Las empresas en América Latina se encuentran inmersas en un contexto de negociaciones digitales de carácter global y, como consecuencia, tienen mayor exposición a las ciberamenazas.

Pese a que las compañías adoptan una mayor gestión de seguridad, los resultados del estudio ‘Tendencias en Gestión de Ciber-riesgos y Seguridad de la Información en Latinoamérica’, realizado en el 2016 por Deloitte, muestran que el cuidado ante los ciberataques no siempre es prioritario.

En el estudio participaron 89 organizaciones de 13 países y siete industrias diferentes. Por Ecuador fueron consultadas 28 firmas.

Los resultados encontraron que el 40% de las firmas encuestadas ha sufrido una brecha de seguridad en los últimos dos años. Oswaldo Bravo, gerente de Evaluación de Riesgos de Deloitte, considera que el dato real tiende a ser muy alto, pero las empresas, por un tema de reputación, no suelen reportarlo.

Según la Fiscalía General del Estado, un caso local sucedió en enero del 2015, cuando un ‘mal­ware’ o software malicioso se propagó en los computadores de 17 empresas privadas e instituciones públicas de Quito, Guayaquil y Cuenca. Este virus encriptó archivos sensibles e información contable de las entidades.

Un error común, según Bravo, es pensar que la seguridad digital se resume en usar un software antivirus. “Se debe implementar un gobierno de seguridad de la información dentro la empresa”, agrega. Esto implica definir políticas, procedimientos y un responsable para enfrentar estos riesgos.

Sin embargo, los resultados demuestran que a escala regional menos del 10% de las organizaciones cuentan con un tablero con indicadores (kpis), que permita evaluar riesgos de ciberseguridad.

“Vemos que muchos de nuestros clientes nos buscan por algo que previamente afectó a su empresa”, afirma Christian Torres, gerente y cofundador de Yambuu, empresa de seguridad digital.

En Ecuador, según el estudio de Deloitte, el 54% de las firmas cuenta con una estrategia de ciberamenazas y seguridad de la información. De estas empresas, casi todas corresponden al sector bancario.

Banco Pichincha cuenta con el portal llamado Banca Segura, que fue implementado en el 2014. Con este, los clientes descargan un aplicativo y generan un canal seguro entre su computador y los servidores del banco.

Actualmente, debido a las medidas de seguridad descritas, la institución logra bloquear el 98,5% de los ataques dirigidos a sus clientes, asegura Juan Carlos Beltrán, gerente de Riesgo Operativo del banco.

Por su parte, Banco Guayaquil es la única entidad financiera del norte de la región que cuenta con la certificación más alta de seguridad, la ISO 27 001. En Ecuador, se suman entidades públicas como CNT y Quito Turismo, y firmas como Telconet y Telefónica.

En este contexto, las regulaciones de entes de control, como la Superintendencia de Bancos, permiten la aplicación de medidas de seguridad. A nivel del Estado, las empresas públicas se rigen bajo el Acuerdo 166 que obliga la implementación de políticas y procedimientos para salvaguardar la información. Para Bravo, el problema está en el resto de empresas ecuatorianas que “carecen de madurez sobre el tema.”

Según los empresarios, el mayor obstáculo que afrontan para implementar ciberseguridad es no contar con recursos o con el presupuesto suficiente. El estudio dice que, por primera vez en los últimos cinco años, el 77% de las organizaciones no incrementó o directamente redujo el presupuesto destinado a ciberseguridad.

Una opción para reducir los costos de implementación y mantenimiento es la tercerización de servicios. De igual manera, la capacitación y concienciación interna forman parte de las estrate­gias que las empresas encuestadas realizarán en el 2016 y 2017.

Las pymes son un segmento vulnerable

Cuando se trata de fraudes y robos de información, las pequeñas y medianas empresas (pymes) suelen ser las más vulnerables. Esto se debe a que no siempre cuentan con presupuestos o el equipo para poder enfrentar estos retos de seguridad.

Sin embargo, las empresas pueden acceder a una oferta nacional e internacional de paquetes de seguridad y consejos para que puedan proteger su información.

Según la Fiscalía General del Estado, entre enero y mayo del 2016, se registraron 530 delitos informáticos en el país. El 69% de estas denuncias (368) corresponde a una apropiación fraudulenta por medios electrónicos.

Las plataformas de pago, los correos en servidores compartidos o las conexiones a Internet gratuito son algunas de las brechas de entrada que facilitan los crímenes de cibernéticos.

En el informe ‘Evolución de la Gestión de Ciberiesgos y Seguridad de la Información’, presentado por consultora Deloitte en julio del 2016, se encontró que cuatro de cada diez empresas sufrieron una brecha de seguridad en los últimos 24 meses. Aproximadamente, un 30% de estas son pymes que no cuentan con sistemas de seguridad satisfactorios.

Un ejemplo: la compañía que publica el medio digital Gkillcity tuvo una brecha de seguridad a finales del 2015. Por culpa de un robot rebotador las operaciones de la empresa, el portal estuvo fuera del aire durante dos días.

Licencias de software de seguridad, servidores propios y el análisis de riesgo pueden llegar a costar más de USD 10 000. Estos montos suelen sobrepasar los reducidos presupuestos de las pymes, que en sus primeros años de operaciones tienden a priorizar otros costos.

Por esta razón, Oswaldo Bravo, gerente de Evaluación de Riesgos de Deloitte, explica que “al no tener un presupuesto fijo, lo primero que estos negocios deben hacer es lograr que la administración tenga conciencia y sepa que esto no solo les pasa a las empresas grandes”. Al hacerlo se genera lo que Bravo define como una “cultura de seguridad” dentro de la organización.

La empresa Yaestá.com, al ser una plataforma de ventas en línea, está en constante amenaza. Pablo Viteri, ejecutivo de la firma, explica que más que recibir ataques, lo que se da frecuentemente son intentos de fraude, especialmente con tarjeta de crédito y con el sistema Paypal. “Lamentablemente las pasarelas de pago que actualmente están disponibles no ayudan mucho en estos casos, por lo que hemos aprendido a detectar ciertos patrones de comportamiento que nos permiten identificar y a la vez disminuir en gran manera los fraudes”, agrega Viteri.

En el mercado, sin embargo, existen opciones más accesibles para las pymes que deseen acceder a servicios de seguridad. Yambuu es una empresa ecuatoriana que se especializa en el desarrollo de productos de seguridad digital.

Su gerente, Christian Torres, afirma que las personas y empresas pueden implementar hábitos de seguridad desde un inicio, como: tener claves distintas a cada sistema, generar claves con más de ocho caracteres incluyendo caracteres especiales, o usar ventanas ‘incognita’ en computadores de terceros.