[:es]Ciberseguridad, tendencia que traspasa fronteras[:en]Cybersecurity, a trend that transcends borders[:]
15 Diciembre 2016
[:es]Diferentes actores concuerdan que en Chile urge la creación de una ley que regule el tema, mientras las tendencias empresariales apuntan a integrar sistemas cognitivos para evitar posibles ataques.
Por Alejandra Melo
Hace años, el ex contratista de la CIA, Edward Snowden divulgó en The Guardian y The Washington Post los programas de vigilancia utilizados por agencias como la NASA, la CIA y el FBI. Una vez asilado en Rusia, entregó miles de documentos sobre programas utilizados para espiar las comunicaciones de ciudadanos. Por otro lado, en 2010, WikiLeaks hizo públicos los documentos del Departamento de Estado norteamericano y antecedentes clasificados de las guerras de Irak y Afganistán.
Ambos hechos tienen algo en común: pusieron en riesgo la seguridad de las naciones sin necesidad de entrar en un edificio, ni toparse con alguna persona. Esto, porque la seguridad ya no sólo es entendida como un ataque físico, sino también digital y este tipo de eventos han obligado a países y compañías a elevar y modernizar sus estándares de seguridad digital, incurriendo en mayores inversiones en este tema.
En Chile, la ciberseguridad es definida por el Comité Interministerial sobre Ciberseguridad como “un mínimo de riesgos para el ciberespacio”, especialmente en lo referente a la protección de la confidencialidad, integridad y disponibilidad de la información que circula en este ambiente, tanto del Estado como de los ciudadanos.
Jaime Soto, secretario general de la Asociación Chilena de Empresas de Tecnologías de Información, ACTI, explica que la vía de entrada de los ciberdelitos es por electrónico, redes sociales y smartphones. Por otro lado, los datos más susceptibles de robo son información personal y claves bancarias.
De acuerdo a la Cumbre Latinoamericana de Analistas de Seguridad, entre agosto de 2015 y agosto de 2016, el continente Latinoamericano alcanzó un millón cien mil ataques de malware al año, 12 por segundo. En tanto, el Informe de Ciberseguridad desarrollado por el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA), indica que cuatro de cada cinco países de la región no tienen estrategias de ciberseguridad o planes de protección de infraestructura; dos de cada tres no cuentan con un centro de comando y control de seguridad cibernética y la gran mayoría de las fiscalías carece de capacidad para perseguir los delitos cibernéticos.
En la región, Uruguay, Brasil, México, Argentina, Colombia y Chile se encuentran en un nivel intermedio de madurez de ciberseguridad, pero lejos de referentes como Estados Unidos, Israel, Estonia y República de Corea, donde su protección es alta y es prioridad para los gobiernos.
Propuesta de ley en Chile
“Hace unos meses, Chile se adhirió al Convenio Europeo (Budapest) sobre ciberdelincuencia, lo cual implica cambios legales, por ejemplo, el actualizar nuestra legislación, modificar la Ley 19.223 sobre delitos informáticos, tipificar el pishing, establecer responsabilidad penal de las personas por ciberdelitos cometidos, entre otros”, explica Jaime Soto.
En materia digital, hasta 2010 la ciberseguridad carecía de discusión y no entró al debate país hasta que la administración de la Presidenta Michelle Bachelet consideró en el programa de gobierno 2014-2018, el desarrollo de una estrategia de seguridad digital con la misión de proteger a usuarios privados y públicos.
Mediante el Decreto Supremo Nº533, en 2015 se creó el Comité Interministerial sobre Ciberseguridad (CICS), que debe proponer a la Presidenta de la República una política nacional, la que se ha basado en seis ejes temáticos: infraestructura de la información; prevención, persecución y sanción de ciberdelitos; sensibilización, formación y difusión; cooperación y relaciones internacionales; desarrollo industrial y productivo; e institucionalidad de la ciberseguridad.
Para Raúl Arrieta, presidente del Instituto Chileno de Derecho y Tecnologías y gerente de Gutiérrez & Arrieta Abogados, la propuesta y creación de esta ley es urgente, porque se relaciona “con todos quienes participan de un país”, de ahí que considera necesario estructurar una política nacional con medidas en el corto plazo.
Explica que hoy, el principal activo de la sociedad del conocimiento es la información y, por lo tanto, hay que resguardarla. Por ello, plantea que el país debe generar grandes inversiones en infraestructura de telecomunicaciones, pues de lo contrario, los servicios que dependen de ella, como datos y voz, podrían verse afectados, en caso de catástrofes naturales, hasta llegar a un blackout, poniendo en riesgo el resguardo de la información de todos.
En paralelo, considera que debería haber una discusión sobre los datos de tráfico. “¿Por cuánto tiempo se guardan?, ¿para qué se guardan? y ¿quién accede a ellos? ¿Tiene sentido que una empresa guarde los datos de tráfico más allá del período en el cual el cliente puede reclamar por su facturación?, ¿qué significa guardarlos?, ¿qué guardo?”, estas interrogantes, explica Arrieta, son sólo algunas de las que hay que plantearse, y a ellas agregar que hoy la información de tráfico también implica datos de geolocalización, conectividad en aplicaciones móviles (app), datos de Internet y más.
Para hacer frente a estos flancos, propone generar una modificación a la Ley 16.628 sobre delito informático en el Código Procesal Penal, en torno a la persecución de los delitos.
Sectores vulnerables
Danic Maldonado, comisario de la Brigada de Cibercrimen de la Policía de Investigaciones (PDI) afirma que el sector más afectado por el delito cibernético es el financiero y dentro de él, la banca.
Señala que es común la entrada de correos electrónicos infectados, bajo la metodología de phishing para estafar y obtener información confidencial de forma fraudulenta, que apunta principalmente, a la obtención de contraseñas y datos bancarios. Maldonado explica que las denuncias por este tipo de delito, aumentan en temporada de pagos servicios masivos, por ejemplo, para los Permisos de Circulación y Operación Renta.
Indica que si bien los ciberdelitos económicos son los más denunciados, no existen cifras al respecto, ya que la carencia de una ley que obligue a denunciar estos hechos, no permiten obtener métricas de análisis.
