¿Falta un James Bond de la ciberseguridad? 5G inaugura nuevas capacidades de servicios, pero también nuevos desafíos; entre ellos, los vinculados a la ciberseguridad. Un ataque a un operador se traduce, entre otros impactos, en la exposición de la información de sus clientes y su consecuente impacto negativo sobre la marca; además del pago de multas y resarcimientos. La primera parte del evento temático titulado Seguridad 5G, organizado por TeleSemana.com, ofereció las diferentes miradas que se reúen en torno al tema, de la mano de los proveedores de soluciones, de las entidades de estandarización y de los especialistas regulatorios
En la apertura de la jornada, Rafael Junquera, director Editorial de TeleSemana.com, subrayó que se trata del primer evento específico realizado sobre el tema, cuya urgencia radica en la necesidad de “que nos podamos centrar en un tema que será cada vez más importante, a medida que avanzamos en esta transformación digital y hacia este mundo digital”. “El tema de la seguridad no distingue nacionalidad y no tiene ningún tipo de criterio, por lo tanto, es bueno que tengamos el radar abierto entre todos para atajar las posibles amenazas”, dijo Junquera.
La mañana continuó con la presentación de dos ejecutivos de Fortinet, en la que se precisó el contexto general y detallaron las soluciones avanzadas de ciberseguridad para 5G. Allí, Fernando Montes, regional Sales Director, comenzó por adelantar que “las redes de 5G no son sólo redes pensadas para usuarios sino también para aplicaciones industriales, algo que hace que sean más complejas”.
En su mirada, “cuando ocurre un riesgo de seguridad no sólo hay problemas de reputación sino, y sobre todo, por la pérdida de datos de los clientes”, dijo Montes y puso en relieve el riesgo que esto puede involucrar para aquellos operadores que no cumplan con estándares.
En esa línea, el ejecutivo recordó que, para la GSMA, los tres elementos que deben garantizarse en las redes 5G son confidencialidad, integridad y disponibilidad pero que “lamentablemente, suelen ocurrir ataques a los telcos, que a veces trascienden y otras veces no, pero que finalmente tienen un resultado negativo desde el punto de vista de confianza y de reputación, pero también desde el económico, por las multas y las compensaciones a usuarios finales”, precisó Montes.
Juan Carlos Sanchez, manager y Business Development Engineer de Fortinet, a su vez, alertó sobre la cuestión del negocio: “Quien esté preparado podrá hacer negocios”, dijo para poner el acento en la pérdida de negocios que pueden sucederse por no haber garantizado los niveles de seguridad requeridos de resguardo.
Según los datos otorgados por Fortinet, en 2022 los operadores de telecomunicaciones recibieron más de 6.000 millones de ataques y eso deja en claro la urgencia que existe al respecto; al tiempo que adelantaron que se espera que el 75 por ciento de los ingresos de las telcos tengan hacia 2025 estén dados por las prestaciones ofrecidas al mercado corporativo. Y eso, entonces, redobla la necesidad de garantizar los resguardos.
En ese sentido, Sanchez, instó a la audiencia a “estar más adentro de estos temas para entender cada vez más”, y adelantó la importancia de que los reguladores también presten atención a este tema y de que los operadores no apunten a resolver problemáticas puntuales, como parches, sino que tiendan estrategias integrales.
Para precisar el caso, Sanchez ofreció detalles de la tipificación de ataques realizados a los operadores, cuya estrategia suele comenzar por el aspecto humano: se identifican usuarios estratégicos, se los estudia y se establecen vínculos con ellos para, luego, desarrollar ataques de phishing con malaware que escalen al core de la red. “Esto puede parecer complicado, pero, la verdad, no lo es”, admitió Sánchez, advirtió que “la seguridad debe ser parte integral de la red, de extremo a extremo”, y recomendó desarrollar “despliegues en fases”.
“La estandarización de la seguridad en redes 5G: amenazas globales, desafíos y certificación” fue el título de la charla que ofreció Alex Leadbeater, Chair del Instituto Europeo de Normas de Telecomunicaciones (ETSI) TC CYBER / GSMA y quien sinceró que “las amenazas de la tecnología, a menudo, se desarrollan años antes de que las cosas, los productos y los servicios salgan al mercado”, algo que, por ende, no excluye a 5G.
