Los ciberataques se han multiplicado en la industria financiera regional. Una escalada que ha obligado a las instituciones a derribar paradigmas, como el de la seguridad total en los procesos. De esto y más conversamos con Pablo Dubois, gerente de Data Center y Seguridad en CenturyLink para A. Latina.
-Durante este año, Chile ha sufrido ataques contra la ciberseguridad de sus entidades financieras. ¿Cuál es tu diagnóstico?
-El gran tema acá es que nos estamos basando en un modelo y estudios que te decían que todo puede ser digital y todo va a terminar siendo digitalizado… pero el riesgo es inminente. Si lo vemos desde ese punto, el tema de la seguridad en ese campo se vuelve un tópico crítico. Y hay un concepto muy relevante y es hablar de la "seguridad desde el diseño", o sea, desde el momento que estoy diseñando algo para hacer, ya sea un dispositivo o un servicio. Hoy tienes la obligatoriedad de plantear la seguridad. Y esa etapa ya tiene que ser parte del diseño primitivo de los sistemas y no posterior, como fue el caso de las entidades a las que haces referencia en tu pregunta.
-¿Cuál ha sido el error de los sistemas informático-digitales de la banca o el mundo de la empresa privada?
-No se puede seguir trabajando sobre el axioma de la funcionalidad o de lo que queremos hacer y después agregar una capa de seguridad. Donde la seguridad informática es solo un componente más. En un mundo donde todo va a estar digitalizado, eso ya no aplica más.
-La frecuencia de estos ciberataques ha ido subiendo. Pero ¿por qué las corporaciones afectadas dudan en transparentar estas acciones?
-Todo el tiempo se están sufriendo ataques, y no solo son los que salen en los medios de comunicación. N podemos olvidarnos que todas las empresas sufren estos embistes en mayor o menor medida; el que lo divulguen pasa por sus protocolos internos, que son diferentes en cada caso.
-En la región pareciera que la ciberseguridad solo se toma en serio cuando se producen ataques con impacto mediático.
-Sí, es la verdad. Pareciera ser una carrera con una meta que siempre la van cambiando. Mientras más la corremos, más lejos van alejando la meta.
-Es como la utopía…
-Exacto, y lamentablemente vamos a tener que acostumbrarnos, ya que hoy no hay nada para remediarlo, es así. Porque veníamos desde un esquema de seguridad tradicional, con un equipo informático en el área, y creíamos que estábamos todos seguros... Hoy eso es totalmente impensado. Todos los días van a ir saliendo nuevos ataques digitales en la banca de Latinoamérica; van a seguir saliendo nuevos malwares y nuevos ataques, como la nueva técnica (amenazas) que se está usando hoy basada en criptomoneda. A medida que avanzamos, también avanzan estos grupos organizados en cómo violar estas nuevas funcionalidades.
-¿Qué deben hacer las empresas entonces?
-Hoy las empresas ya no tienen que empezar a pensar cómo protegerse o pensar en la utopía de a mí no me van a atacar y yo soy invulnerable. La empresa tiene que estar ya desde el otro lado: ya me vulneraron, ya accedieron a esa información que querían, por ello, hoy lo importante es cómo lo controlo, como sé de un ataque con rapidez. Por eso la meta (de la ciberseguridad) se mueve y se va seguir moviendo, por que día a día se siguen encontrando fallas. Una empresa que dice hoy estoy segura, ya partió desde el error.
-Entonces, la gestión del riesgo, ¿es la clave?
-Exacto, esa pareciera ser una clave mayor. Cómo gestionó esos incidentes, porque van a pasar. Si realmente una persona o una organización quieren acceder a tu sistema, lo va a lograr. El tema es hasta dónde lo dejó avanzar y cómo lo detectó con rapidez.