Ciberseguridad y protección de datos: Resguardos necesarios para el mundo del hoy

Expertos en ciberseguridad y protección de datos explican qué es la ciberseguridad, sus alcances y cómo está ligado a los datos personales. Asimismo, recomiendan las estrategias que pueden ocupar tanto personas como pymes para protegerse en el ciberespacio.

Por Matías Sánchez V.

La filtración de los correos electrónicos del Estado Mayor Conjunto y los ciberataques que recibió el sitio web del Poder Judicial dieron cuenta de que el país carece de una cultura de protección de datos y ciberseguridad. Dicha situación, podría originar que cada vez más empresas y personas requieran contratar los servicios de expertos que prevengan algún tipo de hackeo que perjudique el negocio o la reputación de una persona.

Para entender este panorama, primero debemos definir el concepto de ciberseguridad. Según la International Business Machines Corporation (IBM) se define como: “La práctica de proteger los sistemas importantes y la información confidencial de los ataques digitales. También conocida como seguridad de la tecnología de la información (TI), las medidas de ciberseguridad o seguridad cibernética están diseñadas para combatir las amenazas contra sistemas en red y aplicaciones, ya sea que esas amenazas se originen dentro o fuera de una organización”.

Por otra parte, para el abogado Matías Aránguiz Villagrán, académico del curso de Protección de Datos Personales de la Facultad de Derecho de la Pontificia U. Católica de Chile, la protección de datos trata sobre el reconocimiento de la dignidad de la persona humana en contextos digitales. “Se manifiesta por medio de los derechos que se les reconoce a los titulares de datos (acceso, rectificación, cancelación, oposición y portabilidad) y los principios de tratamiento que obligan a cada persona o institución que trata de datos de terceros”, dice.

Ataque y delitos

En lo que concierne a los ataques informáticos, estos se generan a través de las vulnerabilidades que pueden encontrar los perpetradores. Aquello puede suceder en alguno de los extremos de la transmisión o en el mismo canal, permitiéndoles tomar el control, capturar datos o dejar insertos códigos que hagan determinados funcionamientos que dañen o vulneren dispositivos, aplicaciones o sitios web.

“Los ciberataques ocurren en el mundo del internet, afectando principalmente nuestra vida digital y la de miles de empresas de todo el mundo. Sus impactos son financieros, operacionales y reputacionales. El caballito de batalla de los cibercriminales es el ransomware que, en palabras simples, trata sobre el secuestro de datos sensibles o confidenciales, cuya liberación ocurre mediante el pago de dinero en bitcoin”, detalla Nicolás Lavín García, managin director de Cyberhun, empresa chilena especializada en prevención de ciberataques.

El caballito de batalla de los cibercriminales es el ransomware que, en palabras simples, trata sobre el secuestro de datos sensibles o confidenciales, cuya liberación ocurre mediante el pago de dinero en bitcoin”.

En este aspecto, existen dos tipos de ataques informáticos muy comunes y que afectan tanto al comercio electrónico como a las bancas virtuales. “Uno de ellos es la estafa por correo electrónico o phishing, que consiste en una suplantación de identidad de la marca con el fin de robar tarjetas de crédito o débito. Por otra parte, está el vishing que trata sobre la suplantación de identidad de un ejecutivo comercial para robar credenciales de acceso a cuentas bancaras y así, poder sustraer el dinero”, explica Lavín.

Igualmente, existen otros riesgos relacionados al acceso no autorizado de terceros a cuentas o servicios como, por ejemplo, dañar la reputación de una empresa o personas o acceder a correos con información sensible del afectado. “Asimismo, la de manipular la información del titular para que pierda el control de sus cuentas o perfiles”, puntualiza el también subdirector del Programa Derecho, Ciencia y Tecnología UC, Matías Aránguiz.

En esa línea, incluso se debe estar atento a cosas más cotidianas como los Smart tv o smartwatch, ya que también están expuesto al estar conectados a internet. “Los relojes inteligentes pueden resultar muy atractivos para vulnerar, porque están permanente conectados al teléfono, y dado que, en general, tienen los permisos de comunicación y transmisión actividades, podrían servir para llegar al celular”, afirma Luis Angulo Mura, coordinador del Área de Innovación y Tecnología de la Universidad San Sebastián sede Concepción.