Varios actores reconocen que tanto para evitar fraudes bancarios por internet, así como para crear una la ley y mejorar la infraestructura de telecomunicaciones, es necesaria una alianza público-privada.
“En este proceso es fundamental que todos nos involucremos. Tanto ciudadanos como organizaciones debemos comprender el valor que aportaría una alianza de este tipo en pro de la protección de nuestra privacidad de datos y que ésta sea amparada y protegida”, comenta Soto.
Inversiones en seguridad
Pese a los constantes intentos de ataques cibernéticos y la falta de una ley que regule estos delitos, Nicolás Corrado, socio de Ciberseguridad de Deloitte, comenta que a nivel corporativo, Chile posee buenas tecnologías de protección que permiten incrementar los niveles de seguridad. Pero, al igual que en el resto de Latinoamérica, las debilidades en el monitoreo inteligente y el capital humano especializado son siempre los “pendientes” de la ecuación, que permita mejorar la detección y rápida respuesta.
“Una compañía estadounidense viene realizando hace varios años análisis globales del costo promedio de pérdidas que se producen por ciberataques. En 2015 arrojó que a nivel mundial, el costo anual de pérdidas por compañía es de US$ 7,7 millones, alrededor de US$ 400 mil millones por año. Durante 2016 el monto se ha elevado 23 % y trepó a US$ 9,5 millones”, explica Corrado y agrega que la proyección a 2019 de los costos por el cibercrimen asciende a US$ 2 billones (millones de millones).
En el detalle, precisa que el robo de credenciales de usuario tiene un impacto promedio de US$ 232 por incidente; el ransomware (programa informático que restringe el acceso a determinados archivos del sistema infectado y pide un rescate a cambio de quitar la restricción), de US$ 157 y que el costo de tarjetas e inclusos datos personales de pacientes hoy tienen una valoración mejor en la deep web o web profunda (lo que no conocemos de internet). 40% de dicho costo se debe a pérdida o fuga de información.
Por otro lado, advierte que los impactos de no contar con adecuadas medidas a nivel personal y empresarial son muchos y van más allá de lo económico. “Mientras que el costo promedio de una filtración de seguridad puede estar bien documentado, los efectos a largo plazo sobre la reputación de la compañía y la marca pueden incrementar las pérdidas”, explica Corrado.
En el mundo, explica Marcelo Zanotti, socio de consultoría en Gestión y Tecnología de EY, el sector que más invierte en seguridad es el financiero, ya que la ciberseguridad está tomando tal nivel de preponderancia, que no basta con el actuar de los departamentos de tecnología de las empresas, sino que ha pasado a ser un “tema de alta administración y directores”.
De acuerdo a la encuesta de ciberseguridad de EY 2015, 89% de las empresas a nivel mundial ha aumentado su presupuesto en seguridad en los últimos 12 meses y este mismo porcentaje planea hacer lo mismo durante los 12 meses subsiguientes (2016). Ante este panorama, el ejecutivo de EY anticipa que es importante no recortar el presupuesto en seguridad en momentos de restricción económica, pues frente a cualquier ataque se pone en riesgo la continuidad operativa del negocio, y esto puede tener consecuencias más graves a mediano y largo plazo. En la misma encuesta se consigna que 62% de los entrevistados considera que la reducción presupuestaria es el principal obstáculo para garantizar la seguridad de la información en las empresas.
Tendencias contra el ciberdelito
Para enfrentar esta problemática que no respeta fronteras, diferentes compañías han comenzado a investigar y crear soluciones. Para Google, la seguridad es parte fundamental de todas sus herramientas y productos, y para ello han cuidado mantener un equipo de ingenieros de seguridad de alto nivel trabajando a tiempo completo dedicado este fin. En Chile, por ejemplo, realiza actividades locales sobre prevención e incluso ha trabajado en campañas junto a la PDI en contra del ciberdelito.
En vista de la elevada cantidad de ataques cibernéticos que ha traído consigo la transformación digital, a partir de 2014 diferentes compañías alrededor del mundo han optado por crear centros de investigación y ciberinteligencia. Éstos intentan detectar de manera temprana amenazas web y buscan cómo combatirlas, creando incluso espacios de prueba.
Deloitte fue uno de los pioneros en la creación de estos centros. Hace un año inauguraron sus propios centros de Cyber-Inteligencia, que desplegados por todo el mundo, incluido uno en Santiago, comparten información de ataques y permiten la protección, el monitoreo y la resiliencia de las organizaciones.
“Los centros de Cyber-Inteligencia ofrecen una solución personalizada y 24/7, para prevenir, detectar y responder a las ciberamenazas. También brindan capacidades cibernéticas perfeccionadas a partir de la administración e interpretación de información relacionada con la seguridad de la industria y negocio en particular para responder a una amenaza en tiempo real”, explica Nicolás Corrado.
Similar trabajo está haciendo IBM mediante el IBM X-Force Command Cyber Range, que permite la inmersión de los usuarios en ataques cibernéticos simulados para enseñarles cómo prepararse, responder y administrar una variedad de amenazas. Para ello utilizan un malware en vivo, ransomware y otras herramientas de hackers del mundo real, extraídas de la dark web.
Ya hacia fines de 2015 y principalmente inicios de 2016, la tendencia que comenzó a tomar más fuerza en el ámbito del cibercrimen, fue la incorporación de inteligencia cognitiva. Las razones que la han posicionado como herramienta eficaz para la ciberseguridad son que logra recolectar mayor cantidad de información, permite contrastar con registros de ciberataques previos, reduce el tiempo en que lo hace y permite mayor asertividad.
“Actualmente se habla que para obtener resultados similares, un operador debería leer 10 mil documentos sólo para entender los ciberataques, lo que resulta imposible para un humano, pero no para un sistema computacional”, revela Diego Marcor, gerente de IBM Security en Chile.
