México | ¿Cómo evitar ser víctima de un fraude cibernético? Esto recomienda la ABM

La Asociación de Bancos de México ha realizado una serie de recomendaciones para que los usuarios eviten ser víctimas de ciberfraudes, pero principalmente para que no compartan con nadie la información confidencial de sus cuentas bancarias como son nombres de usuario y contraseñas.

Con el aumento de las transacciones bancarias por canales digitales -impulsadas aún más por la pandemia de Covid-19-, los ciberdelincuentes han encontrado nuevas formas para defraudar a los usuarios de la banca.

Ante ello, la Asociación de Bancos de México (ABM) ha realizado una serie de recomendaciones para que los usuarios eviten ser víctimas de ciberfraudes, pero principalmente que no compartan con nadie la información confidencial de sus cuentas bancarias como son nombres de usuario y contraseñas.

Adolfo Ruiz, integrante del Comité de Educación Financiera de la ABM, destacó que los bancos, por ningún motivo, piden este tipo de información a sus clientes, por lo que si se recibe algún correo, mensaje de texto o llamada en los que se soliciten estos datos, el exhorto es a que no lo contesten y mejor se comuniquen directamente a su institución.

“En la medida en que las instituciones financieras ofrecen más y mejores candados, se invierte más en ciberseguridad, pero sin el acompañamiento de los clientes y usuarios, sin que sean responsables por el uso de contraseñas e información sensible, va a ser más complicado que podamos actuar y respaldarlos en un momento determinado”, detalló en la sesión de Banca Explica de la ABM, que se transmitió este jueves a través de redes sociales.

Ahí, puntualizó que todos pueden ser vulnerables si no se protege la información; no se aprovechan las herramientas tecnológicas; no se utilizan programas como antivirus en los dispositivos, y si se comparte información sensible en redes sociales.

Cuatro amenazas principales

La ABM resalta que hoy son cuatro las amenazas principales relacionadas con los ciberfraudes: phishing, pharming, keylogger y vishing y smishing.

El phishing son los correos electrónicos fraudulentos, usados normalmente en situaciones de aparente emergencia, que incluyen ligas que llevan a sitios que solicitan la actualización de información confidencial o sensible del usuario. Normalmente tienen errores ortográficos y ofrecen publicidad, premios o promociones no actualizadas.

El pharming, por su parte, consiste en manipular las direcciones de los sitios de Internet de las instituciones para llevar al usuario a una página web falsa. Imita visualmente al sitio seguro y desde ahí se solicita y se obtiene información confidencial o sensible del usuario.

“Normalmente el virus se instala a través de correo electrónico o mensajes de aplicaciones de mensajería instantánea cuando se le pide al usuario que haga clic en alguna noticia o video”, puntualiza la ABM.

En cuanto a la modalidad de keylogger, esta se trata de un tipo de código malicioso que se instala en la computadora del usuario, recolectando toda la información ingresada a través del teclado y/o ratón, y es enviada a personal no autorizado de forma anónima.

Mientras que el vishing y smishing, son llamadas o mensajes de texto (SMS), a través de los cuales los defraudadores buscan obtener información financiera.

¿Cómo protegerse?

Ante ello, la ABM recomienda no ponerle la situación sencilla a los delincuentes, por lo que sugiere: cuidar y cambiar periódicamente las contraseñas (no poner una que resulte fácil); activar e identificar las notificaciones bancarias; revisar que las direcciones de los sitios web del banco tengan el candado de seguridad que aparece, y ante cualquier duda llamar al banco.

También: evitar utilizar información sensible en redes públicas; estar atentos con el uso del celular; y utilizar las redes sociales con responsabilidad.

“Desafortunadamente muchos de los fraudes que se han visto donde se han vaciado las cuentas, ha sido porque el usuario dio su información confidencial, claves y contraseñas a personas que abusaron de su confianza y las vaciaron. Hemos visto muchos casos así, sobre todo personas de la tercera edad”, mencionó Adolfo Ruiz.

CON INFORMACIÓN VÍA DPL NEWS

Seguridad en las apps, responsabilidad compartida

En el consumo de servicios digitales, las personas usuarias de apps deben tener claros sus derechos y obligaciones para responsabilizarse de su seguridad a través de mejores prácticas al usarlas en dispositivos móviles, y aunque no son los únicos que están involucrados en mantener ecosistemas digitales seguros, la ciberseguridad en estas plataformas se está volviendo una tarea cada vez más compleja, sobre todo si se considera que cada aplicación es una puerta de entrada a vulnerabilidades.

En México hay poco más de 91.7 millones de usuarios de teléfonos celulares y de acuerdo con un estudio de Claver Tap en promedio cada persona tiene 40 aplicaciones, aunque las que pertenecen a la generación «Millennial» tienen hasta 67 instaladas.

