Santiago, 30 de noviembre de 2023 – Profundizar en los sucesos que han marcado este año, así como las perspectivas para 2024 en términos de ciberseguridad, fue el objetivo del evento: ¿Hacia dónde vamos en Ciberseguridad? La actividad – que fue organizada por la Universidad de Chile el pasado 23 de noviembre – contó con reconocidos expositores en la materia.
Enmarcado en una iniciativa de la Unidad de Educación Ejecutiva del Departamento de Control de Gestión y Sistemas de Información de la Facultad de Economía y Negocios de la Universidad de Chile (FEN), se llevó a cabo este encuentro de ciberseguridad.
La jornada se inició con la presentación de Kenneth Pugh, Senador de la República, quien hizo un balance legislativo de lo que ha sido este 2023.
“Como Senado tenemos una visión de largo plazo (a 12 años), que contempla varios elementos, desde el desarrollo de infraestructura digital robusta, desarrollo de habilidades digitales, nuevos derechos digitales, la digitalización de la economía, hasta la digitalización del Estado (Ley 21.180). Estamos avanzando en la nueva agencia de protección de datos, una entidad pública con cierto grado de autonomía, y en la nueva agencia nacional de ciberseguridad con un CSIRT que se haga cargo de todos los servicios esenciales. También necesitamos desarrollar la capacidad de conocimiento, y por eso hemos propuesto un Instituto de ciberseguridad o ciberdefensa”.
El senador fue enfático en aclarar que “los atacantes han sistematizado sus formas de ataques. Durante este año hemos visto un aumento en el ramsomware, virus muy peligroso. Muchas víctimas caen en el error de pagar rescate, pero no se recomienda bajo ningún punto de vista.
El segundo ataque más visto este año es el de los DoS (Ataques de Denegación de Servicios).
Una forma de protegerse contra estos es seguir la regla de las 5R: ser robustos, resilientes, redundantes, respaldados y rápidos”.
Hacia una ciberseguridad predictiva
A continuación, José Lagos, CEO en Cybertrust Latam y Director Académico Diploma en Ciberseguridad Universidad de Chile, dictó la charla: “Hacia una Ciberseguridad Predictiva, Cambios y Desafíos. “uno de los temas que esta cambiando la ciberseguridad y muchas otras disciplinas es el de IA, específicamente Machine Learning, lo que hace que podamos utilizar este tipo de herramientas para avanzar en una ciberseguridad predictiva”.
Lagos precisó que “el escenario actual se destaca por tener una economía digital, transformación digital, automatización y amenazas cada vez más sofisticadas. Según un informe, todos los días se detectan en promedio 70 vulnerabilidades, de las cuales 16 son críticas. Y claramente, hoy en día, la defensa que existe con la seguridad convencional no ha sido capaz de detenerlo. El cibercrimen sigue creciendo, y las proyecciones al 2025 es que esto va a llegar a US$10 millones, mientras que para 2027 a US$28 billones. Es altamente considerable el dinero que mueve el cibercrimen; definitivamente, un negocio muy lucrativo”.
El director también hizo hincapié en la evolución que han tenido las bandas de cibercriminales, “de ser grupos pequeños de 10, 40 o 100 personas, hoy bordea los 600, lo cual va a seguir creciendo”.
Sobre políticas públicas, Lagos afirmó que “hay una proyección que hace Gartner en relación a una regulación de prohibir el pago de ramsomware por parte de las empresas a nivel país. En 2025 el 30% de los países va a tener una regulación al no pago de Ramsomware, que es una forma de detenerlo. Y en este sentido es clave cómo la legislación va acompañando la detención del cibercrimen. Un informe llevado a cabo por CISO Latam y la Universidad de Duke, reveló que las amenazas que más afectan a las empresas son el phishing y el ramsomware.
El ejecutivo detalló que “un año después de la pandemia, las cifras indicaban que el phishing había crecido en un 600%, lo que da cuenta de que las herramientas no están enfrentando el tema, y que las personas somos fáciles de engañar. Y la idea para hacer frente a estas amenazas es implementar modelos de ciberseguridad para predecir o anticipar un ataque. Esto lo podemos concretar utilizando herramientas que son parte de la IA para almacenar los datos. Y muchas veces, el tema de los datos puede ser una barrera”.
Cibersicología
Sobre los elementos clave de este concepto de Ciberseguridad Predictiva, el profesional detalló que “lo primero que se debe hacer es definir el modelo, es decir, cómo quiero utilizar esto en la práctica entendiendo las amenazas que tenemos, segundo, los datos, tercero, definir qué algoritmos necesitamos, ya que cuando uno habla de IA esta el concepto de Machine Learning. Y esto apunta a algoritmos y estadísticas que me permiten tener una predicción. Entonces es importante la data, automatizar la respuesta y una mejora continua porque a lo mejor yo puedo tener un 85% de probabilidades de ser víctima de phishing, y en 6 meses más un 95%. Porque algo cambió en mi que hace que yo sea más riesgoso. En este sentido, hay una disciplina llamada cibersicología que apunta a que el problema del phishing esta radicado en las personas, y no en la tecnología. Y aplicar un modelo predictivo de Machine Learnig permitirá a las organizaciones conocer realmente los motivos del por qué los colaboradores son víctimas, y así definir planes de acción focalizados”.
Posteriormente, Claudia Santa Ana, Líder en Ciberseguridad en Microsoft, realizó una simulación de Ciber Crisis, en donde mostró la reacción de una tienda de retail ficticia, atacada durante un CiberDay. La idea fue generar interacción con el público, mediante preguntas sobre las medidas a tomar por los directores. La experta dio recomendaciones de cómo enfrentar estos ciberataques, qué comunicar y a quiénes, entre otras.
La jornada finalizó con un conversatorio moderado por José Lagos, y conformado por Alexandra Barros, Gerente de Riesgo Operacional y Ciberseguridad en Coopeuch; Bryan Olguín, Gerente de Ciberseguridad y Fraude en Banco Itaú, y Juan Pablo Prat, Gerente de Riesgo Operacional y Tecnológico en Banco Santander. Los panelistas profundizaron en los desafíos en ciberseguridad para 2024, destacando temas como equidad de género, carencia de profesionales, modelos predictivos, estrategias para enfrentar incidentes, etcétera.