Explica que IBM lanzó Watson For Cyber Security. “Watson –el sistema de inteligencia artificial de la compañía- busca información no estructurada en sitios web -que representa 75% de Internet-, donde los sistemas de seguridad no llegan como los blogs, y la relaciona con el ataque que sufrió en una determinada compañía. De esta forma, Watson sugiere cuáles son las posibles respuestas para el ataque y lograr evitarlo”, afirma Marcor.
Blockchain, ¿impenetrable?
Por otro lado, el encadenamiento de bloques o blockchain, conocida como la base tecnológica del funcionamiento del bitcoin u otras criptodivisas, consiste en una base de datos compartida y encriptada que funciona como un libro de registro de operaciones de compra-venta o cualquier otra transacción, ha comenzado a tomar fuerza, especialmente por el sector financiero.
Justamente, por operar en forma colectiva –con múltiples verificadores de información-, los expertos esperan que sea una forma más segura para realizar transacciones en todo el mundo.
Si bien su avance ha sido rápido, hasta ahora, sólo está presente en Estados Unidos y algunos países europeos, pero las perspectivas son altas. Según Accenture, en el último tiempo, la inversión mundial en Blockchain pasó de US$ 30 millones en 2015 a US$ 75 millones en 2016, asociados a crear casos de éxitos.
Ignacio Vera, gerente de la División Operaciones y Tecnología del Banco de Chile, señala que en esta institución “actualmente se está evaluando su uso en la trazabilidad y seguridad de nuestras transacciones monetarias”.
El tiempo dirá si esta nueva plataforma será a prueba de ciberataques.[:en]Different actors agree on the pressing need in Chile for a law to regulate cybersecurity, while there is a growing tendency in the business sector to begin integrating cognitive systems to guard against possible attacks.
By Alejandra Melo
In 2013, the former CIA contractor Edward Snowden leaked information about surveillance programs used by US government agencies including NASA, the CIA and FBI to The Guardian and The Washington Post newspapers. Once he had secured political asylum in Russia, Snowden then released thousands of documents related to more programs utilized to spy on the communications of citizens. Prior to the Snowden files, in 2010, WikiLeaks leaked a series of US Department of State documents and classified records about the wars in Iraq and Afghanistan.
Both of these events share one thing in common: they endangered the security of countries without the need to enter a building, or even come up against another person. This is because security is no longer simply conceived of as a physical attack, but also a digital one. The types of events involving Snowden and WikiLeaks mean that governments and companies have had to increase and modernize their standards of digital security, incurring greater investment costs as a result.
In Chile, cybersecurity is defined by the Interministerial Committee on Cybersecurity as, “a minimum of risks for cyberspace”, especially in relation to the protection of the confidentiality, integrity and availability of information circulating in the online environment, whether this pertains to the State or to private citizens.
Jaime Soto, Secretary General of the Chilean Association of Information Technology Companies (ACTI) explains that cybercrimes are committed committed via email, social media and smartphones. The type of data most vulnerable to theft is personal information and bank passwords.
According to the latest Latin American Security Analysts Summit, Latin America was subject to 1,100,000 malware attacks between August 2015 and August 2016, which is equivalent to 12 attacks per second. Similarly, the 2016 Cybersecurity Report compiled by the Inter-American Development Bank and the Organization of American States provides a number of important findings: four out of five countries in the region have no cybersecurity strategy or infrastructure protection plan; two out of three have no central command and control center for cyber security; and the vast majority of prosecutors lack the capacity to prosecute cybercrimes.
In the region, Uruguay, Brazil, Mexico, Argentina, Colombia and Chile are at an intermediate level in terms of cybersecurity maturity, but a long way behind the United States, Israel, Estonia and South Korea, where protection levels are high and the issue is a government priority.
Proposed law in Chile
Jaime Soto explains that, “a few months ago, Chile adhered to the European Convention (Budapest) on Cybercrime, which requires certain legal changes, for example, updating current legislation, amending Law 19.223 on information crimes, the legal categorization of phishing, and establishing legal responsibility for people committing cybercrimes, among other aspects”.
Regarding the digital arena, cybersecurity was not widely discussed in Chile until 2010. Furthermore, it did not form part of the official agenda until the administration of President Michelle Bachelet from 2014-2018, which began developing a digital security strategy with the mission to protect both public and private users.
By means of Supreme Decree 533, the Interministerial Committee on Cybersecurity (CICS) was created in 2015. The Committee is tasked with advising the Chilean president in regard to a new national policy, based on six core thematic areas: information infrastructure; the prevention, prosecution and sanction of cybercrimes; awareness raising, training and dissemination; cooperation and international relations; industrial and productive development; and cybersecurity institutions.
According to Raúl Arrieta, President of the Chilean Law and Technology Institute and Head of Gutiérrez & Arrieta Abogados legal firm, the proposal and creation of this type of law is essential because it relates, “to everyone who plays a role in a country”. For that reason, he says that it is necessary to devise a national policy which includes certain short-term measures.
He explains that the main asset of any modern knowledge-based society is information. This information, therefore, must be safeguarded. Consequently, Arrieta claims that the country needs to generate large investments in telecommunications infrastructure. Failing to follow through in this regard could jeopardize the services that depend on this architecture, such as data and voice applications, in the event of natural disasters, potentially leading to a blackout and consequently endangering the safeguarding of everyone’s information.
Simultaneously, he believes discussions should be held in relation to internet traffic data. “For how long is it stored? Why is it stored? Who has access to it? Does it make sense for a company to store internet traffic data for longer than the period in which customers can lodge a complaint about their billing? What does it mean to store it? What is stored exactly?” These questions are, Arrieta says, just some of the aspects to consider, in addition to acknowledgment of the fact that internet traffic data now includes a wide range of information such as geolocation, connectivity via mobile apps, general internet data, and more.
To confront these challenges, he suggests an amendment to Law 16.628 on information crime, as laid out in the Criminal Procedure Code, regarding the prosecution of related offenses.
Vulnerable sectors
Danic Maldonado, Commissioner of the Cybercrime Unit of the Investigations Police of Chile (PDI) explains that the industry most affected by cybercrime is the finance sector, particularly banking.
He claims that infected emails are especially common. This particular approach works according to the phishing methodology of cheating people out of confidential information in a fraudulent manner, primarily by means of obtaining users’ passwords and bank details.