“Estamos hablando de que la industria aún está bastante lejos de donde debe estar”, advirtió el especialista del ETSI y matizó: “Hay grandes cosas que estamos haciendo bien en la industria. Ahí está lo que es la seguridad de la tarjeta SIM, por ejemplo. La seguridad 5G básica está más o menos donde debe estar, pero tiende a estar en el dispositivo del usuario final, al final del IoT, de los dispositivos más baratos, donde creo que es justo decir que todavía queda algo por hacer”.
Leadbeater explicó los desafíos y complejidades de enfrentar una problemática amplia, que involucra a muchos actores con diversos roles e impacto porque, tal como precisó al tiempo que se sube la vara en materia de respuesta y resguardo, se la sube también en la virulencia y especialización de las amenazas.
La cuestión regulatoria cerró la mañana de esta jornada y fue Virginia Nakagawa Morales, socia fundadora de Nakagawa Consultores Regulatorios, quien comenzó por precisar detalles sobre las amenazas que sufrió la región, al tiempo que repasar la estructura legal y de organismos que establecen los parámetros legislativos de la seguridad en Perú.
Luego, Gonzalo Ruiz Diaz, asociado de Macroconsult y director de la Maestría en Regulación de Servicios Públicos de la Pontificia Universidad Católica del Perú (PUCP), a su turno estimó que en el mundo se perderán seis trillones de dólares en 2023 por acciones vinculadas por la ciberseguridad, dijo y que el caso de Perú no es diferente.
“Tenemos legislación frondosa, normativas detalladas pero muy poca efectividad y prueba de ello fueron los dos incidentes que tuvimos en la región”, dijo Ruiz Diaz en relación a los hackeos realizados, por ejemplo, por el grupo CONTI en 2022, al ministerio de Hacienda en Perú y advirtió que “deberíamos invertir más en capacitar a los funcionarios y a las personas para cuidad la integridad de la información, que en regulaciones”. En su mirada, deberían construirse legislaciones colaborativas con universidades, los reguladores, las carteras de gobierno.
La punitividad también fue planteado para debatir los términos que hacen que una regulación para que sea efectiva. “Lo que me preocupa es que en un momento habrá una gran fuga y, seguramente, se empezará a sancionar a las empresas de telecomunicaciones” dijo Nakagawa Morales y valoró que “lo que hay que generar es mesas de dialogo, pero sobre todo, acción; porque lo que se hacen son capacitaciones y seminarios pero creo que debemos pensar en incentivos”.
“No hay peor castigo para las empresas que exponer sus infraestructuras a la vulnerabilidad”, evaluó Ruiz Díaz y valoró que el Estado debe “capacitar, generar sinergias entre las instituciones para compartir herramientas de defensa” y que “debería haber algo de garrote, sobre todo, en lo vinculado a la integridad de la información que en Perú no se respeta”.
Nakagawa Morales, a su vez, alertó que “tenemos una buena autoridad de protección de datos, pero lo que falta es saber quién va a definir, quién aplicará el garrote”, dijo y alergó sobre otros temas vinculados como, por ejemplo, quién va a regular cuestiones vinculadas al ChatGPT pues, para ella, aunque todavía no está claro qué es exactamente, ya se usa en empresas y universidades; aún sin advertir los riesgos que pueda significar para las democracias.
A la hora de pensar alternativas, en este panel surgió la idea de crear seguros que, como se aplica el de salud, alcance a la ciberseguridad; sobre todo, porque hay porciones de la población que voluntariamente o no, no toma resguardos.
Para Ruiz Díaz, ese “es un dilema de política pública”, y se preguntó si primero no debería invertirse en alfabetización digital considerando que, por ejemplo, en Perú, es muy grande la porción de la población que no accede a Internet, entre otros motivos, por desinterés.
“Necesitamos un James Bond de la ciberseguridad que vaya alertando, atacando y actuando”, dijo Nakagawa Morales y explicó cuál debería ser la estrategia transversal, pública y privada que debería adoptarse en términos regulatorios, pero también de gestión porque, en su mirada, “tenemos un problema de gestión y ejecución, que es un mal endémico”.
A la agenda de este evento temático le queda, todavía, la tarde por delante.
