Innovación

Hackeos al mercado asegurador: hay que tomar en serio la ciberseguridad, adoptar medidas preventivas y analizar estrategias de Confianza Cero

Carlos Rivero, Director de Ciberseguridad de KPMG Argentina.
100% SEGURO entrevistó a Carlos Rivero, Director de Ciberseguridad de KPMG Argentina, sobre la actualidad de la seguridad informática en la postpandemia, los ciberataques que más crecieron últimamente y las claves para que el seguro tome medidas eficaces para prevenir y evitar nuevos ataques vía ransomware.

ENTREVISTA EXCLUSIVA.- La seguridad informática está hoy el centro de la escena. Los hackeos que sufrió el mercado asegurador -no solo a una aseguradora top10 del sector sino al propio organismo de control- obligan a elevar fuertemente los estándares para proteger a la actividad de los crecientes ciberataques que se dan a nivel global. Se trata, en definitiva, de cuidar los activos más importantes: el dato y el asegurado.

Para ello, dialogamos con Carlos Rivero, Director de Ciberseguridad de KPMG Argentina, consultora especializada en el tema, referente en la materia. Una opinión necesaria, máxime en este momento.

¿Qué diagnóstico tienen en KPMG Argentina respecto de la seguridad informática en la postpandemia, a partir de la hiperdigitalización y las operaciones remotas que se dieron de un día para el otro tras las restricciones por el Covid?

La pandemia ha acelerado la adopción de tecnologías digitales y ha llevado a muchas organizaciones a implementar operaciones remotas de manera abrupta. Si bien la digitalización y la adopción de operaciones remotas han proporcionado ciertos beneficios, también han creado nuevos desafíos en términos de seguridad informática. Algunos de los desafíos que enfrentan las organizaciones incluyen:

  • Aumento de la superficie de ataque: la adopción de tecnologías digitales y la implementación de operaciones remotas han aumentado la superficie de ataque de las organizaciones, lo que significa que hay más puntos de entrada para los atacantes. Las organizaciones ahora tienen que proteger una gran cantidad de dispositivos, aplicaciones y datos que están distribuidos en diferentes ubicaciones.
  • Falta de seguridad en los dispositivos personales: muchos empleados han comenzado a trabajar desde sus hogares y utilizan sus dispositivos personales para acceder a los recursos de la empresa. Esto puede ser un problema de seguridad, ya que estos dispositivos pueden no tener las medidas de seguridad necesarias para proteger los datos de la empresa.
  • Aumento de los ataques de phishing: los ataques de phishing se han vuelto más comunes durante la pandemia, ya que los atacantes aprovechan el miedo y la incertidumbre relacionados con el virus para engañar a las personas y robar información confidencial.
  • Ciberdelincuencia en aumento: la pandemia ha llevado a un aumento en la ciberdelincuencia, con un aumento en los ataques de ransomware, los ataques de denegación de servicio (DDoS) y otros tipos de ataques.

En resumen, la hiperdigitalización y la adopción de operaciones remotas han presentado nuevos desafíos en términos de seguridad informática, y las organizaciones deben tomar medidas para protegerse contra estos riesgos. Esto incluye la adopción de medidas de seguridad, como la autenticación multifactor y el cifrado de datos, así como la formación de los empleados sobre las mejores prácticas de seguridad informática.

¿Cuáles son los tipos de ciberataques que más crecieron durante este último tiempo? ¿Dónde encuentran los hackers las mayores vulnerabilidades de las organizaciones?

Cabe destacar que, de acuerdo con una reciente encuesta que realizamos desde KPMG a más de 600 directivos, el 83% afirmó que su empresa ha sufrido al menos un ciberataque en los últimos 12 meses. El 85% para entidades en el sector financiero.

Los tipos de ciberataques que más crecieron en los últimos 12 meses son el Phishing (se ha incrementado un 44%), Spyware o Malware (22%), el Ransomware (20%), Social Hacking (17%) y el ataque de Denegacion de Servicio (10%).