Maldonado states that reporting of this type of crime increases significantly during periods of large-scale service-related payments, including the purchase of vehicle circulation permits and the income declaration season.
He stresses that while economic cybercrimes are the most widely reported, there are no formal statistics relating to the phenomenon. This is due to the lack of legislation that would make the reporting of these crimes mandatory. Without such a law, there is no basis from which to collect metrics for analysis purposes.
A range of actors recognize the need for public-private partnerships to combat internet banking fraud, as well as the importance of devising suitable legislation and enhancing telecommunications infrastructure.
“The key is for everyone to form part of this process. Both the general public and organizations must understand the value of partnerships of this type in protecting our private information and ensuring that it is safeguarded and secure”, says Jaime Soto.
Investing in security
Despite continuous attempts to carry out cyberattacks and the lack of regulations to legislate against these crimes, Nicolás Corrado, Cybersecurity partner at Deloitte, states that at the corporate level, Chile possesses strong protection technology that helps it to raise security levels. However, as in the rest of Latin America, weaknesses in intelligence monitoring and specialized human capital are constantly “unresolved”, whereas rectifying these shortfalls would enable enhanced detection and rapid response.
“A US company has spent the last few years conducting global analyses of the average financial cost of losses caused by cyberattacks. In 2015, it found that at the global level the annual cost of losses per company was US$7.7 million, which is equivalent to US$400 billion per year. During 2016, this amount has increased by 23%, to US$9.5 million”, says Corrado. He adds that the projection to 2019 for the cost of cybercrime is US$2 trillion.
Specific findings from the report show that the average cost of user identity theft is US$232 per incident. In terms of ransomware (a computer program that restricts access to certain files of an infected system and requests a ransom in exchange for removing the restriction), the average cost is US$157. The cost of cards and even personal details of users is even more highly valued in the deep web (parts of the internet that remain hidden). Approximately 40% of this cost is due to information losses or leaks.
On the other hand, Corrado warns that the impact of the lack of suitable measures at the personal and business levels are considerable and go beyond just economic factors. “While the average cost of information leaks are well documented, the long-term negative effects on company and brand reputation can mean that losses last far longer”, he notes.
Marcelo Zanotti, Management and Technology partner at the consultancy firm EY explains that at the global level the biggest investor in security is the financial sector. Cybersecurity has now become such an important factor that it is no longer considered sufficient to oversee the area from the technology departments of businesses. Rather, he says, it has become, “an issue of senior management and company directors”.
According to EY’s 2015 cybersecurity survey, 89% of companies at the international level had increased their security budgets over the preceding 12-month period, and the same percentage planned to follow suit during the subsequent 12 months (i.e., 2016). With this context in mind, Zanotti says that it is important not to reduce security budgets during periods of economic contraction; in the case of a cyberattack, this would jeopardize the operational continuity of the business and could have serious medium- to long-term consequences. Accordingly, 62% of respondents of the aforementioned EY survey said that budget cuts were the main obstacle to guaranteeing the security of company information.
Counter-cybercrime trends
To combat this danger that transcends borders, different companies have begun to research and create their own solutions. For example, security is a fundamental part of all Google’s tools and products. That is why the company has maintained a full-time team of highly trained security engineers to work towards this end. In Chile, Google conducts local activities on prevention and has even worked with the PDI on counter-cybercrime measures.
In light of the increasing numbers of cyberattacks brought about by digital transformation, since 2014 different companies around the world have chosen to create research and cyberintelligence centers. The aim behind these centers is to detect and combat early web threats, facilitated by the design of test spaces.
Deloitte was one of the pioneers in creating these centers. In 2015, the company inaugurated its own Cyberintelligence centers which were deployed all over the world, including one in Santiago. The centers share information about attacks in order to improve the protection, monitoring and resilience of organizations.
Nicolás Corrado states that, “the Cyberintelligence centers offer a personalized, 24/7 solution for preventing, detecting and responding to cyber threats. They also provide improved cyber performance by managing and interpreting information relating to the particular industry and business in question in order to provide a real-time response”.
IBM is undertaking similar work through the IBM X-Force Command Cyber Range. This space allows users to immerse themselves in simulated cyberattacks to train participants on how to prepare, respond to, and manage a variety of threats. The Range involves the use of live malware, ransomware and other tools utilized by hackers from the real world, extracted from the dark web.
By the end of 2015 and the beginning of 2016, the trend that really began to gain traction in the field of cybercrime was the incorporation of cognitive systems. The reasons why this approach has become an effective cybersecurity tool is due to its ability to collect large amounts of data, to compare this data against registries of previous cyberattacks, to reduce the time in which these actions are undertaken, and to allow for greater assertiveness.
“Currently, it is said that to achieve the same kinds of results (as a cognitive system), an operator would have to read ten thousand documents just to understand the cyberattack, which is impossible for a human but not a computer system”, explains Diego Marcor, Head of IBM Security in Chile.
He continues by explaining that IMB has launched an initiative called Watson For Cyber Security. “Watson, the company’s artificial intelligence system, looks for unstructured information on websites, which account for 75% of the internet, in which the security systems do not arrive as blogs, and (Watson subsequently) links this information with the attack experienced by the relevant company. In this way, Watson suggests possible responses to the attack and how to avoid it”, says Marcor.
The impenetrable blockchain?
Alternatively, there is the blockchain, which is the technological basis behind the workings of Bitcoin and other crypto-currencies. The blockchain consists of a shared and encrypted database that works like a registry of purchases and sales trades or other transactions. It is growing in popularity, particularly in the financial sector.
Precisely because it operates on a collective basis, with multiple information verifiers, experts believe it to be a more secure way of conducting transactions around the world.
Despite its fast rise to prominence, it is only currently available in the United States and certain European countries, although the outlook in terms of its dissemination to other parts of the world is positive. According to Accenture, investment in the blockchain has risen from US$30 million in 2015 to US$75 million in 2016, due to a number of success stories.