Pymes y protección

En lo que concierne a las pymes, uno de sus problemas es que no cuentan con el presupuesto ni el conocimiento para implementar estrategias de ciberseguridad. Eso se debe principalmente a que se perciben como pequeñas y, por ende, no son un objetivo atractivo para ataques de cibercriminales. Esto es un craso error, porque donde haya una transacción electrónica, está latente la posibilidad de un robo.

“Pese a que la pandemia aceleró los procesos de digitalización, las pymes han debido forzosamente trabajar en sus brechas, pero sin tener la perspectiva del proceso en sí. Por eso, el primer desafío es humano. Eso, porque si las personas que conforman la pyme no son rigurosas, pueden transformarse en el portal de riesgo”, alerta el ingeniero civil en Informática Luis Angulo.

“El primer desafío es humano, porque si las personas que conforman la pyme no son rigurosas, pueden transformarse en el portal de riesgo”, Luis Angulo, académico USS.

Misma idea sostiene el especialista en ciberseguridad Nicolás Lavín, quien señala que es muy relevante que las empresas entrenen a sus empleados para que puedan identificar los riesgos y amenazas a las que están expuestas. “Eso debe ocurrir de forma permanente y sistemática para prevenir ciberataques. Además, dicha educación debe realizarse bajo un análisis de contexto organizacional para comprender de mejor manera el estado de madurez de la empresa”, indica.

Agrega: “La otra vía de protección tiene que ver con la infraestructura tecnológica de una empresa. Esta consiste en implementar controles que impidan el acceso a las redes internas de la misma como, antivirus, firewall, segmentación de redes y activación de factor de autenticación”.

En relación con eso, no se debe olvidar lo más básico de los resguardos como mantener actualizadas las aplicaciones, programas y sistemas operativos, y el manejo de contraseñas. “Utilizar claves distintas, no muy predecibles y actualizarlas periódicamente es parte de las buenas prácticas. También, estar alerta ante las notificaciones que generan los navegadores de internet y atentos a no activar recordatorios en equipos con acceso compartido”, aconseja Luis Angulo.

Programas y servicios

En el mercado existen diversos servicios para protegerse de ciberataques. Uno de ellos es el cloud que, según IBM, permite conectarse a la infraestructura a través de internet y utilizar los recursos informáticos sin necesidad de instalarlos o mantenerlos localmente.

Eso significa un cambio con respecto a cómo se hacía antes, ya que la información se tenía almacenada en un servidor físico, por lo que, si fallaba, se producían problemas operacionales. “Si querías hacer una mejora o actualización era mucho más restringido y arcaico. Por eso, hoy con la nube puedes almacenar mucha información con posibilidades de buenos respaldos”, pormenoriza Nicolás Lavín.

De igual manera, hay softwares especializados (algunos gratis como otros de pago) que permiten hacer limpiezas preventivas de nuestra huella digital, ya sea en los historiales de navegación, cookies y similares. “Lo primero que debemos hacer es definir la información que estamos dispuestos a compartir o que otros conozcan. Luego, saber a quiénes se les da acceso nuestra información, ya que afectará su resguardo si se dejan perfiles abiertos o se usan plataformas que recogen y comparten mucha información personal”, sentencia Matías Aránguiz.

Filtración a EMCO y ataque al Poder Judicial

En términos generales, Latinoamérica no cuenta con una estructura tan sólida en lo que concierne a ciberseguridad y protección de datos. Por ejemplo, la legislación chilena sobre protección de datos personales data de 1999, y aunque fue pionera en su momento, está desactualizada. 

Otra muestra de la poca conciencia que se tiene en esta materia fueron las filtraciones de los correos que afectaron al Estado Mayor Conjunto y la vulneración al sitio web del Poder Judicial. “En el caso del EMCO, fue un grupo de hacktivista que atacó diferentes instituciones de defensa y seguridad en América Latina, aprovechándose de una vulnerabilidad en algunos de los sistemas que no estaban actualizados. En el caso del Poder Judicial, el sitio web fue afectado por un ransomeware que se activa, generalmente, por hacer clic en links maliciosos y que permiten tomar control de los sistemas”, explica Matías Aránguiz.

A modo de conclusión, el primer caso sucedió por no actualizar los sistemas cuando aparecen nuevas versiones que aseguran las vulnerabilidades. Mientras que el segundo ocurrió por una falta de educación y entrenamiento de la empresa para con sus empleados, quienes abrieron un link de una fuente desconocida.