“Las telecomunicaciones son el medio más utilizado para perpetrar ciberataques”

Los ataques de ransomware o de secuestro de datos, que suelen estar acompañados por otras acciones como la exposición de la información o la denegación de acceso a un servicio o un contenido, crecieron un 100 por ciento a nivel mundial en los últimos dos años y el pago de rescates un 82 por ciento. Sí, en 2019 hubo 188 millones de ataques de ransomware y en 2021, aunque todavía no cerró, ya estamos arriba de los 600 millones, según los datos que surgieron de un estudio realizado por Accenture a nivel global, en el que se advierte, además, que las primas del sector asegurador se incrementaron un 500 por ciento dado el riesgo que implican estos incidentes.

Por ello, TeleSemana.com dialogó con Federico Tandeter, director Ejecutivo de Ciberseguridad de Accenture Hispanoamérica, para profundizar en la coyuntura y en las tendencias que el estudio de la ciberseguridad avizora, en especial, para los operadores de telecomunicaciones en un escenario de transformación digital y del incremento exponencial de los datos en la nube.

¿Cómo definiría el escenario global en materia de seguridad informática?

La verdad es que hubo un avance muy importante en el número de ataques y del volumen de los ataques. Y no solo eso, sino también en la complejidad de dichos ataques. Esto pone en el centro de la escena la necesidad de que todas las empresas presten atención y pongan foco en los temas de seguridad para prevenir y prepararse ante la posible situación de ser una víctima. Y no solo es importante el número de ataques, sino también entender el perfil de las víctimas, porque cambió muchísimo.

¿Cuál es el cambio?

Antes era alguna que otra empresa grande, pero principalmente eran compañías chicas que no tenían mucho mecanismo de seguridad implementado. Pero, cada vez, son más las empresas grandes que son víctimas, aún a pesar de tener mecanismos y controles de seguridad y de involucrar mucha inversión en seguridad. Eso nos permite concluir que hay empresas que, por más que estén invirtiendo, tal vez no estén haciendo lo correcto, pero también observamos que las aseguradoras están empezando a subir las primas asociadas a ciberseguridad.

¿Y en lo que refiere al sector de las telecomunicaciones?

La realidad es que las telecomunicaciones, no las empresas sino las telecomunicaciones en sí, son el medio más utilizado para perpetrar estos ataques. Entonces, (N. de R.: los operadores) tienen un rol muy particular por ser, muchas veces, la puerta de entrada para los atacantes. Y, de cara a sus clientes, las empresas tienen que tener una visión clara y dar tranquilidad. Hay situaciones que las afectan que, en muchos casos, están bajo su control y que podrían tomar medidas; pero también hay muchos otros factores que dependen de terceros.

¿Por ejemplo?

Los equipamientos, las infraestructuras… se descubren vulnerabilidades asociadas a ellos constantemente. Esto no quiere decir que la empresa se pueda desligar de esa vulnerabilidad y excusarse. Debe trabajar constantemente en revisar y en refinar los procesos de control y monitoreo, pero sobre todo del equipamiento y de las vulnerabilidades; además de consumir información de inteligencia sobre las nuevas vulnerabilidades descubiertas y aceitar los mecanismos para tomar medidas a partir del descubrimiento de una nueva. ¿Cuánto tiempo tardan, verdaderamente, en trabajar sobre una vulnerabilidad y cerrar esa posible ventana o ese vector de ataque? Esos procesos están en constante evolución porque cada vez se requieren reacciones más rápidas, porque una cosa es cuando esto afecta a un equipo y otra cuando alcanza a toda una red distribuida de telecomunicaciones.

¿Habla de la amenaza que representan equipos que, por ejemplo, no consiguen homologaciones?

Exactamente. Cuando empiezan a aparecer problemas de homologación, por ejemplo, hay que entender de qué se está hablando: sí es algo de concepto o de cuando se descubre una verdadera vulnerabilidad e implica tomar una decisión estratégica; se trata de entender el verdadero posible impacto. Es importante saber si se debe accionar inmediatamente o si puede esperar porque hay otras prioridades que resolver.

