Juan Pablo Benavides es un ingeniero en sistemas especializado en proyectos que cuenta con 25 años de trayectoria en industrias del sector financiero, el sector asegurador y algunos del sectores industriales. 

Está a cargo de la definición y el acompañamiento transversal de todos los procesos de nuestra aseguradora, Nacional de Seguros, en materia de tecnología, reingeniería, de ciberseguridad y de seguridad de la información para salvaguardar los activos que puedan quedar expuestos en el ciberespacio.

¿Qué es la ciberseguridad?

Consiste en un conjunto de buenas prácticas y metodologías, que van enfocadas a proteger todo lo que esté expuesto en el ciberespacio. El ciberespacio está comprendido en términos de espacios y procesos en el internet, que, a su vez, cuenta con tres capas distintas. 

En otras palabras, la ciberseguridad se vale de herramientas, de tácticas y del recurso humano para generar controles que eviten que los activos de una empresa realmente puedan sufrir algún tipo de ataque de manera indiscriminada, de manera directa o de manera fortuita. Es un modo de contrarrestar los ciberataques que hoy en día hacen uso de la tecnología disruptiva para sacar beneficio propio.

¿Cuáles son las nuevas tendencias de los vectores de ataque que se presentan en el sector asegurador y el sector financiero?

Los vectores de ataque han tenido una evolución interesante. Es necesario contemplar que los ciberatacantes no son esos hackers de garaje o sótano que se ven, de pronto, en las películas; esos que comen todo el tiempo y que están detrás de una cantidad grande de pantallas tratando de vulnerar algún sistema o sacando provecho de los recursos de cualquier entidad o persona. 

Los ciberatacantes de ahora son empresas como las de nosotros, totalmente organizadas. Tienen un gerente de proyectos, tienen un equipo de trabajo, unos recursos y también realizan investigaciones y mercadeo; la única diferencia es que ellos manejan todo “por debajo”, en una de las capas del internet llamada Dark Web o Red Oscura. Allí es donde se encuentra todo ese mundo delincuencial en el ciberespacio y donde organizan todo. Incluso tienen su propio “buscador”, su propia plataforma para atraer las ventas, su propia promoción de servicios; sitios a los cuales la gente entra y paga por un servicio determinado.

Entre los vectores de ataque más comunes están:

• Los ataques de fuerza bruta.
• Los ataques de denegación de servicio.
• El phishing, que es uno muy rentable para ellos.
• La suplantación de dominios, de sitios web o de correos electrónicos.

Estos ataques se suelen dar al momento de picar un link o mediante un formulario en el correo electrónico. Así, extraen información que les permite llegar a vectores más robustos para finalmente tumbar algún sitio web o algún servicio digital de una compañía. De esa manera, se generan problemáticas reputacionales o económicas para las empresas.

¿Qué es la criptografía y para qué sirve?

Es una técnica para codificar algunas representaciones lingüísticas que permite enviar ciertos mensajes a un receptor, es decir, consiste en el cifrado de una serie de caracteres o de informaciones que necesitamos compartir desde un nodo a otro nodo de manera segura. 

Por ejemplo, en el caso de que una empresa quiera remitir un correo electrónico importante, se utiliza la criptografía para codificar el mensaje. Por lo tanto, si llega a existir un vector de ataque que quiera obtener esa información, a los ciberatacantes les va a quedar complicado el acceso, porque no la van a ver como realmente es, sino como ceros o caracteres especiales. En cambio, el receptor del mensaje podrá acceder a esos datos a través de una contraseña confidencial que solo él posee.

Igualmente, los mensajes cifrados y confidenciales tienen dos tipos de llaves de acceso, una pública y otra privada. La privada es la misma contraseña confidencial mencionada y ambas llaves conforman lo que se conoce como llave compuesta o llave de 2. 

En la actualidad, toda empresa debe garantizar un tipo de cifrado estático (para la información que reposa en sus servidores) o en tránsito (como los correos electrónicos) por temas de cumplimiento normativo, para que realmente se pueda proteger y mitigar algún riesgo de fuga de información.

