Por más rápido que esté avanzando la tecnología aún no puede librarse de uno de sus elementos más peligrosos en lo que a seguridad se refiere: las personas. En la más reciente edición de Infosecurity México diversos expertos globales abordaron la seguridad de las computadoras desde múltiples ángulos, aunque el problema invariablemente rebasaba los márgenes de lo tecnológico para entrar en la psicología y cultura humanas.
El delito es uno de los móviles principales detrás de las amenazas informáticas y Adrián Eduardo Acosta, Digital Crime Officer de Interpol, lo tiene claro. La trayectoria de Acosta lo ha llevado a enfrentar en las redes desde bandas ligadas a abuso sexual infantil hasta modernos ladrones de bancos. El experto, y uno de los keynotes principales de la conferencia, detalló cómo los criminales han ido avanzando al mismo paso (y en algunas ocasiones mucho más rápido) que las compañías de seguridad y cómo esta guerra no tiene ganadores claros; sin embargo este momento es especialmente crucial en la ciberseguridad debido principalmente a tres puntos: la alta propagación que tienen las tecnologías emergentes, la restricción creciente en el intercambio de información entre distintos tipos de organizaciones y la armonización de la legislación entre países.
“No tienen que ser idénticas leyes, pero si hablo de ransomware lo ideal es que sea considerado un delito en todos lados. No puede suceder que yo llegue a un país y me digan no, el Distributed Denial of Service no es delito acá”, profundizó.
Acosta, quien participó como miembro fundador y vicepresidente del Grupo de Trabajo Latinoamericano sobre Delitos Tecnológicos, puso especial énfasis en el nuevo tipo de amenazas que están afectando al sector bancario: los ladrones modernos de bancos no necesitan disparar ningún tiro para volverse millonarios. “Se habla mucho de ransomware hoy en día, pero delitos como el Business Email Compromised (BEC por sus siglas en inglés) pueden hasta triplicar los ingresos de esa modalidad delictual. Y esto es más que nada un trabajo de ingeniería social: en el fondo no hay código malicioso sofisticado actuando detrás de estos fraudes, y eso permite que las herramientas sean accesibles para cualquier tipo de criminal”, explicó.
En algunos casos la mecánica de los ataques informáticos vuelve difícil definir incluso si son delito o no. Interpol dijo que el criptojacking —un tipo de malware que compromete sitios web públicos para obtener el poder de procesamiento de los visitantes del sitio, sin que lo sepan, y utiliza esa potencia para extraer criptomonedas a través de técnicas de minería de datos— sería el delito informático de 2019, pero ¿dónde está el delito?, se pregunta Acosta. “No están instalando nada en tu dispositivo, no están robándote dinero, apenas y un poco de energía. ¿Cómo se tipifica esto?”
El experto de Interpol desarrolló algunos otros casos de fraude informático muy extendidos por la región, en los que el componente humano era siempre clave para detonar la amenaza, antes de llegar a la pregunta ¿qué tanto a avanzado América Latina en seguridad informática los últimos años? Frente a lo que contestó: falta mucha inversión. “Cuando invertimos es en infraestructura, en nuevas herramientas y soluciones, pero también es necesario invertir en recursos humanos. Esa quizás es una de las carencias más importantes en la región. Lo más importante sigue siendo el ser humano, necesitamos invertir ahí”, detalló, antes de aclarar que sin duda las soluciones de seguridad tienen una gran relevancia, pero que el eslabón débil es el que abrirá la puerta a los criminales.
Para esto es también fundamental una unión entre los diversos sectores. Compartir información entre empresas, entre organizaciones gubernamentales, entre independientes que persiguen amenazas es clave. Si no existe un ecosistema confiable que movilice la información no se va a poder resolver nada con la velocidad requerida. El caso del SPEI mexicano fue paradigmático porque los involucrados realizaron la denuncia, los medio cubrieron la información y el público se enteró relativamente rápido. En otros casos similares en Argentina y Chile no se hizo nada similar y el ecosistema se vio mucho más vulnerado.
“La policía del futuro, en este mundo del cibercrimen, también es el sector privado”, concluyó Acosta.
