Vivimos en una sociedad completamente dependiente de la tecnología. De hecho, la generación millennial no conoce un mundo sin movilidad e Internet, ya que prácticamente están conectados todo el tiempo a través de sus celulares, tablets, computadoras personales, así como de electrodomésticos inteligentes y dispositivos portátiles tipo accesorio.
Año con año, la cantidad de datos que los millennials producen y publican en línea aumenta de manera exponencial, lo que provoca un incremento de información sensible que se genera, almacena y comparte. Aun así, sólo pocos países de América Latina ofrecen programas educativos, a nivel posgrado, que incluyen a la ciberseguridad como un componente integral.
El número de programas dedicados a preparar a profesionales en ciberseguridad es menor. En ese sentido, la pregunta es: ¿por qué la generación más “conectada” es la que enfrenta la escasez de personal calificado? El problema comenzó con la falta de comunicación con la generación anterior de no-usuarios de Internet.
El malware más común
Con frecuencia, los padres de familia les dan el mismo consejo a sus hijos todos los días: “No hables con extraños”, “No le abras la puerta a extraños”, “No aceptes dulces de extraños”, sin embargo, nunca consideran advertirlos sobre su equivalente digital: “No hables con extraños en Facebook ni aceptes a amigos que no conoces en persona. No abras e-mails de direcciones desconocidas. No descargues aplicaciones gratuitas o programas que te ofrecen sin que los hayas solicitado.” De hecho, esta última advertencia puede prevenir a muchos de convertirse en víctimas del malware más común en América Latina: el ransomware. Muchas aplicaciones que ofrecen servicios gratis, son usadas como puertas traseras para obtener información de los usuarios.
Actualmente, los cibercriminales han cambiado sus intereses ya que, además de robar información financiera como cuentas de banco o números de tarjetas de crédito (las cuales pueden ser canceladas, bloqueadas o cambiadas), también recopilan datos que pueden utilizarse para robar la identidad del usuario (lo que no puede modificarse fácilmente).
Otro crimen informático que día con día se torna más común es el “secuestro” de información personal. Los cibercriminales codifican los datos de los dispositivos portátiles o personales y los propietarios deben pagar un “rescate” para volver a tener acceso a ellos. ¿Cuánto estás dispuesto a pagar por recuperar todos los números de teléfono de tus contactos? ¿Cuánto por las fotografías de tu último cumpleaños o por las de su ser querido que se ha ido a disfrutar de un viaje prolongado?
La respuesta es entre USD$20 y USD$50, por lo que los cibercriminales deben atacar a un número muy grande de la población para lograr alguna ganancia. De acuerdo con estimaciones, lo logran y de manera exitosa, ya que generan millones cada año.
Definiendo el cibercrimen
¿Qué es el cibercrimen? Las leyes sobre ciberseguridad y cibercrimen difieren en cada país por diversas razones, desde espionajes industriales hasta los daños a infraestructuras importantes o bien, desde accesos no autorizados a sistemas computacionales hasta el mal uso de información sensible o personal, incluso aplicando el bullying cibernético a los cambios en los contratos de privacidad.
Uno de los dilemas más comunes involucra el robo de fotografías o información personal publicada en redes sociales privadas como Facebook. Los ladrones vuelven a publicar las fotografías en foros públicos o se hacen pasar por esa persona. ¿Esto se considera un crimen? Desafortunadamente, no lo es en algunos países. ¿Qué pasa si las fotografías robadas son retocadas como fotos de desnudo? En un gran número de países aún no existe una base legal para perseguir este tipo de robo. Por lo anterior, se necesita llevar a cabo un consenso general para determinar lo que constituye un cibercrimen. Las transgresiones pueden ser muy diversas y los ataques virtuales, por lo que éstos se pueden originar desde cualquier parte del mundo.
Crear un nuevo marco legal en seguridad cibernética, y actualizar los que ya existen, es un primer paso esencial para proteger, de manera adecuada, a los ciudadanos del siempre cambiante panorama de amenazas informáticas. Las políticas en ciberseguridad deben tener una aplicación holística que considere a los sectores público y privado, así como al comercio y la milicia.