¿Qué medidas de seguridad deberían implementar las empresas para evitar estas nuevas tendencias de los vectores de ataque?

Algunas de las medidas que pueden tomar son:

• La sensibilización y capacitación de todos los funcionarios de la compañía: 

Esta es vital para evitar cualquier tipo de ataque. Se les debe estar recordando a los trabajadores todo lo que no debería hacer y las buenas prácticas que debe llevar a cabo, todos como equipo necesitamos trabajar con esa primera línea de defensa en cada organización. 

• Construcción y robustecimiento de las herramientas y buenas prácticas al interior del equipo de ciberseguridad: 

Las organizaciones deben implementar de manera rigurosa estándares, como la NIS,  la ISO 27001 y la ISO 27032, en el interior de sus equipos de ciberseguridad. Esto con el fin de robustecer y garantizar todos los controles que se deben tener para cada activo, cada servicio y cada proceso principal o de apoyo dentro de la empresa. 

En el caso particular de Nacional de Seguros, ya que somos vigilados como compañía por la Superintendencia Financiera de Colombia, ya desarrollamos juiciosamente estos controles.

• La constante actualización y sincronización con otras empresas de ciberseguridad: 

La articulación con otras empresas de ciberseguridad a nivel mundial hace que seamos conjuntamente más fuertes, que podamos actuar de una manera preventiva y no solo reactiva ante los vectores de ataque. 

• Los ejercicios de ingeniería social y de simulación de ciberataques: 

Hacer ejercicios de ingeniería social y de simulación de un ataque, o tests de penetración a los servicios más sensibles de la compañía ayuda a que no nos descuidemos. A veces creemos que, de pronto, no los van a atacar y finalmente puede haber una brecha de seguridad escondida por ahí. Debemos repartir estos ejercicios durante el año para asegurar que las vulnerabilidades existentes se puedan remediar o subsanar rápidamente.

Después de la pandemia, ¿cuáles fueron los cambios que se reflejaron frente a los incidentes informáticos?

Un cambio relevante en esta pandemia para las empresas fue la utilización de más herramientas colaborativas, como Meet o Teams, para poder reunirnos, y tener seguimiento y control de nuestros procesos de compañía o con nuestros mismos proveedores. El hecho de llevar toda esa información corporativa a nuestras casas representó una exposición constante al ciberespacio. Por ello, tuvimos que implementar más herramientas para prevenir cualquier incidente informático.

En este caso, nos tocó reforzar el tema de la criptografía que mencionaba antes, con tal de que esta viajara de forma segura al equipo de nuestros empleados. Fue un aprendizaje y una sensibilización constantes sobre nuestra manera de trabajar, por ejemplo, en el hecho de que hubiese un internet o una VPN para esa conexión segura requerida al acceder a todos los recursos de trabajo virtual. Además, hubo un apalancamiento rápido de la transformación digital y cómo utilizar tecnologías disruptivas de cuarta generación de modo correcto. 

¿Cuál es la diferencia entre amenaza, vulnerabilidad y riesgo?

Amenaza

Esta es inherente y consiste en la exposición que tiene cualquier compañía a que sus activos sean objetos de un ciberataque. Un ejemplo sería si, como empresa, montamos una página web con el objetivo de recolectar información o movilizar alguna suma de dinero. En ese caso, será una página atractiva para hacer un tipo de fraude, de suplantación, para tumbar el servicio o robar la información, si esta no está cifrada y esto sería una amenaza.

Vulnerabilidad

Se da en un espacio de control. Cuando no existe un control determinado de los activos y la información de la empresa, entonces surge una brecha técnica o de configuración que se denomina vulnerabilidad. Por ejemplo, si no le coloco a una página web un protocolo de navegación seguro como https, esto representa que sea vulnerable.

Riesgo

Surge de la no corrección de esa vulnerabilidad que se había planteado, es decir, cuando es más probable que, tras no realizar el control respectivo a los activos de la empresa, se de un ciberataque. Sin embargo, no hay que olvidar que existen dos tipos: el riesgo natural que hace parte del activo desde el nacimiento del mismo y el riesgo residual que se genera a través de la falta de controles y de remediación. 