In reference to the blockchain, Ignacio Vera, Head of the Operations and Technology Division at Banco de Chile, says that the bank is, “currently evaluating its use in the traceability and security of our monetary transactions”.
Only time will tell if this new platform will be cyberattack-proof.[:]
Por Alejandra Melo
Hace años, el ex contratista de la CIA, Edward Snowden divulgó en The Guardian y The Washington Post los programas de vigilancia utilizados por agencias como la NASA, la CIA y el FBI. Una vez asilado en Rusia, entregó miles de documentos sobre programas utilizados para espiar las comunicaciones de ciudadanos. Por otro lado, en 2010, WikiLeaks hizo públicos los documentos del Departamento de Estado norteamericano y antecedentes clasificados de las guerras de Irak y Afganistán.
Ambos hechos tienen algo en común: pusieron en riesgo la seguridad de las naciones sin necesidad de entrar en un edificio, ni toparse con alguna persona. Esto, porque la seguridad ya no sólo es entendida como un ataque físico, sino también digital y este tipo de eventos han obligado a países y compañías a elevar y modernizar sus estándares de seguridad digital, incurriendo en mayores inversiones en este tema.
En Chile, la ciberseguridad es definida por el Comité Interministerial sobre Ciberseguridad como “un mínimo de riesgos para el ciberespacio”, especialmente en lo referente a la protección de la confidencialidad, integridad y disponibilidad de la información que circula en este ambiente, tanto del Estado como de los ciudadanos.
Jaime Soto, secretario general de la Asociación Chilena de Empresas de Tecnologías de Información, ACTI, explica que la vía de entrada de los ciberdelitos es por electrónico, redes sociales y smartphones. Por otro lado, los datos más susceptibles de robo son información personal y claves bancarias.
De acuerdo a la Cumbre Latinoamericana de Analistas de Seguridad, entre agosto de 2015 y agosto de 2016, el continente Latinoamericano alcanzó un millón cien mil ataques de malware al año, 12 por segundo. En tanto, el Informe de Ciberseguridad desarrollado por el Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA), indica que cuatro de cada cinco países de la región no tienen estrategias de ciberseguridad o planes de protección de infraestructura; dos de cada tres no cuentan con un centro de comando y control de seguridad cibernética y la gran mayoría de las fiscalías carece de capacidad para perseguir los delitos cibernéticos.
En la región, Uruguay, Brasil, México, Argentina, Colombia y Chile se encuentran en un nivel intermedio de madurez de ciberseguridad, pero lejos de referentes como Estados Unidos, Israel, Estonia y República de Corea, donde su protección es alta y es prioridad para los gobiernos.
Propuesta de ley en Chile
“Hace unos meses, Chile se adhirió al Convenio Europeo (Budapest) sobre ciberdelincuencia, lo cual implica cambios legales, por ejemplo, el actualizar nuestra legislación, modificar la Ley 19.223 sobre delitos informáticos, tipificar el pishing, establecer responsabilidad penal de las personas por ciberdelitos cometidos, entre otros”, explica Jaime Soto.
En materia digital, hasta 2010 la ciberseguridad carecía de discusión y no entró al debate país hasta que la administración de la Presidenta Michelle Bachelet consideró en el programa de gobierno 2014-2018, el desarrollo de una estrategia de seguridad digital con la misión de proteger a usuarios privados y públicos.
Mediante el Decreto Supremo Nº533, en 2015 se creó el Comité Interministerial sobre Ciberseguridad (CICS), que debe proponer a la Presidenta de la República una política nacional, la que se ha basado en seis ejes temáticos: infraestructura de la información; prevención, persecución y sanción de ciberdelitos; sensibilización, formación y difusión; cooperación y relaciones internacionales; desarrollo industrial y productivo; e institucionalidad de la ciberseguridad.
Para Raúl Arrieta, presidente del Instituto Chileno de Derecho y Tecnologías y gerente de Gutiérrez & Arrieta Abogados, la propuesta y creación de esta ley es urgente, porque se relaciona “con todos quienes participan de un país”, de ahí que considera necesario estructurar una política nacional con medidas en el corto plazo.
Explica que hoy, el principal activo de la sociedad del conocimiento es la información y, por lo tanto, hay que resguardarla. Por ello, plantea que el país debe generar grandes inversiones en infraestructura de telecomunicaciones, pues de lo contrario, los servicios que dependen de ella, como datos y voz, podrían verse afectados, en caso de catástrofes naturales, hasta llegar a un blackout, poniendo en riesgo el resguardo de la información de todos.
En paralelo, considera que debería haber una discusión sobre los datos de tráfico. “¿Por cuánto tiempo se guardan?, ¿para qué se guardan? y ¿quién accede a ellos? ¿Tiene sentido que una empresa guarde los datos de tráfico más allá del período en el cual el cliente puede reclamar por su facturación?, ¿qué significa guardarlos?, ¿qué guardo?”, estas interrogantes, explica Arrieta, son sólo algunas de las que hay que plantearse, y a ellas agregar que hoy la información de tráfico también implica datos de geolocalización, conectividad en aplicaciones móviles (app), datos de Internet y más.
Para hacer frente a estos flancos, propone generar una modificación a la Ley 16.628 sobre delito informático en el Código Procesal Penal, en torno a la persecución de los delitos.
Sectores vulnerables
Danic Maldonado, comisario de la Brigada de Cibercrimen de la Policía de Investigaciones (PDI) afirma que el sector más afectado por el delito cibernético es el financiero y dentro de él, la banca.
Señala que es común la entrada de correos electrónicos infectados, bajo la metodología de phishing para estafar y obtener información confidencial de forma fraudulenta, que apunta principalmente, a la obtención de contraseñas y datos bancarios. Maldonado explica que las denuncias por este tipo de delito, aumentan en temporada de pagos servicios masivos, por ejemplo, para los Permisos de Circulación y Operación Renta.
Indica que si bien los ciberdelitos económicos son los más denunciados, no existen cifras al respecto, ya que la carencia de una ley que obligue a denunciar estos hechos, no permiten obtener métricas de análisis.