En ese sentido, sólo los países más grandes y ricos de América Latina son los que muestran mayor disposición para enfrentar estos retos de ciberseguridad. México, Brasil, Argentina, Chile, Colombia y Perú, son de los pocos países que se han preparado, desde el punto de vista tecnológico, para trabajar en la promulgación de leyes contra crímenes informáticos y estableciendo agencias de seguridad cibernética para proteger la infraestructura crítica, sin embargo, estas estrategias han atravesado por diferentes niveles de madurez; algunos requieren de la cooperación de diversas entidades gubernamentales mientras que otros simplemente definen los derechos y responsabilidades de los usuarios de Internet.
Las leyes no significan nada sin las fuerzas del orden
Cuatro de cada cinco países en la región de América Latina y el Caribe no cuentan con infraestructura de protección. El cibercrimen no sólo se concentra en lo individual, puede tener un impacto global; por ejemplo, si un ataque que se origina en México compromete a una organización en Brasil que, a su vez ofrece servicios de abastecimiento a una empresa colombiana, la cual tiene contratados los servicios de almacenamiento de activos e información con un Centro de Datos en los Estados Unidos, entonces ¿cuál país debe ser responsable de perseguir a los culpables? Además, no todos los países cuentan con agencias policiales y de inteligencia o con equipos de respuesta para este tipo de incidentes. El establecimiento de leyes sin el apoyo de las fuerzas del orden que las respalden, no lograrán mucho.
El mejor ejemplo que ilustra la clara falta de cuerpos de seguridad es la frecuencia, no regulada, de correos spam y las llamadas de telemercadeo. Los correos spam ofrecen descuentos en las tiendas de su preferencia, servicios que estaría dispuesto a contratar o incluso páginas web que frecuenta. Éstos e-mails están hechos a la medida de sus necesidades y hábitos conductuales pero ¿de dónde proviene esa información y, aún más importante, quién se las da?
La respuesta es que no sabemos pero podemos, y debemos, contar con el derecho legal para averiguarlo. Si solicita ser removido o dado de baja de una lista de correo, lo más probable es que sea ignorado o le den una respuesta poco satisfactoria. Los ciudadanos no cuentan con las herramientas para protegerse ellos mismos de las compañías que venden su información y tampoco existe una agencia a la cual acudir para apoyo legal.
El gobierno puede enfrentar la falta de talento en seguridad, a través de la creación de empleos para los millennials. Las agencias de seguridad necesitarán de profesionales altamente preparados que entiendan las amenazas más avanzadas y recientes. Las universidades tendrán que incluir programas avanzados a fin de proveer a la siguiente generación con oficiales de las fuerzas del orden, especializados en ciberseguridad.
Aunque los gobiernos deberían promover la necesidad por empleos en ciberseguridad, las universidades y las redes de estudiantes graduados deberían tener la iniciativa y el incentivo para ofrecer educación avanzada. Todos los programas universitarios deberían considerar, de alguna manera, el tema de la ciberseguridad, ya que cada vez se volverá más difícil encontrar empleos para profesionistas que no requieran habilidades computacionales y tecnológicas.
Por otro lado, los estudiantes graduados están conscientes que el panorama de amenazas es un mundo virtual que cambia constantemente y, que diferentes tipos de malware son creados diariamente para explotar las vulnerabilidades de los programas, sitios web, sistemas de seguridad y de todas las demás cuentas almacenadas en la red.
Un título universitario de hace cinco años ya no es suficiente si la persona no se ha mantenido actualizada sobre las intrusiones más recientes, soluciones en seguridad cibernética, amenazas informáticas y debilidades generadas por los avances tecnológicos. La generación millennial también necesita buscar opciones, con el objetivo de crear estos cambios para que el marco legal defina el cibercrimen y los estándares de ciberseguridad. Si no existen cursos de posgrado o seminarios gubernamentales, entonces los eventos públicos de las compañías especializadas en seguridad informática son la mejor opción para aprender de los expertos en la industria.
– Pedro Paixao, vicepresidente de Ventas Internacionales de Fortinet y gerente general de América Latina
