Con la expansión del entorno digital, las empresas peruanas también están expuestas a nuevos peligros. Por ello, el foco en la ciberseguridad será crucial para no poner en juego los datos y evitar posibles afectaciones económicas.
Así, las empresas estarían apuntando a mejorar su infraestructura digital con el apoyo de un presupuesto extra, señala Orlando Perea, director general de Noventiq Perú. Esta inversión adicional sería más notorio entre las empresas privadas que dan servicios a clientes, seguros, retail.
“Están destinando entre el 20 y 25% de su presupuesto de TI (tecnología para la información) para elementos con el fin de evitar ataques de ciberseguridad, como el análisis de vulnerabilidades, servicios de Pentesting, servicios gestionados, adquisición de hardware, implementación de sistemas de doble o triple autentificación para temas más sensibles, y acceso biométrico”, mencionó en diálogo con gestion.pe.
LEA TAMBIÉN: Aumenta el número de ciberataques vía formularios de ofertas laborales
De acuerdo a las cifras de Perea, la variación de inversión en estos temas creció en aproximadamente 57% entre del 2020 al 2021. Durante esos años, también aumentó el promedio del número total de ciberataques entre 15 a 20% en la región, posicionando -para mal- al Perú dentro de los primeros puestos, justo por detrás de México, Colombia y Brasil que se mantienen como los más atacados.
Según Perea, por cada US$ 1,000 que un cliente invirtió en herramientas y procesos de ciberseguridad en el 2020, el 2021 invirtió US$ 1,570. Sin embargo, en el año 2020 dicha inversión aumentó a un promedio de US $1,960 por año, es decir, la inversión casi se duplicó en 2 años y la prioridad en los planes de TI fue considerada como máxima.
A ello, agregó que los clientes con los que trabajan consideran en promedio entre 3% y 4% de su facturación anual dentro de sus planes anuales de presupuestos para invertir en TI, sumado a que las entidades de gobierno son las que -en su mayoría- solicitan estas evaluaciones debido a la gran cantidad de información que manejan y por su nivel de sensibilidad.
“Las entidades de gobierno que brindan servicios al ciudadano, como SAT, Sunat, Reniec, etc, también tienen una base de datos enorme porque sus clientes son los ciudadanos. Imagínate que sufran este tipo de ataques, aquí las consecuencias pueden ser destrozas”, advirtió.
Por este motivo, estas entidades tienen como principal preocupación, cómo le pueden dar un servicio al ciudadano que sea más eficiente, pero que les garantice que lo que ellos están registrando a través de estos servicios digitales no les vaya a traer un perjuicio. “Muchos de los servicios se han digitalizado, pero todavía es muy incipiente. Hay un 85% de servicios que esperan serlo”.
LEA TAMBIÉN: UE evalúa que empresas tecnológicas paguen por infraestructura de internet
Un problema por resolver
Si bien la ciberseguridad está de moda, el nivel de incidencia puede variar en determinados países. Y es que en el Perú aún resulta un tema tabú.
“Hablar de ciberseguridad en el Perú es complicado, a las empresas no les gusta reconocer que pueden ser vulneradas, atacadas o que fueron atacadas, y si lo fueron, qué perdidas tuvieron. Más allá del tema de la propia vulnerabilidad informática, hay todo un tema de imagen, hay un tema de reputación que se puede ver afectada”, señaló Perea.
Según Mauricio Gómez, presidente y cofundador de Fluid Attacks, las industrias más maduras son las que representan un mayor número de solicitudes de análisis, dado el nivel de regulación que posee, por ejemplo, el financiero, salud y aerolineas, entre otras más.
LEA TAMBIÉN: Arequipa e Ica entre las regiones con mayores transacciones de criptomonedas
“Lo que estamos viendo en la región y se ve en el caso Perú, son empresas creciendo en la tecnología, tratando de llegar y ser más competitivos en el mercado. Hoy está muy popularizado los impactos negativos de los ransonware, cómo afecta en la disponibilidad de los servicios y eso impacta a nivel comercial. Ahora vemos clientes más maduros y entendiendo circunstancias, invirtiendo en temas de ciberseguridad, para remediar rápidamente”, señaló el ejecutivo de la empresa dedicada a la ciberseguridad.
Como se recuerda, el último ataque conocido de ransomware, un método que cifra la información y pide rescate por ella, se efectuó por el grupo cibercriminal Conti en el 2022, cuando se vio comprometida una entidad gubernamental peruana como daño colateral tras el ataque a Costa Rica y por la que se pidió una recompensa de US$ 10 millones.
En esa línea, destacó que es importante que las empresas entiendan que a medida que se construye la tecnología, se debe apuntar a cerrar las brechas de seguridad.
“Si tú tienes algo de tecnología y te coge un ransonware, está en peligro tu operación de 3 a 9 meses. Este ciberataque te deja fuera de servicio mientras se arregla el problema”, mencionó.
LEA TAMBIÉN: Robos de criptomonedas alcanzan récord de US$ 3,800 millones en 2022
Prevenciones
En ese sentido, según Gómez, los empresarios deben procurar reducir la vulnerabilidad desde el comienzo del proyecto para evitar complicaciones a futuro.
“Los empresarios deben cerrar las vulnerabilidades en etapas tempranas, cuando es mucho más económico y más rápido, de tal forma que los pasos a producción, la entrega de valor de la tecnología que cada uno hace hacia sus clientes, sea libre de vulnerabilidades y con riesgo mitigado”, mencionó.
Para menguar el impacto negativo, más empresas adoptan nuevas posturas con relación a la ciberseguridad. Según los datos de Noventiq, del 2021 al 2022, han aumentado en 200% la cantidad de pruebas de Pentesting, “un hackeo ético, donde el cliente nos permite acceder a la infraestructura de tecnología para determinar cuáles son las vulnerabilidades que nosotros podemos descubrir, como si fuéramos los hackers, y posibles consecuencias de estas vulnerabilidades”.
“En el Perú han aumentado las pruebas de seguridad para estar pendientes en el cierre. La idea es que se brinde feedback para que se remedie, y eso empieza a ganar tracción en los empresarios en la región”, señaló Perea.
De esa manera se detectan las posibles vulnerabilidades en las redes de Wifi, networking, system, y las VPN de trabajadores que están fuera de la red de la compañía; así como a la falta de actualización de los sistemas operativos de las empresas.
“La falta de actualización de los sistemas es un problema que viene desde hace años, pero sigue pasando, y es que cuando se está construyendo la tecnología se usa software con vulnerabilidades. La mayor vulnerabilidad en la exposición de riesgos, fue justamente que se utiliza sistemas operativos con problemas conocidos. La gente no está realizando updates a tiempo”, finalizó.
LEA TAMBIÉN: Surgen nuevos esquemas de estafa piramidal en paquetes educativos para invertir en bolsa