“Un riesgo es la dependencia a la implementación y actualización de los controles de seguridad hacia las aplicaciones… Como usuarios poco o nada podemos hacer en el caso de que exista alguna vulnerabilidad dentro de alguna aplicación, ya sea una móvil, web, API´s o software en general”, advirtió Isaac Sagrero, Coordinador de Consultoría Técnica en Scitum TELMEX.

En el panel de discusión “Seguridad y Privacidad en las Aplicaciones”, en el marco de las Conferencias de Ciberseguridad 2022 organizadas por el Instituto Federal de Telecomunicaciones (IFT), el especialista explicó que el riesgo existe porque para mitigar la vulnerabilidad se depende de los procesos, la velocidad o la capacidad que tenga el proveedor de la aplicación.

Se pueden utilizar sistemas EDR (Endpoint Detection and Response), un tipo de antivirus más evolucionado, con un enfoque preventivo, para identificar aplicaciones maliciosas en los smartphones, con troyanos o malware; aplicaciones de VPN, así como controles parentales.

Sin embargo, reconoció que existe falta conocimiento y conciencia de los usuarios sobre las características de seguridad que ya tienen las aplicaciones, por lo que los esfuerzos de algunas empresas para que las apps sean configuradas de manera segura se esfuman al dejar todo por “default”.

En ese sentido, Paula Vargas, Directora de Política de Privacidad para Latinoamérica de Meta, aseguró que desde la compañía tienen la responsabilidad de proteger la privacidad y los datos, pero también se les dan controles a los usuarios para que tomen decisiones informadas al respecto.

“Es un compromiso de una mejora constante, permanente, para responder a las expectativas de privacidad que evolucionan, a la tecnología que evoluciona y con eso cambian esas expectativas”.

Por ello, refirió que recientemente, con fines de transparencia, para mejorar el lenguaje y la comprensibilidad se actualizó la política de privacidad, agregando accesos directos a los controles o herramientas, como la “Comprobación Rápida de Privacidad”, revisión de autenticación de dos pasos o alertas de inicio de sesión, aspecto relevante para sumar al conocimiento que deben tener los usuarios.

“Esto también es un tema de diseño, cuando uno quiere promover el uso de esas herramientas hay que facilitar la ubicación de esas herramientas, hay que facilitarle al usuario que las puede encontrar y que sepa dónde están; entonces, por un lado lo hacemos vinculando directamente en la política”.

También, agregó, las personas cuentan con un Centro de Privacidad, que tiene una finalidad no sólo de comunicar las prácticas de privacidad en las distintas plataformas, sino que ofrece material educativo.

Isabel Davara, experta en Derecho y Tecnología, fundadora de Davara Abogados S.C., consideró que la falta de cultura digital permea en el conocimiento respecto a las herramientas de privacidad, uno de los derechos humanos reconocidos en el entorno electrónico, cuya defensa cuenta con una regulación amplia, así como un órgano de tutela máximo que es el INAI y con órganos coadyuvantes como el IFT y la Secretaría de Economía.

CON INFORMACIÓN VÍA CONSUMO TIC

Ciberseguridad requiere evangelización y endurecimiento de penas

Las amenazas en seguridad informática han evolucionado, desde el tipo de tácticas hasta su alcance, lo que deja ver un panorama complicado pues la falta de conciencia incluso a nivel directivo sigue siendo el principal reto para minimizar riesgos, lo que de acuerdo con expertos requiere redoblar esfuerzos en la evangelización, endurecimiento de penas y aumento de inversiones.

En conferencia por el 15 aniversario de IQSEC, se destacó que la aparición de nuevas ciberamenazas es un riesgo latente, pues se están explotando nuevas formas de ofrecer productos y servicios a través de canales digitales y los atacantes aprovechan nuevas tendencias tecnológicas como el Metaverso o los activos digitales como los Tokens no Fungibles (NFT, por sus siglas en inglés).

“Hoy en día, el reto principal sigue siendo la evangelización a nivel directivo sobre la importancia de la ciberseguridad, un habilitador para que se pueda hacer negocios sin dolores de cabeza”, aseveró Israel Quiroz, Fundador y CEO de IQSEC.

Las principales amenazas en México son el ransomware, phishing, usurpación de identidad o apropiación de cuentas, que se han mantenido a la cabeza en los últimos años, pero a éstas se suman el abuso de API´s y ataques a cadenas de suministro, que son crecientes y que aún no existe una conciencia generalizada de su impacto.

“En México son más probables las ciberamenazas a aplicaciones basadas en Biometría e Inteligencia Artificial (IA), y tienen especial relevancia porque la contratación remota de servicios financieros está teniendo gran auge, esto lo vemos también con el tema de las Fintech”, sostuvo Manuel Moreno, Chief Security Sales Enablement Officer.