Varios actores reconocen que tanto para evitar fraudes bancarios por internet, así como para crear una la ley y mejorar la infraestructura de telecomunicaciones, es necesaria una alianza público-privada.
“En este proceso es fundamental que todos nos involucremos. Tanto ciudadanos como organizaciones debemos comprender el valor que aportaría una alianza de este tipo en pro de la protección de nuestra privacidad de datos y que ésta sea amparada y protegida”, comenta Soto.
Inversiones en seguridad
Pese a los constantes intentos de ataques cibernéticos y la falta de una ley que regule estos delitos, Nicolás Corrado, socio de Ciberseguridad de Deloitte, comenta que a nivel corporativo, Chile posee buenas tecnologías de protección que permiten incrementar los niveles de seguridad. Pero, al igual que en el resto de Latinoamérica, las debilidades en el monitoreo inteligente y el capital humano especializado son siempre los “pendientes” de la ecuación, que permita mejorar la detección y rápida respuesta.
“Una compañía estadounidense viene realizando hace varios años análisis globales del costo promedio de pérdidas que se producen por ciberataques. En 2015 arrojó que a nivel mundial, el costo anual de pérdidas por compañía es de US$ 7,7 millones, alrededor de US$ 400 mil millones por año. Durante 2016 el monto se ha elevado 23 % y trepó a US$ 9,5 millones”, explica Corrado y agrega que la proyección a 2019 de los costos por el cibercrimen asciende a US$ 2 billones (millones de millones).
En el detalle, precisa que el robo de credenciales de usuario tiene un impacto promedio de US$ 232 por incidente; el ransomware (programa informático que restringe el acceso a determinados archivos del sistema infectado y pide un rescate a cambio de quitar la restricción), de US$ 157 y que el costo de tarjetas e inclusos datos personales de pacientes hoy tienen una valoración mejor en la deep web o web profunda (lo que no conocemos de internet). 40% de dicho costo se debe a pérdida o fuga de información.
Por otro lado, advierte que los impactos de no contar con adecuadas medidas a nivel personal y empresarial son muchos y van más allá de lo económico. “Mientras que el costo promedio de una filtración de seguridad puede estar bien documentado, los efectos a largo plazo sobre la reputación de la compañía y la marca pueden incrementar las pérdidas”, explica Corrado.
En el mundo, explica Marcelo Zanotti, socio de consultoría en Gestión y Tecnología de EY, el sector que más invierte en seguridad es el financiero, ya que la ciberseguridad está tomando tal nivel de preponderancia, que no basta con el actuar de los departamentos de tecnología de las empresas, sino que ha pasado a ser un “tema de alta administración y directores”.
De acuerdo a la encuesta de ciberseguridad de EY 2015, 89% de las empresas a nivel mundial ha aumentado su presupuesto en seguridad en los últimos 12 meses y este mismo porcentaje planea hacer lo mismo durante los 12 meses subsiguientes (2016). Ante este panorama, el ejecutivo de EY anticipa que es importante no recortar el presupuesto en seguridad en momentos de restricción económica, pues frente a cualquier ataque se pone en riesgo la continuidad operativa del negocio, y esto puede tener consecuencias más graves a mediano y largo plazo. En la misma encuesta se consigna que 62% de los entrevistados considera que la reducción presupuestaria es el principal obstáculo para garantizar la seguridad de la información en las empresas.
Tendencias contra el ciberdelito
Para enfrentar esta problemática que no respeta fronteras, diferentes compañías han comenzado a investigar y crear soluciones. Para Google, la seguridad es parte fundamental de todas sus herramientas y productos, y para ello han cuidado mantener un equipo de ingenieros de seguridad de alto nivel trabajando a tiempo completo dedicado este fin. En Chile, por ejemplo, realiza actividades locales sobre prevención e incluso ha trabajado en campañas junto a la PDI en contra del ciberdelito.
En vista de la elevada cantidad de ataques cibernéticos que ha traído consigo la transformación digital, a partir de 2014 diferentes compañías alrededor del mundo han optado por crear centros de investigación y ciberinteligencia. Éstos intentan detectar de manera temprana amenazas web y buscan cómo combatirlas, creando incluso espacios de prueba.
Deloitte fue uno de los pioneros en la creación de estos centros. Hace un año inauguraron sus propios centros de Cyber-Inteligencia, que desplegados por todo el mundo, incluido uno en Santiago, comparten información de ataques y permiten la protección, el monitoreo y la resiliencia de las organizaciones.
“Los centros de Cyber-Inteligencia ofrecen una solución personalizada y 24/7, para prevenir, detectar y responder a las ciberamenazas. También brindan capacidades cibernéticas perfeccionadas a partir de la administración e interpretación de información relacionada con la seguridad de la industria y negocio en particular para responder a una amenaza en tiempo real”, explica Nicolás Corrado.
Similar trabajo está haciendo IBM mediante el IBM X-Force Command Cyber Range, que permite la inmersión de los usuarios en ataques cibernéticos simulados para enseñarles cómo prepararse, responder y administrar una variedad de amenazas. Para ello utilizan un malware en vivo, ransomware y otras herramientas de hackers del mundo real, extraídas de la dark web.
Ya hacia fines de 2015 y principalmente inicios de 2016, la tendencia que comenzó a tomar más fuerza en el ámbito del cibercrimen, fue la incorporación de inteligencia cognitiva. Las razones que la han posicionado como herramienta eficaz para la ciberseguridad son que logra recolectar mayor cantidad de información, permite contrastar con registros de ciberataques previos, reduce el tiempo en que lo hace y permite mayor asertividad.
“Actualmente se habla que para obtener resultados similares, un operador debería leer 10 mil documentos sólo para entender los ciberataques, lo que resulta imposible para un humano, pero no para un sistema computacional”, revela Diego Marcor, gerente de IBM Security en Chile.
Explica que IBM lanzó Watson For Cyber Security. “Watson –el sistema de inteligencia artificial de la compañía- busca información no estructurada en sitios web -que representa 75% de Internet-, donde los sistemas de seguridad no llegan como los blogs, y la relaciona con el ataque que sufrió en una determinada compañía. De esta forma, Watson sugiere cuáles son las posibles respuestas para el ataque y lograr evitarlo”, afirma Marcor.