¿Y cómo se resuelve?
Hay veces que, simplemente, es correr un proceso o aplicar un parche. Hay veces que el parche todavía no está y hay que pensar un control compensatorio, para el mientras tanto. Otras veces, implica un cambio drástico, como puede ser el cambio de un equipo porque no tiene solución o, si es un equipo que está instalado masivamente en toda la red, se trata de reclamarle una solución al proveedor. No siempre depende de uno. Pero por eso es importante estar preparados y monitorear las situaciones.

Se refiere a entender los patrones, por ejemplo,

Claro, si el patrón de ataque pasa por, por ejemplo, un ataque de denegación de servicio sobre el puerto X; bueno, pongamos una regla de monitoreo detectando un patrón de cierto volumen de tráfico de red hacia ese puerto para disparar una alerta temprana. Es importante monitorear de cerca y estar listos para reaccionar.

Muchas veces se señala la vulnerabilidad de los equipos pero se olvida que detrás suyo hubo una estrategia de costos…

Sí, hay una realidad que es acorde a los tiempos. Recuerdo trabajar en una telco hace 15 años, en un momento en que la infraestructura que las principales marcas utilizaban era casi inaccesible, hasta que apareció Huawei y muchísima infraestructura ingresó al país. Primero todo estaba de maravilla porque se pagó mucho menos, pero luego empezaron las diferencias: que si hay que confiar o no en el país de origen y otros temas técnicos. Hay que saber buscar entre la paja para entender qué, de todo eso, tiene verdadero impacto en la organización.

¿Cuál sería la recomendación?

Lo importante para un equipo de seguridad es su aspecto técnico. También importa analizar la superficie de ataque como un todo y formar una estrategia asociada a eso. Hay que alimentarse de otros feeds de inteligencia, de otro tipo de información para otro tipo de vulnerabilidades u otros ritmos de parcheo. La virtualidad ofrece la posibilidad de atacar desde cualquier parte del mundo y, si nos ponemos a pensar, si nos ponemos el sombrero del atacante, la realidad es que los atacantes se rigen por la ley del menor esfuerzo. Entonces, si están en un país donde la infraestructura crítica está bien protegida y hay controles, la verdad es que les costará mucho esfuerzo lograr un ataque exitoso. Y buscarán una presa más fácil.

Pero igual hay mucho dato corriendo por las redes, disponibles en la nube…

Sí, la información de alguna manera es la misma de siempre. ¿Cuál fue el cambio verdadero? Que antes estaba detrás de una infraestructura y una base de datos encriptada, guardada en un servidor, en un data center… Tenía mil capas de protección, desde lo físico y lógico. Hoy, con los servicios de la nube, por más robustos que sean, obligan a exponer esa información mucho más aunque no quita que haya que tener mecanismos de seguridad. Por supuesto, como el doble factor de autenticación de la base de datos, encripciones y protecciones a nivel de plataforma.

¿Y, por ejemplo, qué otras?

La superficie de ataque no solo es mayor, sino que su composición es muy distinta y con la digitalización se empieza a pedir visualización de la información en tiempo real y eso es posible porque los sistemas están conectados. Y cada vez se están conectando más. Y hay algo que es muy importante de recordar y es que el eslabón más débil de la cadena sigue siendo el factor humano.

¿Y lo será?

Si, porque las empresas de telecomunicaciones pueden invertir en toda la última infraestructura y mejorar todos los procesos, pero si un usuario distraído usa el mismo usuario y contraseña para acceder a todos los dispositivos de una red, ese operador estará comprometido en tiempo récord. Por eso, la concientización de los usuarios y de los administradores es clave hoy.

¿Y qué lugar ocupa blockchain?

La realidad que, por ahora, aparece en escenarios bastante específicos. No está, aún, tan masificado y no se ve que las empresas tengan pensado como trabajarían o aplicarían otras capa de seguridad por encima de blockchain. Blockchain en sí se muestra como un sistema con la seguridad en mente, y es bastante seguro; pero todo depende de cómo se lo integra dentro del escenario completo. Sin embargo, cuando analizamos el escenario completo, de punta a punta, siempre hay algo que se sale de la blockchain y que vuelve a entrar.