Es mediante el uso de API´s que los bancos y las instituciones financieras pueden utilizar sistemas de integración de datos de los usuarios para mejorar su oferta de servicios, por lo que afirmó que uno de los principales retos a enfrentar en el Open Banking es la protección de los datos compartidos, para brindar privacidad, confidencialidad y la integridad de los mismos.

Entre la población, el robo de información es un riesgo latente, que en el caso de la sustracción de datos personales fue percibido por 51.1 por ciento de los encuestados y el hurto de información financiera por el 44.7 por ciento.

“El 66.3 por ciento consideró que sí protege su información financiera, contra el 20.8 por ciento de la información personal; mientras que sobre qué calificación le darían a México en materia de ciberseguridad, el 82.1 por ciento respondió con los niveles más bajos y sólo 17.8 por ciento los más altos”.

Sergio Navarro, Chief Architect and Consulting Officer, agregó que se ha detectado también un desinterés de algunos jugadores en proteger infraestructura crítica, lo que tiene que ver con el tema financiero y la cultura organizacional.

“Todavía vemos en la parte privada un desinterés importante de algunos jugadores para proteger infraestructura crítica. Aquí se mezcla con un tema, que es el financiero… Estadísticamente hay una mínima participación de altos directivos; prefieren delegar la responsabilidad del riesgo a las capas tecnológicas, cuando mucho de la problemática de la seguridad también tiene que ver con la cultura organizacional”.

Sistema bancario

Navarro destacó que si bien existe regulación y los bancos están obligados a notificar a la Comisión Nacional Bancaria y de Valores (CNBV) de qué se tratan los incidentes y qué activos de información pudieron verse afectados, es importante que la legislación avance, porque esto existe sólo en la parte financiera.

“No creo que el sistema financiero mexicano sea tan vulnerable como se maneja, porque construyen muchas salvaguardas. ¿Es suficiente? No. Desgraciadamente en ciberseguridad nunca será suficiente”.

Además, refirió que de acuerdo con el estudio, 70 por ciento de los encuestados consideró que no eran “hackeables”, pero más bien podría pensarse en que ese 70 por ciento no sabe que probablemente ya tenga a alguien «viviendo» en su infraestructura.

Sin embargo, recalcó que aún con legislación que puede aplicarse a los delitos cibernéticos, la falta de penas robustas representa una barrera para inhibir estas prácticas altamente lucrativas.

“El problema en sí son las penas. Un ataque puede llegar a miles de millones y las penas son ínfimas, contra el beneficio que se obtiene primero y, segundo, no existe la suficiente capacidad profesional a nivel de cantidades de gente con skills para que esa persecución sea efectiva”.

CON INFORMACIÓN VÍA CONSUMO TIC

TENDENCIAS_ La importancia de garantizar la protección al cifrado en la Ley Federal de Ciberseguridad de México

Tal como se ha reflejado en notas periodísticas,[1] el Congreso de México está trabajando en un proyecto de ley de ciberseguridad con miras a esbozar un primer borrador para septiembre de 2022.

En un contexto de crecimiento sostenido de las vulnerabilidades, los ataques a la privacidad, la seguridad y a la integridad de los mensajes, así como de los delitos que incluyen el robo de información personal y diversas modalidades de estafas online, debatir políticas y regulaciones sobre ciberseguridad resulta fundamental.

Teniendo en cuenta que Internet ha demostrado ser un medio efectivo para promover el crecimiento y el desarrollo económico, especialmente luego de la pandemia, favoreciendo el acceso no sólo a la información y la libertad de expresión sino casi a la totalidad de los derechos humanos, como la educación, la salud, los servicios del Estado, es necesario contar con garantías de buen funcionamiento y de protección de derechos de los usuarios.

El cifrado de extremo a extremo es uno de los grandes temas de la seguridad de las comunicaciones en este momento, por cuanto permite que las mismas sean más seguras y privadas, elevando los niveles de certeza y confianza. Esta tecnología facilita la protección de valores y derechos que no sólo son claves en México sino en las sociedades de América Latina como la privacidad, la integridad de las personas, la libertad de expresión y contribuye a mantener la seguridad nacional y personal.

La encriptación garantiza la protección a periodistas, activistas y defensores de derechos, lo cual no es compatible con la creación de excepciones o “puertas traseras” para ciertos casos.

Resulta paradójico que el acceso a comunicaciones privadas por parte del Estado en el marco de la persecución de delincuentes en Internet podría parecer deseable, sobre todo en Estados democráticos mediante órdenes judiciales.