Blockchain, ¿impenetrable?
Por otro lado, el encadenamiento de bloques o blockchain, conocida como la base tecnológica del funcionamiento del bitcoin u otras criptodivisas, consiste en una base de datos compartida y encriptada que funciona como un libro de registro de operaciones de compra-venta o cualquier otra transacción, ha comenzado a tomar fuerza, especialmente por el sector financiero.
Justamente, por operar en forma colectiva –con múltiples verificadores de información-, los expertos esperan que sea una forma más segura para realizar transacciones en todo el mundo.
Si bien su avance ha sido rápido, hasta ahora, sólo está presente en Estados Unidos y algunos países europeos, pero las perspectivas son altas. Según Accenture, en el último tiempo, la inversión mundial en Blockchain pasó de US$ 30 millones en 2015 a US$ 75 millones en 2016, asociados a crear casos de éxitos.
Ignacio Vera, gerente de la División Operaciones y Tecnología del Banco de Chile, señala que en esta institución “actualmente se está evaluando su uso en la trazabilidad y seguridad de nuestras transacciones monetarias”.
El tiempo dirá si esta nueva plataforma será a prueba de ciberataques.[:en]Different actors agree on the pressing need in Chile for a law to regulate cybersecurity, while there is a growing tendency in the business sector to begin integrating cognitive systems to guard against possible attacks.
By Alejandra Melo
In 2013, the former CIA contractor Edward Snowden leaked information about surveillance programs used by US government agencies including NASA, the CIA and FBI to The Guardian and The Washington Post newspapers. Once he had secured political asylum in Russia, Snowden then released thousands of documents related to more programs utilized to spy on the communications of citizens. Prior to the Snowden files, in 2010, WikiLeaks leaked a series of US Department of State documents and classified records about the wars in Iraq and Afghanistan.
Both of these events share one thing in common: they endangered the security of countries without the need to enter a building, or even come up against another person. This is because security is no longer simply conceived of as a physical attack, but also a digital one. The types of events involving Snowden and WikiLeaks mean that governments and companies have had to increase and modernize their standards of digital security, incurring greater investment costs as a result.
In Chile, cybersecurity is defined by the Interministerial Committee on Cybersecurity as, “a minimum of risks for cyberspace”, especially in relation to the protection of the confidentiality, integrity and availability of information circulating in the online environment, whether this pertains to the State or to private citizens.
Jaime Soto, Secretary General of the Chilean Association of Information Technology Companies (ACTI) explains that cybercrimes are committed committed via email, social media and smartphones. The type of data most vulnerable to theft is personal information and bank passwords.
According to the latest Latin American Security Analysts Summit, Latin America was subject to 1,100,000 malware attacks between August 2015 and August 2016, which is equivalent to 12 attacks per second. Similarly, the 2016 Cybersecurity Report compiled by the Inter-American Development Bank and the Organization of American States provides a number of important findings: four out of five countries in the region have no cybersecurity strategy or infrastructure protection plan; two out of three have no central command and control center for cyber security; and the vast majority of prosecutors lack the capacity to prosecute cybercrimes.
In the region, Uruguay, Brazil, Mexico, Argentina, Colombia and Chile are at an intermediate level in terms of cybersecurity maturity, but a long way behind the United States, Israel, Estonia and South Korea, where protection levels are high and the issue is a government priority.
Proposed law in Chile
Jaime Soto explains that, “a few months ago, Chile adhered to the European Convention (Budapest) on Cybercrime, which requires certain legal changes, for example, updating current legislation, amending Law 19.223 on information crimes, the legal categorization of phishing, and establishing legal responsibility for people committing cybercrimes, among other aspects”.
Regarding the digital arena, cybersecurity was not widely discussed in Chile until 2010. Furthermore, it did not form part of the official agenda until the administration of President Michelle Bachelet from 2014-2018, which began developing a digital security strategy with the mission to protect both public and private users.
By means of Supreme Decree 533, the Interministerial Committee on Cybersecurity (CICS) was created in 2015. The Committee is tasked with advising the Chilean president in regard to a new national policy, based on six core thematic areas: information infrastructure; the prevention, prosecution and sanction of cybercrimes; awareness raising, training and dissemination; cooperation and international relations; industrial and productive development; and cybersecurity institutions.
According to Raúl Arrieta, President of the Chilean Law and Technology Institute and Head of Gutiérrez & Arrieta Abogados legal firm, the proposal and creation of this type of law is essential because it relates, “to everyone who plays a role in a country”. For that reason, he says that it is necessary to devise a national policy which includes certain short-term measures.
He explains that the main asset of any modern knowledge-based society is information. This information, therefore, must be safeguarded. Consequently, Arrieta claims that the country needs to generate large investments in telecommunications infrastructure. Failing to follow through in this regard could jeopardize the services that depend on this architecture, such as data and voice applications, in the event of natural disasters, potentially leading to a blackout and consequently endangering the safeguarding of everyone’s information.
Simultaneously, he believes discussions should be held in relation to internet traffic data. “For how long is it stored? Why is it stored? Who has access to it? Does it make sense for a company to store internet traffic data for longer than the period in which customers can lodge a complaint about their billing? What does it mean to store it? What is stored exactly?” These questions are, Arrieta says, just some of the aspects to consider, in addition to acknowledgment of the fact that internet traffic data now includes a wide range of information such as geolocation, connectivity via mobile apps, general internet data, and more.
To confront these challenges, he suggests an amendment to Law 16.628 on information crime, as laid out in the Criminal Procedure Code, regarding the prosecution of related offenses.
Vulnerable sectors
Danic Maldonado, Commissioner of the Cybercrime Unit of the Investigations Police of Chile (PDI) explains that the industry most affected by cybercrime is the finance sector, particularly banking.
He claims that infected emails are especially common. This particular approach works according to the phishing methodology of cheating people out of confidential information in a fraudulent manner, primarily by means of obtaining users’ passwords and bank details.
Maldonado states that reporting of this type of crime increases significantly during periods of large-scale service-related payments, including the purchase of vehicle circulation permits and the income declaration season.
