles y por el tamaño que tienen son reconocidas y objetivo de potenciales ataques, entonces se tratan de proteger ya que son las que están a la vista de todos.

Pero cuando ya bajamos de ese rubro y pasamos a las empresas medianas hemos notado que (mi teoría es que es por falta de concientización de las altas direcciones) no tienen la madurez que deben tener.

Al no tener esta conciencia desde la alta dirección y no querer aprender sobre cuáles son los riesgos de ciberseguridad, nos encontramos que las decisiones de riesgo las empieza a tomar el departamento de tecnología, cuando en realidad deberían ser tomadas por la alta dirección.

Ellos no solo están tomando decisiones de riesgo, sino que lo están haciendo con presupuestos muy limitados y eso causa que la madurez en ciberseguridad en este rubro de empresas sea mucho más limitada.

Usted dice que hace falta concientización, ¿pero no se tratará mejor de la falta de dinero de las empresas para invertir en este tema?

Estoy de acuerdo que no es algo barato, pero parte de la concientización que tienen que tomar estas empresas es entender cuál es el riesgo financiero que ellos están enfrentando porque lamentablemente en ciberseguridad, como en muchas otras cosas, cuando ya pasó el incidente recuperarse es mucho más caro que la medicina original.

Entonces, la ideología de que los ataques cibernéticos solo le ocurren a las grandes empresas no es necesariamente cierto porque le puede pasar a empresas pequeñas y medianas.

El término de falta de presupuesto es importante, pero las empresas, como mínimo, deben realizar un análisis de riesgo cuantitativo para determinar cuál es su exposición financiera ante un ataque y ver si la medicina es más cara que la enfermedad.

Por ejemplo, si usted me dice, es que soy una empresa que voy a perder mil dólares si me atacan, pero me estás vendiendo una solución de ciberseguridad que vale 200 dólares, pues no tiene sentido.

¿Cuál es su principal recomendación a los empresarios de las pequeñas y medianas compañías que están dudando en invertir en ciberseguridad?

El primero y más importante de todos es ser consciente del mismo, entender cuáles son los riesgos que enfrenta su organización e interiorizar cuáles son las mejores prácticas.

Es muy importante asegurarse de que toda su infraestructura esté actualizada y que no estemos utilizando sistemas operativos obsoletos, como por ejemplo no estar operando con Windows XP, sino el que esté al día y licenciado.

No es recomendable utilizar sistemas operativos sin licencia, pues esto pasa mucho en organizaciones pequeñas o medianas.

Al utilizar software piratas estamos perdiendo la capacidad de tener actualizaciones en seguridad que mantienen a la organización con un nivel de seguridad más alto. Además, es muy importante asegurarse de que los usuarios o trabajadores sepan que no tienen que hacer clics en los links sospechosos ya que eso puede poner en riesgo a toda la empresa.

¿Si el dueño de una empresa mediana quiere saber cuánto es el valor de un paquete básico de protección, se puede calcular o no?

Es una pregunta muy compleja porque depende y varía mucho de empresa a empresa. No es lo mismo ofrecer un servicio para defender cibernéticamente a una cadena de restaurantes en la que su trabajo principal es hacer comida y no necesitan sistemas informáticos, a defender una empresa que se dedique a hacer transacciones en su portal web.

Es por ese motivo que no le puedo decir un monto de dinero aproximado porque depende de cada caso.

¿Por qué los ataques cibernéticos a empresas en Colombia, la mayoría de veces, provienen de otros países?

La tendencia de este tipo de ataques cometidos desde otras naciones es por la falta de extradición. No podemos tomar acciones legales contra esas personas porque no las podemos traer de regreso a Colombia o inclusive, a Estados Unidos, para que sean juzgadas.

Posiblemente, el tipo de ataque más popular es el secuestro de datos y este funciona de manera que los delincuentes ingresan a la organización por medio de un correo de Phishing (término informático que se refiere a un conjunto de técnicas con las que se busca engañar a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza) en el que alguien hizo clic y el virus se expandió por toda la empresa, luego los criminales ejecutaron virus que cifró todas las máquinas y a los trabajadores les apareció una nota diciendo que se debe pagar determinada cantidad de dinero para recuperar la información confidencial de la compañía.

Una vez esto ocurre, adicionalmente los delincuentes sacan los datos de la compañía para poder hacer otra extorsión en la que le dicen a la empresa que si no paga se publicarán todos los documentos y archivos encontrados en el ataque. Es allí cuando todo se complica porque cuando ellos hacen pública la información están violando la ley de privacidad de datos del país.