Sin embargo, uno de los principales puntos de la Alianza por el Cifrado en América Latina y el Caribe (AC-LAC), compuesta por los principales organismos académicos, privados y defensores de derechos digitales de la región, apunta a la necesidad de fortalecer la ciberseguridad garantizando la inviolabilidad del cifrado.

La confianza de los usuarios en Internet hace que este sea el medio por excelencia en el cual transcurre buena parte de nuestra vida y está cimentada en la intersección entre privacidad y seguridad.

Si abrimos la posibilidad, aunque mínima, de romper el cifrado, se corre el riesgo sistémico de dar acceso a todos nuestros datos a malos usuarios, o a malos usos de esta información incluso en Estados democráticos.

En este contexto es que el pasado 1° de agosto, la Alianza por el Cifrado en América Latina y el Caribe (AC-LAC) elevó una declaración de consenso a la conferencia bicameral de México.

Los destinatarios de la comunicación fueron el diputado Javier López Casarín, presidente de la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados, y el senador Jorge Carlos Ramírez Marín, presidente de la Comisión de Ciencia y Tecnología del Senado de su país. El objetivo de la misiva no era otro que garantizar la protección al cifrado en el proyecto de ley de ciberseguridad.

La Constitución Política de los Estados Unidos Mexicanos, específicamente su artículo 16, deja clara la inviolabilidad de las comunicaciones privadas. En este sentido, el cifrado extremo a extremo es la herramienta por excelencia que escuda dicho principio amparado por el derecho constitucional.

La nueva ley de ciberseguridad es acuciante en México. En la carta enviada por la AC-LAC se expresa que “la inclusión de previsiones en materia de cifrado sería una valiosa aportación por parte de la presente legislatura”, al tiempo que sugiere un texto específico en esta materia.

Sentar un precedente en la región de dar blindaje y proteger la inviolabilidad de las comunicaciones privadas y dar garantías de seguridad a la población y la nación estableciendo por ley la inviolabilidad del cifrado, sería un hecho de carácter histórico y los y las legisladores del Congreso mexicano podrían transformarse en sus protagonistas.

Esperemos que estén a la altura de las circunstancias.

CON INFORMACIÓN VÍA DPL NEWS

México | Pide AC-LAC incluir cifrado de comunicaciones en Ley Federal de Ciberseguridad

La Alianza por el Cifrado en América Latina y el Caribe (AC-LAC) solicitó a la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados, y a la Comisión de Ciencia y Tecnología del Senado de México incluir temas de cifrado de comunicaciones en el proyecto de la Ley Federal de Ciberseguridaden la que trabajan los legisladores mexicanos.

En la misiva dirigida al diputado Javier López Casarín, y al senador Jorge Carlos Ramírez Marín, presidentes de ambas comisiones en cada Cámara, la AC-LAC señala que el cifrado extremo a extremo es crucial para garantizar la seguridad y la privacidad en el mundo digital.

Advierte que ante la incidencia, cada vez mayor de los delitos en el entorno digital, el cifrado extremo a extremo se ha convertido en una de las mejores opciones para proteger a la población que hace uso de servicios y plataformas digitales.

Asimismo, la carta señala que el incremento en la cantidad y las modalidades de los delitos a través de Internet muestra que los delincuentes y las organizaciones criminales invierten recursos importantes y dedican esfuerzos considerables para vulnerar la seguridad y privacidad de los servicios digitales.

La AC-LAC dice que debido al incremento de la complejidad de las actividades cibercriminales, es necesario tomar previsiones en materia de seguridad y el desarrollo y actualización de soluciones tecnológicas para lograr un entorno digital cada vez más confiable y seguro.

Por ello, afirman que el cifrado hace que las comunicaciones sean más seguras y privadas, a la vez que permite un alto grado de certeza y confianza para interactuar en una red global que ha demostrado ser vulnerable. 

Dicha organización explicó a los legisladores mexicanos que el cifrado de extremo a extremo facilita la protección de valores y derechos que como sociedad defendemos y contribuye a mantener la seguridad nacional y personal, así como la protección a periodistas, activistas y defensores de derechos en nuestra sociedad se ve fortalecida mediante la utilización del cifrado y su inviolabilidad.

Específicamente, la carta solicita que se agreguen dos párrafos al proyecto de Ley Federal de Ciberseguridad en México, que son los siguientes: 

“Toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, como el cifrado o la encriptación. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho”.

“El cifrado de extremo a extremo significa que las comunicaciones permanecen cifradas desde el remitente hasta el destinatario, de modo que ningún tercero puede acceder al contenido o inferirlo, en tránsito o en el dispositivo. Un tercero en este contexto significa cualquier organización que no sea el remitente o el usuario destinatario que participa directamente en la conversación”.

