¿Está preparada América Latina para un Ciberataque?

Escalofriante es la palabra que me viene a la cabeza a la luz de los datos recogidos en el último informe elaborado por el BID (Banco Interamericano de Desarrollo) y la OEA (Organización de los Estados Americanos), llamado “Ciberseguridad 2016 ¿Estamos preparados en América Latina y el Caribe?”

Estamos ante el primer informe que ha sido capaz de analizar el estado en el que se encuentran 32 países de América Latina y el Caribe en el ámbito de la Ciberseguridad. Antes de saber a dónde queremos llegar, es necesario saber en qué punto estamos y más hoy en día, donde el ciberdelito le cuesta al mundo un montante que ronda los 575.000 millones de dólares al año, lo que se puede valorar en un 0,5 % del Producto Interior Bruto mundial.

El número de ciberdelitos está en constante crecimiento, y por tanto la exposición de las organizaciones a este tipo de delitos es mayor, con las consecuentes pérdidas económicas que puede suponer para dichas organizaciones. Este tipo de delito no solo afecta a entidades privadas, sino que los propios sistemas de información de entidades gubernamentales se encuentran a merced de ataques de esta índole. Con el objetivo de que esto no ocurra, lo primero es saber en qué punto se encuentran estas regiones y después comenzar a implantar medidas que reduzcan los niveles de riesgo.

Antes de enumerar las debilidades críticas identificadas en la mayoría de los países, explicaré el modelo en el que se han basado para recabar toda la información y poder realizar un informe de casi 200 páginas. Intentaré ser concreto y resumir de la mejor forma todo el contenido.

El objetivo fundamental es analizar la madurez de las capacidades en Ciberseguridad de los 32 países escogidos: Argentina, Brasil, Chile, Bahamas, Barbados, Colombia, Antigua y Barbuda, Belice, Bolivia, Costa Rica, Guatemala, Dominica, Guyana, Ecuador, Haití, Honduras, El Salvador, Granada, Jamaica, Perú, México, República Dominicana, Nicaragua, Saint Kitts y Nevis, Panamá, Paraguay, San Vicente y las Granadinas, Santa Lucía, Suriname, Trinidad y Tobago, Uruguay y Venezuela.

Para ello se ha desarrollado el Modelo de Madurez de Capacidad de Seguridad Cibernética. Este modelo se sustenta bajo cinco áreas/dimensiones de capacidad, que ofrecen una serie de factores e indicadores para que una nación comprenda la etapa de madurez en la que se encuentra. Las cinco áreas son:

1. Políticas y estrategia nacional de seguridad Cibernética.
2. Cultura Cibernética y sociedad.
3. Educación, formación y competencias en seguridad Cibernética.
4. Marco jurídico y reglamentario.
5. Normas, organización y tecnologías.

A su vez, se han definido cinco niveles con el objetivo de evaluar el grado de madurez de las anteriores áreas. Estos niveles son los siguientes:

1. Inicial: no existe nada, ninguna acción.
2. Formativo: acciones causales, desorganizadas o mal definidas.
3. Establecido: acciones establecidas, funcionando y definidas.
4. Estratégico: se espera un resultado determinado.
5. Dinámico: existen mecanismos para alterar la estrategia en función de las circunstancias imperantes.

Ilustración 1 Niveles de madurez del Modelo de Madurez de la Capacidad de Seguridad Cibernética

Estos niveles se utilizaron para evaluar los 49 indicadores divididos entre las anteriores cinco áreas. Para no extenderme más sobre la fase de elaboración del estudio, pondré el ejemplo de Colombia y el análisis de los 49 indicadores respecto a sus cinco áreas y cinco niveles de madurez:

Ilustración 2 Modelo de Madurez de Seguridad Cibernética (Colombia)

Una vez explicado el modelo desarrollado para evaluar las capacidades en ciberseguridad de América Latina y el Caribe, vamos a las conclusiones obtenidas:

• Solo seis países de la región han adoptado estrategias de seguridad Cibernética: Brasil, Colombia, Jamaica, Panamá, Uruguay y Trinidad y Tobago.
• La sociedad en gran parte desconoce los riesgos y vulnerabilidades asociadas al uso de las TIC.
• Venezuela es un buen ejemplo en iniciativas de sensibilización ya que ha iniciado campañas de concienciación como “La seguridad de la información comienza por ti” o STOP.THINK.CONNECT.
• La capacidad para abordar de manera proactiva las amenazas Cibernéticas es limitada.
• Tan solo la mitad de los países han establecido un CSIRT.
• Colombia ya tiene iniciativas maduras de respuesta incidentes y, como tales, pueden proporcionar servicios de respuesta a incidentes de entidades gubernamentales y del sector privado.
• La mayoría de los países cuentan con capacidades forenses insuficientes para investigar y enjuiciar delitos.

A la vista de estos resultados, podemos concluir que la mayoría de los países de América Latina no disponen un nivel adecuado de madurez en materia de ciberseguridad y por tanto tienen elevados niveles de riesgo en este ámbito. Este estudio evidencia la necesidad de impulsar mejoras en materia de ciberseguridad en estos países.

El primer paso ya se ha dado, el más importante bajo mi punto de vista, que es analizar en el estado que se encuentran y darse cuenta de la realidad que tienen delante. Al fin y al cabo es difícil llegar a un lugar si no sabes dónde estás… Ahora viene el segundo paso: ponerse manos a la obra.

Fuentes:

• https://digital-iadb.leadpages.co/ciberseguridad-en-la-region/
• http://www.iadb.org/es/noticias/comunicados-de-prensa/2016-03-14/informe-sobre-ciberseguridad-en-america-latina,11420.html
• http://www.iprofesional.com/notas/229805-El-ciberdelito-mueve-el-08–del-PBI-mundial-al-ao

Las imágenes están sacadas del informe “Ciberseguridad en América Latina y el Caribe ¿Estamos preparados?”.