He stresses that while economic cybercrimes are the most widely reported, there are no formal statistics relating to the phenomenon. This is due to the lack of legislation that would make the reporting of these crimes mandatory. Without such a law, there is no basis from which to collect metrics for analysis purposes.
A range of actors recognize the need for public-private partnerships to combat internet banking fraud, as well as the importance of devising suitable legislation and enhancing telecommunications infrastructure.
“The key is for everyone to form part of this process. Both the general public and organizations must understand the value of partnerships of this type in protecting our private information and ensuring that it is safeguarded and secure”, says Jaime Soto.
Investing in security
Despite continuous attempts to carry out cyberattacks and the lack of regulations to legislate against these crimes, Nicolás Corrado, Cybersecurity partner at Deloitte, states that at the corporate level, Chile possesses strong protection technology that helps it to raise security levels. However, as in the rest of Latin America, weaknesses in intelligence monitoring and specialized human capital are constantly “unresolved”, whereas rectifying these shortfalls would enable enhanced detection and rapid response.
“A US company has spent the last few years conducting global analyses of the average financial cost of losses caused by cyberattacks. In 2015, it found that at the global level the annual cost of losses per company was US$7.7 million, which is equivalent to US$400 billion per year. During 2016, this amount has increased by 23%, to US$9.5 million”, says Corrado. He adds that the projection to 2019 for the cost of cybercrime is US$2 trillion.
Specific findings from the report show that the average cost of user identity theft is US$232 per incident. In terms of ransomware (a computer program that restricts access to certain files of an infected system and requests a ransom in exchange for removing the restriction), the average cost is US$157. The cost of cards and even personal details of users is even more highly valued in the deep web (parts of the internet that remain hidden). Approximately 40% of this cost is due to information losses or leaks.
On the other hand, Corrado warns that the impact of the lack of suitable measures at the personal and business levels are considerable and go beyond just economic factors. “While the average cost of information leaks are well documented, the long-term negative effects on company and brand reputation can mean that losses last far longer”, he notes.
Marcelo Zanotti, Management and Technology partner at the consultancy firm EY explains that at the global level the biggest investor in security is the financial sector. Cybersecurity has now become such an important factor that it is no longer considered sufficient to oversee the area from the technology departments of businesses. Rather, he says, it has become, “an issue of senior management and company directors”.
According to EY’s 2015 cybersecurity survey, 89% of companies at the international level had increased their security budgets over the preceding 12-month period, and the same percentage planned to follow suit during the subsequent 12 months (i.e., 2016). With this context in mind, Zanotti says that it is important not to reduce security budgets during periods of economic contraction; in the case of a cyberattack, this would jeopardize the operational continuity of the business and could have serious medium- to long-term consequences. Accordingly, 62% of respondents of the aforementioned EY survey said that budget cuts were the main obstacle to guaranteeing the security of company information.
Counter-cybercrime trends
To combat this danger that transcends borders, different companies have begun to research and create their own solutions. For example, security is a fundamental part of all Google’s tools and products. That is why the company has maintained a full-time team of highly trained security engineers to work towards this end. In Chile, Google conducts local activities on prevention and has even worked with the PDI on counter-cybercrime measures.
In light of the increasing numbers of cyberattacks brought about by digital transformation, since 2014 different companies around the world have chosen to create research and cyberintelligence centers. The aim behind these centers is to detect and combat early web threats, facilitated by the design of test spaces.
Deloitte was one of the pioneers in creating these centers. In 2015, the company inaugurated its own Cyberintelligence centers which were deployed all over the world, including one in Santiago. The centers share information about attacks in order to improve the protection, monitoring and resilience of organizations.
Nicolás Corrado states that, “the Cyberintelligence centers offer a personalized, 24/7 solution for preventing, detecting and responding to cyber threats. They also provide improved cyber performance by managing and interpreting information relating to the particular industry and business in question in order to provide a real-time response”.
IBM is undertaking similar work through the IBM X-Force Command Cyber Range. This space allows users to immerse themselves in simulated cyberattacks to train participants on how to prepare, respond to, and manage a variety of threats. The Range involves the use of live malware, ransomware and other tools utilized by hackers from the real world, extracted from the dark web.
By the end of 2015 and the beginning of 2016, the trend that really began to gain traction in the field of cybercrime was the incorporation of cognitive systems. The reasons why this approach has become an effective cybersecurity tool is due to its ability to collect large amounts of data, to compare this data against registries of previous cyberattacks, to reduce the time in which these actions are undertaken, and to allow for greater assertiveness.
“Currently, it is said that to achieve the same kinds of results (as a cognitive system), an operator would have to read ten thousand documents just to understand the cyberattack, which is impossible for a human but not a computer system”, explains Diego Marcor, Head of IBM Security in Chile.
He continues by explaining that IMB has launched an initiative called Watson For Cyber Security. “Watson, the company’s artificial intelligence system, looks for unstructured information on websites, which account for 75% of the internet, in which the security systems do not arrive as blogs, and (Watson subsequently) links this information with the attack experienced by the relevant company. In this way, Watson suggests possible responses to the attack and how to avoid it”, says Marcor.
The impenetrable blockchain?
Alternatively, there is the blockchain, which is the technological basis behind the workings of Bitcoin and other crypto-currencies. The blockchain consists of a shared and encrypted database that works like a registry of purchases and sales trades or other transactions. It is growing in popularity, particularly in the financial sector.
Precisely because it operates on a collective basis, with multiple information verifiers, experts believe it to be a more secure way of conducting transactions around the world.
Despite its fast rise to prominence, it is only currently available in the United States and certain European countries, although the outlook in terms of its dissemination to other parts of the world is positive. According to Accenture, investment in the blockchain has risen from US$30 million in 2015 to US$75 million in 2016, due to a number of success stories.
In reference to the blockchain, Ignacio Vera, Head of the Operations and Technology Division at Banco de Chile, says that the bank is, “currently evaluating its use in the traceability and security of our monetary transactions”.
Only time will tell if this new platform will be cyberattack-proof.[:]