CON INFORMACIÓN VÍA DPL NEWS

México | La Estrategia Nacional de Ciberseguridad tiene más motivos económicos que de protección de datos: OEA

La Estrategia Nacional de Ciberseguridad de México, publicada en 2017 por el gobierno de Enrique Peña Nieto e ignorada por la administración del presidente López Obrador, tiene una motivación más económica que de protección de datos e información, de acuerdo con el reporte “Estrategias Nacionales de Ciberseguridad: Enseñanzas y reflexiones de las Américas y otras regiones, elaborado por la Organización de Estados Americanos (OEA) y la consultoría Global Partners Digital.

“La ENC (Estrategia Nacional de Ciberseguridad) de México se diferencia en que establece el tema económico como el componente central que impulsa las acciones prioritarias de política en materia de ciberseguridad. El objetivo principal de la estrategia de México es el establecimiento y fortalecimiento de acciones de ciberseguridad que permitan a la población, así como a las organizaciones privadas y públicas, hacer un uso responsable de las TIC para el desarrollo sustentable del Estado”, asegura el reporte.

La organización recuerda que el proyecto de construcción de una Estrategia Nacional de Ciberseguridad para México comenzó con la realización de un conjunto de mesas de discusión entre los sectores público, privado, civil y la academia, llevadas a cabo a principios de 2017 y que contaron con la colaboración de la OEA. Este proceso condujo a la elaboración de un documento en el que la implementación de la estrategia quedaba a cargo del Poder Ejecutivo ─dentro de la oficina de la Presidencia de la República─ y que establecía la creación de un Subcomité de Ciberseguridad dentro de la Secretaría de Gobernación (Segob).

No obstante, este subcomité nunca fue creado. El reporte advierte que “recientemente, México publicó una Estrategia Nacional Digital 2021-2024 revisada, enfocada en mejorar y armonizar su marco regulatorio, la maximización del uso de la infraestructura y un enfoque basado en la seguridad de la información, la integración de la información para la eficiencia de la gestión, así como mejorar el acceso a zonas sin cobertura”. 

Según la comparación entre las estrategias de ciberseguridad de Belice, Costa Rica, Guatemala, Panamá y México hecha por la OEA y Global Partners Digital, la estrategia de México se fundamenta en el desarrollo económico y no en la protección de la información y los datos. Además, el marco regulatorio mexicano busca encontrar coincidencias entre la regulación existente, incluidas las legislaciones en materia de protección de datos personales y de protección de infraestructuras críticas, con las necesidades regulatorias en materia de delitos cibernéticos.

Mientras que Belice estableció un plazo de entre tres y cinco años para implementar su Estrategia Nacional de Ciberseguridad, el Estado mexicano se planteó un lapso de 5 a 10 años para cumplir con este objetivo.

La estrategia mexicana, condenada por el final del sexenio de Enrique Peña Nieto, contempla una entidad gubernamental de desarrollo estratégico, lo mismo que una estructura de coordinación y una agencia multisectorial en materia de ciberseguridad, y aunque cuenta con un plan de monitoreo y evaluación, carece de capacidad para asignar un presupuesto específico, priorizar objetivos y establecer un plan operacional.

Pese a estas comparaciones entre México y los países centroamericanos, dentro de los que la OEA integra al país, y a que Costa Rica cuenta con una Estrategia Nacional de Ciberseguridad mucho más robusta que la de México ─según el reporte─ fue Costa Rica el país en el que buena parte de las instituciones gubernamentales fueron arrasadas por el ransomware Conti entre abril y mayo de 2022.

Más información sobre la Estragegia Nacional de Ciberseguridad de México:

Puedes consultar el reporte de la OEA y Global Partners aquí: 

https://docs.google.com/viewerng/viewer?url=https://www.gp-digital.org/wp-content/uploads/2021/06/National-Cybersecurity-Strategies.-Lessons-learned-and-reflections-ENG.pdf

CON INFORMACIÓN VÍA DPL News

México | Solamente 2 de cada 10 mipymes saben enfrentar un ciberataque

Si bien el confinamiento provocado por la pandemia de covid-19 impulsó el uso de Internet entre las micro, pequeñas y medianas empresas (mipymes) en México y que el más de 72 por ciento tiene acceso a red, sólo dos de cada 10 saben cómo enfrentar un ciberataque, según estudios del Instituto Federal de Telecomunicaciones (IFT). 

Lo anterior se refleja en el hecho de que, de acuerdo con Jaime Berditchevsky, director general para México de Kaspersky, nuestro país ocupa el primer lugar en robo de passwords. 

