¿Cómo deberían protegerse las entidades públicas ante un ciberataque?

En el último año distintas entidades públicas y privadas han sido víctimas de ciberataques. Lo anterior, ha comprometido información confidencial de clientes de grandes empresas, así como de los colombianos que han compartido sus datos en esas instituciones.

El caso más reciente de ciberataque fue contra IFX Networks, empresa que brinda soluciones de telecomunicaciones y está presente tanto en Colombia como en otros 16 países de América Latina.

De esta forma, los clientes que contrataron a IFX Networks se vieron afectados por el ciberdelito. De acuerdo a Saúl Kattan, alto consejero para la Transformación Digital de la Presidencia de la República, este fue un “ataque cibernético, un ataque de ransomware en donde no solo atacaron IFX Networks en Colombia, sino otros países. Con esto secuestraron los datos que tenía IFX Networks en sus servidores, en nubes y esto ha afectado empresas y entidades importantes del país”, dijo.

Con este ciberdelito en Colombia se vieron perjudicadas entidades públicas que contrataron a IFX Networks. Dichas instituciones son la Rama Judicial, el Ministerio de Salud, la Superintendencia de Industria y Comercio, la Superintendencia de Salud y Coljuegos. Con esto, han tenido que detener algunos de sus servicios.

¿Cómo deberían protegerse las entidades públicas?

Ahora bien, ante este delito cibernético, en Caracol Radio consultamos expertos para que aclaren cuáles deberían ser las medidas que tomen las instituciones públicas para protegerse y evitar estos casos. Estas mismas sirven también para empresas.

Al respecto, Germán López, director de asuntos legales y regulatorios de la CCIT, comentó que la ciberseguridad es una tarea colectiva que requiere de responsabilidad de todos, promoviendo así la ciber resiliencia de los sistemas. Una medida a tener en cuenta es el “intercambio de información de servicios relevantes o prioritarios. Al momento de evaluar una vulnerabilidad y los sistemas de ciberseguridad, es importante examinar qué sistemas o equipos pueden llegar a comprometer la infraestructura crítica de la información de la compañía. Es por ello que es relevante tener una trazabilidad de las vulnerabilidades para luego poder realizar un análisis causa-raíz, lo que permite tener mecanismos de defensa mucho más eficientes, y documentar las lecciones aprendidas del caso.

Por un lado, Ricardo Pulgarín, arquitecto senior de soluciones de seguridad de Cirion Technologies, aclaró que las entidades públicas pueden hacer varias acciones para protegerse. Entre ellas las principales recomendaciones son:

“Proteger los sistemas de recuperación y realizar copia de seguridad de los datos, porque en caso de incidentes provocados por personas, ransomware o desastres naturales, es esencial adoptar las medidas que permitan una rápida recuperación de datos y sistemas. Es necesario hacer un plan que incluya la definición del punto objetivo de recuperación (RPO) y determine la frecuencia con la que se realizarán los backups, junto con un tiempo objetivo de recuperación (RTO)”, comentó.

A su vez, Pulgarín declaró que considera importante ejecutar simulacros de recuperación. “Este tipo de acciones garantizan que los datos estén disponibles, que cada recurso se pueda recuperar y que todo funcione como se espera. Hay que sumarles una correcta comunicación a lo largo de la cadena de mando establecida y la definición de responsabilidades de equipos y personas”.

Del mismo modo, el experto de Cirion Technologies confirmó que es necesaria la formación y concientización en ciberseguridad, pues cree que establecer la seguridad de los datos tiene que ser una prioridad para cualquier entidad. Otra de sus recomendaciones es definir e identificar la superficie de un posible ataque. “Es importante tener claro cuáles son los sistemas, dispositivos y servicios de su entorno necesarios para mantener sus datos sensibles. Esto les ayudará a identificar sus frentes más vulnerables y a trazar la línea base de recuperación del sistema”.

Mientras tanto, Diana Robles, Líder de ciberseguridad de IBM Colombia, Perú, Ecuador, Venezuela y Región Caribe, aclaró que necesario definir quiénes en las entidades o empresas tienen accesos a la información. “Tener un enfoque Zero Trust o Confianza Cero, que consiste en que los accesos deben ser otorgados a quien en realidad lo necesita para cumplir su función. Entre menos personas tengan información sensible o contraseñas que comprometan la seguridad, menor será el riesgo”.

Preguntas necesarias en la ciberseguridad de las entidades

Por otra parte, Ibett Acarapi, jefe de Ventas de Seguridad en la Nube de Intel, comentó que para protegerse las entidades o empresas pueden resolver un par de preguntas. “Es clave estar informado para protegerse y hacerse preguntas para determinar la prioridad de seguridad y las inversiones con quienes se están haciendo negocios”. En este sentido, indicó que las preguntas serían:

• ¿Tienen un informe de seguridad que pueda brindarle visibilidad de sus inversiones en estrategias de seguridad y los resultados que están obteniendo en seguridad?
• ¿Tienen un centro de excelencia en seguridad y qué ha resultado de ahí?
• ¿Cuáles son sus prácticas de desarrollo seguras y procesos disciplinados para los productos?
• ¿Cómo manejan la vulnerabilidad y la divulgación?
• ¿Cómo trabajan con la investigación de seguridad y descubren problemas antes de que puedan verse comprometidos?

Además, aconsejó tener una estrategia de recuperación “ante desastres y copia de seguridad, como Intel EMA, que permite la recuperación remota de dispositivos. Aislar y contener las amenazas con tecnologías como Intel SGX”.

¿Cómo actuar tras un ataque?

Diana Robles, Líder de ciberseguridad de IBM Colombia, Perú, Ecuador, Venezuela y Región Caribe, aclaró que contar con un experto es fundamental. “Cuando ocurren los ataques, es muy común perder el control del sistema, por ejemplo, que el cursor se mueva solo, tomando el control de los comandos para acceder a información específica o programas”.

Del mismo modo, explicó que es común que en estos casos las víctimas reciban mensajes. “También, ya sea en un ataque masivo de Ransomware o hasta un troyano en una computadora, la pantalla cambia a un color sólido como rojo, verde o azul. Incluso, cuando la intención inmediata de un ciberdelincuente es cobrar un rescate, suele aparecer un mensaje de alerta pidiendo un pago a cierto término de días, y amenazando con borrar los archivos”.

La experta de IBM, señaló que es importante no caer en la trampa de pagar de inmediato. “Ante este tipo de alertas, lo más importante es asesorarse por expertos y no pagar por los rescates, porque puede llevar a nuevos cobros o secuestros de más información”.