Los ciberdelincuentes pueden encontrar vulnerabilidades en una organización a través de varias formas, como la ingeniería social, la explotación de vulnerabilidades de software conocidas o la búsqueda de sistemas mal configurados o no actualizados. Además, la falta de capacitación en seguridad y la falta de mejores prácticas de seguridad pueden dejar a una organización vulnerable a los ataques. Por lo tanto, es importante que las organizaciones tomen medidas para proteger sus sistemas y datos, como la implementación de medidas de seguridad, la formación de los empleados y la actualización regular del software y las políticas de seguridad.

Semanas atrás, una aseguradora líder tuvo un ataque tipo ransomware y una extorsión para liberar los datos encriptados. ¿Cómo actúa ese tipo de ataque informático, cómo se pueden prevenir y qué se debe hacer si uno es víctima de ello?

Un ataque de ransomware es un tipo de ciberataque en el que un delincuente informático utiliza software malicioso para bloquear el acceso a archivos o sistemas informáticos y luego exige un rescate para restaurar el acceso. Típicamente, se actúa en etapas tales como Infección, Encriptación, Demanda del rescate y Pago del rescate.

Infección: el ransomware se introduce en el sistema informático de la víctima a través de un correo electrónico de phishing, un enlace malicioso, una descarga de software infectado o una vulnerabilidad de seguridad.

Encriptación: una vez que el ransomware está en el sistema, comienza a cifrar los archivos del usuario, haciendo que sean inaccesibles. A menudo, el ransomware se enfoca en archivos importantes, como documentos, fotos y archivos de base de datos.

Demanda de rescate: después de cifrar los archivos, el ransomware muestra un mensaje de rescate en la pantalla del usuario, informando que los archivos solo pueden ser desbloqueados con una clave de cifrado, que solo el atacante tiene. Se exige un rescate en criptomonedas para obtener la clave de cifrado.

Pago del rescate: si la víctima accede a pagar el rescate, se le proporciona la clave de cifrado para desbloquear los archivos. Sin embargo, no hay garantía de que el delincuente informático proporcionará la clave o que los archivos serán desbloqueados después del pago.

En general, un ataque de ransomware puede ser muy perjudicial para una empresa o individuo, ya que puede causar la pérdida de datos valiosos y costosas interrupciones en los procesos de negocio. Por lo tanto, es importante tener medidas de seguridad adecuadas para prevenir estos ataques y estar preparados para responder si ocurren. Entre ellas:

  • Mantener el software actualizado: asegurarse de instalar las últimas actualizaciones de software y parches de seguridad para evitar la explotación de vulnerabilidades conocidas.
  • Utilizar software antivirus: instalar software antivirus y mantenlo actualizado para proteger tu sistema contra malware.
  • Capacitar a los empleados: proporcionar capacitación a los empleados sobre cómo identificar y prevenir ataques de phishing y ransomware.
  • Implementar políticas de seguridad: establecer políticas de seguridad claras y asegúrate de que todos los empleados las conozcan y las sigan.
  • Realizar copias de seguridad regularmente: realizar copias de seguridad regularmente de los datos críticos y almacénalos en un lugar seguro fuera de línea para evitar la pérdida de datos en caso de un ataque.
  • Utilizar autenticación de dos factores: usar la autenticación de dos factores para agregar una capa adicional de seguridad a las cuentas en línea.
  • Limitar los permisos de acceso: limitar el acceso a los sistemas y datos a aquellos empleados que lo necesitan para realizar su trabajo.
  • No pagar el rescate: se recomienda no pagar el rescate exigido por los atacantes, ya que no hay garantía de que recuperarás tus datos y solo perpetúa el ciclo de ataques, es decir, te convertís en una compañía pagadora, lo cual hace que seas target nuevamente.

En la previa de Semana Santa, fue la Superintendencia de Seguros la que sufrió un ciberataque. ¿Son los organismos públicos los más vulnerables? ¿Existen estándares mínimos de seguridad informática que se fijan o deberían fijarse desde los reguladores, para elevar la protección de datos de clientes?

Los organismos públicos pueden ser particularmente vulnerables a los ataques de ransomware debido a la naturaleza crítica de los servicios que proporcionan. Sin embargo, no es necesariamente cierto que sean los más vulnerables ya que cualquier organización, independientemente de si es pública o privada, puede ser objeto de un ataque de ransomware. Generalmente, por las cuales los organismos públicos pueden ser más vulnerables son:

Falta de presupuesto: muchas organizaciones públicas tienen presupuestos limitados para la seguridad informática, lo que puede hacer que sea más difícil invertir en tecnología y medidas de seguridad adecuadas.