Durante el panel virtual MiPymes, transformación y seguridad digital, organizado por el Instituto Federal de Telecomunicaciones (IFT), Paola Cicero, directora general de la oficina del comisionado presidente del IFT, Javier Juárez Mojica, destacó que “en el ámbito de la ciberseguridad, de acuerdo con algunas encuestas, sólo dos de cada 10 Pymes mexicanas afirmaron saber cómo enfrentar un ciberataque, mientras que el 66% no utiliza soluciones de seguridad en sus sitios web o tiendas en línea”. 

Agregó a lo anterior y no obstante la importancia del aprendizaje continuo en la actualidad, que aun así, sólo el 15 % de las mipymes impartieron algún tipo de capacitación a sus trabajadores, al igual que “un elemento más que vulnera a la mipymes es que sólo un 8% de ellas tiene acceso a financiamiento y, por si fuera poco, solo el 58% afirma que aceptaría un crédito bancario porque lo consideran sumamente caro”. 

Por su parte, Jaime Berditchevsky, advirtió que muchas de las empresas de menos tamaño en nuestro país no están conscientes de que por haber tenido un ataque declarado no significa que no estén vulnerables, dado que los ciber-delincuentes buscan hacer el mayor daño posible y que muchos se encuentra agazapados en los sistemas de cómputo y celulares en espera que el usuario realice una operación de trascendencia para realizar el ataque.

También vulnerables 

En tal sentido, precisó que las mipymes asumen que por ser pequeñas no son un objetivo para los ciberdelincuentes, cuando la mala noticia es que los ciberdelincuentes buscan obtener mayores ingresos en forma constante. 

De esta forma, de acuerdo con estudios de Kaspersky, un 25% de la mipymes ya han experimentado algún ciberataque, pero que la parte más trágica es que el 30% de estas compañías de menor tamaño en América Latina, no cuenta con una solución de ciberseguridad y que, en el mundo, el impacto promedio que puede tener un ataque de ciberseguridad en una pequeña y mediana empresa puede ser de alrededor de 155 mil dólares. 

También manifestó que el problema no es que un ataque de esta naturaleza pueda detener el negocio o llevarlo a la bancarrota, sino que roben información, que generen multas por no respetar las reglas de privacidad de los clientes o, quizás el más trágico de todos, el daño reputacional.

CON INFORMACIÓN VÍA DPL NEWS

México destaca en ciberseguridad: Banxico

México está entre los países mejor preparados para hacer frente a los retos de ciberataques con base en el Índice Global de Ciberseguridad (IGC) de la Unión Internacional de Telecomunicaciones (ITU), destacó el Reporte de Estabilidad Financiera del primer semestre de 2022, del Banco de México (Banxico).

Así, el país tiene un índice de 81.68 puntos, por encima de la media y la calificación lo coloca en la clasificación 61 de 194 naciones, destacó Banxico en el reporte.

Detalló que el IGC se determina de manera bianual, con base en las respuestas de los países a un cuestionario para evaluar el compromiso de seguridad en los cinco pilares de la Agenda de Ciberseguridad Global.

Éstos son: medidas legales; medidas técnicas; medidas organizacionales; desarrollo de capacidades; y cooperación. 

Banxico refirió que según lo indicado por la ITU, México presenta fortalezas en las medidas de cooperación y técnicas; y en las organizacionales, son área de oportunidad.

Con respecto a 2018, México tuvo un incremento de 29.8 por ciento, frente al alza promedio en la calificación del IGC de 9.5 por ciento.

En tanto, el Índice de Riesgo de Ciberataques Financieros, que es estimado con base en una metodología del Fondo Monetario Internacional (FMI), mide el riesgo cibernético en el sector para distintos países con base en noticias de periódicos internacionales.

Así, Banxico precisó que al aplicar la metodología del FMI con noticias de enero de 2017 a marzo de 2022, México está en la posición 39 de 105 países con una calificación de 3.68 por ciento.

CON INFORMACIÓN VÍA DPL NEWS

PERSPECTIVAS_ Ciberataques a bancos y criptomonedas, Ley de Mercados Digitales, Inteligencia Artificial y guerra: el futuro es hoy

El escenario tecnológico está experimentando cambios de tal magnitud que nos hacen reflexionar sobre los recientes dichos de Elon Musk: “La gente no se da cuenta de lo que viene” (“People don’t realize what is coming”).

Trataré de arrojar un poco de luz sobre este proceso. Veamos.

Ciberataques a los bancos y a las criptomonedas

El aumento de los ciberataques a los bancos es directamente proporcional a la transformación digital de las entidades financieras.

El virus más utilizado sería un un ransomware dirigido a impedir accesos a los sistemas y hacerse de información privilegiada con fines extorsivos.

La preocupación alcanzó al Fondo Monetario Internacional (FMI), porque debido al desarrollo de la tecnología utilizada y la interconexión del sistema financiero, el efecto podría extenderse velozmente, afectando la estabilidad.

