El Cronista, 14/5/2022.
por Ana Lopez Espinar*
Los ciberataques ya no sorprenden. Es normal escuchar a personas víctimas de maniobras que tienden a robar claves para acceder a cuentas y a los movimientos de las plataformas digitales. También están probados los ataques producidos entre estados y cada vez más se multiplican hacia empresas de todos los niveles y tamaños. En marzo de produjeron una serie de ataque cibernéticos a compañías importantes del mercado como son los casos de Mercado Libre, Globant, TGS, Banco Provincia, Banco Galicia, BNP, Paribas Cardif, Citibanamex, DHL y Facebook, entre otras tantas.
Con el impacto del COVID-19 y la necesidad de las organizaciones de continuar operando casi en forma inmediata de manera virtual con sus clientes, proveedores y sus propios empleados, se ha expandido fuertemente el uso de dispositivos digitales y la conectividad en todos los niveles de la vida humana. Y como ha ocurrido en todas las épocas, la delincuencia busca nuevos espacios para delinquir y ahora lo ha encontrado en el campo de lo digital que por ser nuevo ofrece vulnerabilidades. Asimismo, el trabajo remoto dificulta monitorear y controlar el comportamiento fraudulento.
Es normal que se ponga foco en los atacantes porque son los violan los sistemas informáticos. Pero también vale incorporar una mirada complementaria hacia las propias conducciones de las empresas que en muchos casos suelen no tomar las medidas preventivas para evitar que sucedan los ciberataques. En esto existe una responsabilidad del directorio y la alta gerencia no sólo en cuanto a prevenir sino también, responder efectivamente ante estos incidentes. Además, hay normas que deben ser cumplidas. Por ejemplo, la Bolsa de Nueva York publicó unas nuevas exigencias pidiendo información adicional a reportar cuando las compañías públicas sufren un ciberataque y estas exigencias se irán replicando en el resto de los mercados porque la seguridad de las empresas hace también a la confiabilidad y sustentabilidad de los negocios.
UNA TRIPLE AMENAZA EN LAS AMÉRICAS
Este año KPMG realizó una encuesta en la que consultó a 642 ejecutivos de la región acerca de los riesgos de fraude, incumplimiento y ciberataques en las empresas. El estudio se titula «Una triple amenaza en las Américas» y reveló que riesgos de fraude, incumplimiento y ciberataques se encuentran entrelazados y conforman «el ciclo de la amenaza» que toda organización debe mitigar.
Pensemos, por ejemplo, en el caso de un empleado que roba datos de un cliente de la empresa mientras trabaja desde su casa. Aquí se dan las tres amenazas simultáneamente, y las empresas deben tratarlas como una sola. Defenderse de estas amenazas requieren un esfuerzo colectivo e interconectado, en el cual las empresas consideren el impacto que crean en su conjunto, en vez de mirar, de manera aislada, los riesgos que implican.
En síntesis, los empresarios consultados afirmaron:
- a) la mayoría de las empresas en las Américas han sufrido pérdidas por fraudes, incumplimiento o ciberataques;
- b) las grandes organizaciones experimentan un mayor riesgo a estas acciones;
- c) las amenazas de fraude difieren entre países como Estados Unidos y Canadá, y las naciones de América Latina;
- d) la pandemia ha empeorado la situación;
- e) esperan que aumenten el fraude, el riesgo de incumplimiento y los ciberataques; y
- f) no siempre están completamente al tanto de los controles de fraude, cumplimiento y ciberseguridad.
CASI TODAS LAS EMPRESAS SUFRIERON CIBERATAQUES
Específicamente en lo que se refiere a ciberataques, los principales datos de la muestra indican que:
- 83% de las compañías de las Américas sufrió al menos un ciberataque en los últimos 12 meses;
- 58% reconoce haber sufrido una pérdida económica directa a causa de un ciberataque y 20% reportó que la compañía sufrió daños a su reputación;
- 79% vio un aumentó en la frecuencia de los de ataques, como phishing, estafa, malware y ransomware;
- 77% considera que el riesgo de ciberseguridad aumentará en los próximos 12 meses;
- sólo 20% de las empresas de América latina afirma que cuenta con con mejores prácticas en materia de ciberseguridad.
En tema de fraude no se debe descartar la posibilidad de que su origen sea interno (inside job). En el último año, un significativo 31% de los encuestados reconoce que ha sufrido fraudes perpetrados por un miembro de su empresa.
Después es necesario cumplir con las normas vigentes porque hace a lo reputacional. La mayoría de los entrevistados opina que las consideraciones en torno a la reputación han hecho que el liderazgo de la empresa preste atención a este tema en comparación con aquellos que lo hacen al considerar las multas y la aplicación de la ley.
Y frente a los ataques cibernéticos, los que no reaccionen rápido no ganarán la carrera de la ciberseguridad. Las personas participantes en el estudio afirman que se necesita alrededor de un mes, en promedio, para contener por completo un ciberataque. Y se comprueba que en las organizaciones existe una carencia de sentido de urgencia, con potenciales consecuencias catastróficas en la forma en que las empresas están respondiendo a la amenaza.
El riesgo ataques internos y externos va en aumento y por ello lo mejor que pueden hacer las compañías es prepararse para responder de manera efectiva ante la primera sospecha y actuar rápidamente cuando se produce. Esto implica contar con un protocolo de respuesta rápida y eficiente ante el posible ataque, y tener disponible la información que va a permitir investigarlo. Sucede que cuando ocurre un ataque de estas características es muy riesgoso improvisar: la respuesta puede ser más lenta, generar daños en la imagen de la compañía e incluso se puede perder información sensible tanto del negocio como la necesaria para determinar en qué consistió el ciberataque, cuándo fue, como se llevó adelante y quién lo habría generado. Son todos temas fundamentales para poder actuar lo más rápido posible para minimizar el daño a la empresa y el negocio.
*Socia líder de Forensic Services de KPMG en Argentina y Co-líder en América del Sur