Complejidad de la red: los organismos públicos a menudo tienen una infraestructura de red compleja, con múltiples sistemas y dispositivos interconectados. Esto puede hacer que sea más difícil para los administradores de red monitorear y proteger la red contra amenazas.

Información sensible: las organizaciones públicas manejan información crítica y sensible, como datos personales y financieros, y cualquier interrupción en el acceso a esta información puede tener graves consecuencias.

Dependencia del servicio: muchos organismos públicos brindan servicios esenciales, como atención médica y servicios de emergencia, y cualquier interrupción en estos servicios puede tener graves consecuencias para la salud y la seguridad pública.

En conclusión, si bien los organismos públicos pueden ser particularmente vulnerables a los ataques de ransomware, cualquier organización puede serlo si no toma las medidas adecuadas para proteger sus sistemas y datos. Es importante que todas las organizaciones tomen en serio la ciberseguridad y adopten medidas adecuadas para prevenir y responder a los ataques de ransomware.

Existen estándares mínimos de seguridad informática que se fijan o deberían fijarse desde los reguladores para elevar la protección de datos de clientes. Y se establecen a través de regulaciones y leyes de protección de datos que imponen ciertos requisitos mínimos de seguridad y privacidad para las organizaciones que manejan información personal.

Por ejemplo, en la Unión Europea, el Reglamento General de Protección de Datos (RGPD) establece una serie de requisitos para la protección de datos personales, incluyendo la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. Además, la Directiva de Seguridad de las Redes y la Información de la UE establece requisitos de seguridad para los proveedores de servicios digitales.

En Estados Unidos, la Ley de Privacidad y Seguridad de la Información de la Industria de Servicios Financieros (Gramm-Leach-Bliley) establece requisitos mínimos de seguridad para las instituciones financieras. A su vez, la Ley de Notificación de Brecha de Seguridad de California exige que las empresas informen a los clientes si se produce una violación de datos personales.

Además de estas leyes y regulaciones, existen estándares y marcos de seguridad informática desarrollados por organizaciones internacionales, como el ISO 2700n NIST, que establece un marco para la gestión de seguridad de la información y la protección de datos personales.

A propósito de los casos recientes de hackeos en el mercado asegurador, ¿qué acciones deberían tomar el sector para no perder la confianza de sus clientes en la cesión de sus datos personales?

Si bien Argentina cuenta con una estrategia de ciberseguridad nacional que se establece a través de la Ley de Protección de Datos Personales y la Estrategia Nacional de Ciberseguridad, así como otros organismos y entidades involucrados en la promoción y gestión de la ciberseguridad en el país, ésta no se alinea a una estrategia de ciberseguridad de tipo Confianza Cero (Zero Trust).

Dicha estrategia establece un mejor marco de protección para las compañías ya que se basa en la premisa de que la seguridad debe estar incorporada en todas las capas de la infraestructura de TI, desde la red hasta los datos y las aplicaciones. De esta forma, se reduce el riesgo de que un atacante pueda penetrar en la red o sistema de la compañía y comprometer los datos o sistemas críticos.

Al implementar una estrategia de Zero Trust o Confianza Cero, las compañías pueden:

  • Verificar de manera continua la identidad y autorización de cada usuario, dispositivo o aplicación que accede a la red o sistemas.
  • Limitar el acceso de los usuarios solo a los recursos y datos que necesitan para realizar su trabajo, en lugar de otorgar acceso indiscriminado a toda la red o sistemas.
  • Monitorear y analizar el tráfico de red para detectar posibles amenazas y anomalías, y actuar de forma proactiva para mitigarlas.

Además, la estrategia de Zero Trust puede ser complementada con otras medidas de seguridad, como el cifrado de datos, la autenticación de múltiples factores y la segmentación de la red, para aumentar aún más la protección de los sistemas y datos de la compañía.

En conclusión, la adopción de una estrategia nacional de Confianza Cero o Zero Trust puede ser beneficiosa para mejorar la seguridad de los sistemas y datos gubernamentales y establecer un marco de seguridad más sólido y eficaz para el país en general.