Claudia Paz y Paz
Secretaria Multidimensional de la OEA
Los recientes incidentes cibernéticos de alcance global -conocidos como “WannaCry”- sorprendieron a decenas de gobiernos, miles de empresas y a millones de personas en todo el mundo con la guardia baja y pusieron de manifiesto algo que los especialistas llevan un tiempo advirtiendo: es imprescindible prepararse para un ciberataque, porque la duda no es si uno será atacado, sino cuándo lo atacarán.
Según el blog de seguridad “Malwaretech.com”, unos 350.000 computadores se vieron afectados en las Américas por este ataque. Entre las víctimas se encontraron empresas o particulares afincados en Brasil, Chile, Argentina, Perú, Colombia, Ecuador, Venezuela, México, Estados Unidos o Canadá, entre otros. Y la próxima vez podría ser mucho peor. En Rusia, por ejemplo, se detectaron esta vez más de 110.000 casos.
La dimensión global de “WannaCry” llevó a este ataque a las portadas de los diarios. Pero todos los días se producen ataques similares, y cada día con más frecuencia, para obtener ganancias financieras o para causar pánico. Y no es difícil hacerlo: en el mercado negro, los kits de herramientas para cometer estas fechorías son fáciles de comprar a un costo que oscila entre los 10 y los 1.800 dólares.
Más datos para contextualizar el problema: En los últimos 8 años, la identidad de más de 7,1 millones personas en el Hemisferio Occidental se han visto expuestas en incidentes informáticos. Adicionalmente, en los sectores financieros, de seguros y de bienes raíces, 1 de cada 182 correos electrónicos tiene un malware adjunto. En 2015, un estudio patrocinado por la OEA reveló que el 53% de las instituciones públicas y privadas de América latina y el Caribe aseguró haber notado un aumento en los ataques a sus sistemas informáticos, y el 76% afirmó que los ataques cibernéticos contra la infraestructura se estaban volviendo más sofisticados.
Es una realidad que, desafortunadamente, a pesar de los grandes e importantes avances logrados hasta la fecha en este campo, la mayor parte de los países de nuestra región simplemente no están preparados para el impacto de un ataque cibernético contra su infraestructura crítica básica, sus empresas, su industria o los servicios básicos que afectan los derechos y la vida cotidiana de millones de ciudadanos.
No hablamos de hipótesis: Los ataques cibernéticos de diversos grados son ahora una realidad en nuestras naciones y en nuestras organizaciones. Es hora de actuar adoptando estrategias nacionales de ciberseguridad, modernizando nuestros marcos legales, dando prioridad a nuestros equipos de respuesta a incidentes y, en general, adoptando una actitud más responsable hacia la seguridad en línea de nuestras naciones y nuestra gente.
Cada nación de la región debería tener una estrategia dinámica de ciberseguridad que pueda adaptarse fácilmente a las amenazas económicas y socio-políticas, y a los entornos tecnológicos. Estas estrategias deben desarrollarse con un enfoque integral e inclusivo, tanto a nivel nacional como internacional. Además, deben existir capacidades eficaces de respuesta a incidentes cibernéticos, para mitigar y facilitar las respuestas a las amenazas de la manera más eficiente posible.
La sociedad civil y el sector privado también deben contribuir, no sólo añadiendo su voz al diálogo nacional sobre cuestiones de ciberseguridad, sino también desempeñando su papel sensibilizando a los ciudadanos y proporcionando acceso a información y oportunidades de capacitación que les ayudarán a estar más seguros en línea. Y por supuesto, los países deben coordinarse entre sí, porque todos estamos interconectados.
La OEA lleva desde 2004 trabajando en ciberseguridad con los países de la región que lo solicitan. Ha proporcionado apoyo técnico para el desarrollo y adopción de 6 estrategias nacionales de ciberseguridad y está contribuyendo al desarrollo de otras 6. También hemos ayudado a establecer 20 Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs) en todo el Hemisferio, que entre otras cosas facilitan alertas tempranas e identifican tendencias de incidentes cibernéticos en la región. Mantenemos además una red para que todos los CSIRTs de la región –incluidos los de las policías y agencias de defensa- compartan comunicación e inteligencia en tiempo real.
Incidentes como “WannaCry” confirman que aún queda mucho por hacer: es imprescindible promover medidas preventivas, intercambiar información e inteligencia, asegurar que se generalicen unos estándares de seguridad y tecnología mínimamente aceptables, así como educar a la población en seguridad cibernética.
Vivimos en un ciberespacio global, y todos queremos que sea abierto, fiable y seguro. Pero la realidad es que en el mundo digital, como en el real, también es necesario estar preparados frente a los delincuentes. Ante ellos, la inacción no es una opción.