Otra parte del problema es que estos ataques muchas veces no son informados para no restar credibilidad al sistema.

El tema son los ataques a las infraestructuras críticas, como se visualizó claramente con la invasión rusa a Ucrania.

Este conflicto geopolítico ha marcado un antes y un después en cuanto a la ciberseguridad. Si los ataques tienen como finalidad borrar información, podrían afectar la identidad de las personas y sus derechos personales.

Todas las infraestructuras digitales y las operadas digitalmente son factibles de un ataque cibernético que las inutilice, por ello se está trabajando intensamente tanto en la prevención como en la respuesta al incidente.

Cambiando el ángulo del tema, el mundo cripto sufrió un duro ataque a su seguridad el 23 de marzo de 2022 cuando hackers robaron 615 millones de dólares en criptomonedas, según dijo Ronin Network, especializada en juegos. 

Los damnificados son usuarios del videojuego Axie Infinity. La ventana de seguridad afectada ha sido descubierta por el equipo de Sky Mavis y se habría logrado comprobar que la mayoría de los fondos hackeados todavía estaban en la billetera del hacker en ese momento.

Veremos cómo se desenvuelve esta guerra cripto.

Ley de Mercados Digitales

El 24 de abril de 2022 los organismos de la Unión Europea (el Parlamento, la Comisión y el Consejo de Europa) acordaron aprobar un proyecto conjunto de Ley de Mercados Digitales (DMA), a la cual aún le falta la aprobación final del Parlamento, el Consejo Europeo y su publicación en el Boletín Oficial de la UE para finalmente ser ley. 

Entrará en vigor 20 días después. De todas maneras, se estima que su aplicación será en el año 2023, ya que se estipula un plazo de seis meses a partir de ese momento.

Se crea la figura del “gatekeeper” o “plataforma de entrada” a fin de individualizar cuáles son las plataformas que tendrán que franquear e incorporar la posibilidad de interoperar a otras, como una manera de desmonopolizar este servicio.

La ley se aplicará a las plataformas que tengan una base de 45 millones de usuarios mensuales en la Unión Europea y diez mil usuarios corporativos, ingresos anuales de 7 mil 500 millones de euros o un valor de 75 mil millones de euros o más de capitalización bursátil, por lo cual este valor está sujeto a las alteraciones del mercado. Es una normativa claramente dirigida a las Big Tech.

Las multas previstas hablan de un tope de 10 por ciento del total de los ingresos del año fiscal anterior y hasta un 20 por ciento por incumplimientos reiterados.

Pero existen cuestionamientos sobre la seguridad que aún están por resolverse.

El CEO de Apple, Tim Cook, ya había planteado sobre el texto de la Ley de Servicios Digitales que “destruiría la seguridad del iPhone” (Reuters).

Evidentemente, estamos frente a un gran cambio en el ecosistema digital. Más allá de las regulaciones lo que se observa es la búsqueda de una forma de interactuar más allá de los dispositivos.

Hay quienes plantean que con la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA) la UE pretende convertirse en custodio del futuro.

La Inteligencia Artificial y la guerra

La invasión rusa a Ucrania ha puesto sobre el tapete el uso de la Inteligencia Artificial, tema que se viene cuestionando desde hace unos años.

Vladimir Putin ha dicho que “la nación que lidere la IA será la que gobierne el mundo”.

Pero, ¿de qué se trata? Veamos.

La Inteligencia Artificial para la guerra es un hecho, para la defensa o para el ataque. Lo cierto es que los desarrollos en IA han producido armas y vehículos autónomos terrestres y aéreos no tripulados con conciencia situacional. 

Tanques con el sistema ATLAS (Advanced Targeting and Lethality Automated System) pueden “identificar y atacar objetivos el triple de rápido que con el proceso manual”. Sobre ellos, el Ejército estadounidense explicó que ATLAS utiliza un algoritmo capaz de detectar e identificar objetivos, pero será el operador humano quien tome la decisión de disparar, ya que la finalidad es reducir al máximo la proporción de bajas civiles y de fuego amigo. 

Drones autónomos de grado militar (LAWS), cascos con tecnología IVUS (Integrated Visual Augmentation System) que “incrementarán la capacidad de los soldados al mejorar la habilidad de detectar, decidir y enfrentarse al enemigo”, hordas de misiles interconectados, robots.

Las armas autónomas ya existen. La difusión del poder nuclear tenía un efecto disuasivo, en cambio las más avanzadas tecnologías del futuro serán un secreto de Estado.

Henry  Kissinger  ya se había manifestado sobre la Inteligencia Artificial cuando dijo que “al dominar ciertas competencias de forma más rápida y eficiente que los humanos, la IA podría, con el tiempo, disminuir la propia habilidad humana al reducirla a información”.