¿Qué es la triada de la seguridad o CIA?

Se basa en los tres pilares de la seguridad de la información que son la Confidencialidad, la Integridad y la disponibilidad o Accesibilidad. 

Confidencialidad 

Permite garantizar que solo las personas indicadas o asignadas puedan acceder a la información. Esto también depende, como he explicado, de los dos estados de esa información: en tránsito o en reposo.

Integridad 

Busca que los datos almacenados o en tránsito tengan un buen proceso y no sean alterados.

Accesibilidad 

Esto corresponde a que toda esa información siempre esté accesible para las personas que están autorizadas a obtenerla desde la parte de confidencialidad. Para emplear esta parte de la triada, también es necesario contemplar que siempre haya un backup de los datos. Si la fuente principal de información se cae, debe estar la fuente secundaria. 

De esta triada, nace la importancia de contar en la organización con un BCP (Plan de Continuidad Empresarial), que garantiza la disponibilidad de la información para que la empresa no pare su funcionamiento ante cualquier interrupción no deseada, y un DRP (Plan de Recuperación de Desastres), que es un complemento del anterior y facilita la recuperación de dicha información en caso de que se materialice un ciberataque.

¿Cómo ha lidiado Nacional de Seguros con los incidentes informáticos?

Hemos tenido algunos tipos de vectores de ataque, pero pudimos contener exitosamente unos y otros han sido de impacto mínimo, de tal manera que nunca se ha comprometido ningún tipo de información sensible y todos se solucionaron oportunamente. 

Un ejemplo claro es que hubo un intento de suplantación de la página web y nuestros perfiles en redes sociales. Afortunadamente, nuestro equipo de ciberseguridad notificó sobre el problema a tiempo, se realizó un rastreo especializado y se tomaron las medidas legales pertinentes contra los ciberatacantes que estaban plenamente identificados. Como empresa, tomamos acción a tiempo y, actualmente, seguimos realizando un seguimiento detallado de estos vectores y publicamos campañas de sensibilización para que las personas tengan claridad de nuestros servicios y eviten caer en trampas de estos delincuentes.

Consejos importantes para prevenir ciberataques como empresa: 

1. Sensibilizar y capacitar constantemente a los trabajadores en cuanto a las buenas prácticas del uso de servidores y otros activos de la empresa que puedan atraer vectores de ataque, ya que, de hecho, el eslabón más débil de la cadena de ciberseguridad somos nosotros los seres humanos.
2. Estar al tanto y analizar las nuevas tendencias de ciberataque y, así mismo, actualizar las buenas prácticas de los trabajadores para poder estar preparados y evitar cualquier riesgo.
3. Remediar las vulnerabilidades de la manera más rápida y completa posible para que la falta de control no magnifique las posibilidades de sufrir un ciberataque.
4. Mantener una comunicación efectiva y activa con grupos o empresas del sector, de tal manera que se tomen como referencia si han sufrido algún incidente cibernético para prevenir que le suceda a la propia empresa.
5. Navegar en sitios seguros, conocidos y de interés estrictamente laboral.
6. Generar contraseñas seguras para las plataformas y correos electrónicos empresariales, que difieran de características personales (fechas especiales o nombres) y que tengan las especificaciones recomendadas de seguridad (ocho caracteres entre mayúsculas, minúsculas, números y otros).
7. Promover y fortalecer los procesos de doble autenticación o autenticación fuerte.
8. Poner especial atención a los detalles del correo electrónico; quién lo envía, de qué escribe usualmente el remitente, qué información está solicitando y si es común que la solicite por ese medio. Además, es indispensable que se notifiquen los contenidos o correos de dudosa procedencia a los encargados de la ciberseguridad para que se haga una gestión apropiada de estos riesgos.

Encuentra en nuestras redes sociales más consejos para prevenir ciberataques, porque en Nacional de Seguros #CumplirNosUne.

 Relacionadas