Por lo cual advirtió: “filosófica e intelectualmente la sociedad humana no está preparada para el surgimiento de la Inteligencia Artificial” (“How the Enlightenment Ends”, artículo de opinión de Henry Kissinger en The Atlantic).

Un claro ejemplo de la utilización de la IA en forma defensiva es el Domo de Hierro de Israel.

El Domo es un sistema antimisiles de defensa aérea. Consiste en un potente y eficaz escudo  que desbarata y extingue la capacidad predatoria de misiles balísticos, misiles cruceros y morteros, entre otros, interpretándolos en el aire y evitando que se precipiten sobre instalaciones civiles. 

Tiene  radares y sistemas de comando que estudian y averiguan dónde pueden precipitarse y decide sobre la peligrosidad de los cohetes para interceptarlos.

Pero como Henry Kissinger aseveró: “controlar el uso de armas inteligentes será más complicado que con las nucleares” (Conferencia en el MIT, Estados Unidos, 2019).

CON INFORMACIÓN VÍA DPL NEWS

TENDENCIAS_ Ciberataques apuntaron a gobiernos y comercio electrónico durante 2021

Durante el año pasado, los blancos de los ciberatacantes fueron principalmente dos: los gobiernos en todo el mundo y los usuarios de comercio electrónico, reveló el Informe global de amenazas informáticas 2021 de ESET.

La firma de ciberseguridad apuntó que los delincuentes manipularon las comunicaciones del servidor IIS, que se trata del servidor web de Microsoft Windows.

“Apuntando a los buzones de correo del gobierno y transacciones de comercio electrónico, así como ayudar en la distribución de malware, esta diversa clase de amenazas opera escuchando a escondidas y manipulando las comunicaciones del servidor IIS de Microsoft Windows.

“El malware IIS es una clase diversa de amenazas utilizadas para cibercrimen, ciberespionaje y fraude. En todos estos casos, su objetivo principal es interceptar las solicitudes HTTP entrantes al servidor IIS prometido y afecta la forma en cómo el servidor responde a algunas de estas solicitudes. Con la instalación predeterminada, el propio IIS es persistente”, señala el reporte.

De acuerdo con la propia firma de seguridad, han emergido más amenazas informáticas y otras se han consolidado, afectando tanto a usuarios como empresas e incluso gobiernos a propósito de la pandemia de Covid-19.

Explicó que el malware y el phishing han aprovechado el tema de la Covid-19 para sus campañas, así como las noticias falsas que circulan por Internet y las estafas que casi a diario se distribuyen a través del correo electrónico, redes sociales o aplicaciones de mensajería.

ESET encontró que 80 por ciento de los representantes de las empresas reportaron estar más preocupados por los riesgos de seguridad relacionados con factores humanos.

Por otro lado, de acuerdo con el Security Report 2021 para América Latina, las principales preocupaciones en materia de seguridad de las empresas latinoamericanas son los códigos maliciosos en un 64 por ciento, seguido del robo de información con 60 por ciento y accesos indebidos a los sistemas con el 56 por ciento.

La compañía señaló que si bien 2020 fue el año de los ataques a la cadena de suministro (y sí, el comienzo de la crisis global de la Covid-19), 2021 estuvo definido por vulnerabilidades sorprendentemente graves.

Añadió que el año comenzó con fuerza, cuando los servidores de Microsoft Exchange de todo el mundo se vieron atacados por al menos 10 grupos APT. ProxyLogon, la cadena de vulnerabilidades en la parte inferior de estos ataques, terminó siendo el segundo vector de ataque externo más frecuente en 2021, según la telemetría de ESET, justo después de los ataques de adivinación de contraseñas.

Añadió que cuando apareció una falla crítica en la ubicua utilidad Log4j a mediados de diciembre, los equipos de TI de todas partes se apresuraron, nuevamente, a localizar y reparar la falla en sus sistemas. Esta vulnerabilidad, con una puntuación de 10, puso a innumerables servidores en riesgo de una toma de control total, por lo que no sorprendió que los ciberdelincuentes comenzaran a explotarla de inmediato.

A pesar de que sólo se conocen durante las últimas tres semanas del año, los ataques de Log4j fueron el quinto vector de intrusión externa más común en las estadísticas de 2021, lo que muestra, dice ESET, cuán rápido los actores de amenazas se están aprovechando de las vulnerabilidades críticas emergentes.

“El final del año también fue turbulento en el área de los ataques a escritorio remoto, que aumentaron a lo largo de todo 2020 y 2021. Las cifras de las últimas semanas del tercer trimestre de 2021 rompieron todos los récords anteriores, alcanzando un asombroso crecimiento anual del 897 por ciento en el total de ataques”, añadieron.

CON INFORMACIÓN VÍA DPL NEWS