El artículo de Ruiz Guevara destaca la importancia de la concientización en ciberseguridad, impulsada por la campaña del Mes Nacional de Concientización sobre Ciberseguridad (NCSAM) en EE.UU. Empresas como Microsoft y Google promueven iniciativas para educar en ciberprotección, mientras que estadísticas globales revelan que el ransomware y el malware son grandes amenazas, afectando sectores como la educación. En Perú, la demanda de especialistas en ciberseguridad supera la oferta, pese a la reciente creación de programas académicos en la Universidad Nacional de Ingeniería.
Octubre: Concientización de la Ciberseguridad
El articulista cita una gran verdad que se dice entre los profesionales de los centros de datos: “Todos se preocupan, pocos se ocupan”.
(americasistemas.com.pe. Lima, Perú – 30 de octubre 2024) La concientización sobre la ciberseguridad es una novísima función desde las áreas de tecnologías de la información, en todas las organizaciones, estatales o privadas, grandes o pequeñas, es una tarea fundamental para preparar a los proveedores, servidores y clientes, a la ciudadanía, sin excepción, para que se conviertan en la primera línea de protección contra las estafas en la redes sociales, en los contratos sobre adopción de tecnologías, frente a las plataformas digitales de todo tipo, que hoy en día generan grandes problemas de seguridad.
En esta circunstancia, octubre se instituye como el Mes Nacional de Concientización sobre Ciberseguridad (NCSAM, de las siglas en inglés), una campaña crucial que dirige el Departamento de Seguridad Nacional (DHS) de Estados Unidos.
Téngase presente que el software malicioso se utiliza para obtener acceso no autorizado a los sistemas informáticos, robar datos, interrumpir los servicios del sistema o causar daños a las redes informáticas.
Movilización de las empresas
Empresas como Microsoft publicaron: “Octubre es el Mes de Concientización sobre la ciberseguridad, y la ciberseguridad es para todos, en octubre y durante todo el año. La brecha de ciberhabilidades es real y creciente, evoluciona rápidamente, por lo que siempre aprenderás y desarrollaras nuevas habilidades”. Se refieren a habilidades de ciberprotección, en síntesis. En 2022, Microsoft mitigó una media de 1 435 ataques DDoS diarios.
– El número máximo de ataques diarios fue de 2 215 el 22 de septiembre de 2022.
– El número mínimo de ataques diarios fue de 680 el 22 de agosto de 2022.
– El número total de ataques únicos mitigados en 2022 fue de más de 520.000.
Google, a su vez, ejecuta durante octubre un mes entero para realizar un trabajo de concientización entre los usuarios, lo que se vuelve una tarea fundamental. Implementó algunas actualizaciones que alivian la responsabilidad de seguridad para los internautas en varios de sus productos. La empresa hace un recorrido sobre sus passkeys (claves cifradas), informes de Dark Web (Dark web o internet oscura, contenido de la World Wide Web que existe en darknets, redes que se ocultan o superponen a la internet pública y requieren de software específico y autorización de acceso) y más, conforme dio a conocer Royal Hansen, vicepresidente de Ingeniería para Privacidad, Protección y Seguridad.
Datos del mundo
Solo en el sector Educación, a escala mundial, los ataques de ransomware (secuestro de datos) en instituciones de estudios superiores causaron pérdidas de 53 mil millones de dólares desde el año 2018 hasta el 2023. Dichos ataques tuvieron un alcance de 6,7 millones de datos personales (Jorge García M., Deltaprotect).
Revisando información de Techopedia, publicada el 05 de octubre último, en relación a ciberataques con malware (códigos de ransomware, troyanos y spyware, escritos intencionadamente para dañar los sistemas informáticos), en 2023, se generaban 300mil nuevas instancias de malware al día, el 92% distribuidas por correo electrónico, con una media de 49 días para ser detectadas.
4,1 millones de sitios web están infectados con malware. Y se ha descubierto que el 18% de los sitios web contienen amenazas críticas para la ciberseguridad.
Además, el 97% de todas las brechas de seguridad en sitios web aprovechan plugins (pequeños programas complementarios que amplían las funciones de aplicaciones web y programas de escritorio) de WordPress. De los 47 337 plugins maliciosos instalados entre 2012 y 2021, el 94 % estaban activos en 24 931 sitios web de WordPress diferentes, cada cual alojaba dos o más plugins maliciosos.
Según el SANS, Software Security Institute, las vulnerabilidades más comunes son:
– Compromiso del correo electrónico empresarial.
– Protocolos heredados.
– Reutilización de contraseñas.
El informe Psicología de las contraseñas de LastPass presenta conclusiones, que merecen un detenido análisis, sobre las emociones y los comportamientos de los encuestados en relación con la seguridad en línea, donde, entre otros, se verificó lo siguiente:
– El 45% de los encuestados no había cambiado sus contraseñas en el último año, incluso después de una brecha de seguridad.
– El 79% está de acuerdo en que las contraseñas comprometidas son preocupantes.
– El 51% confía en su memoria para recordar las contraseñas.
– El 65% utiliza siempre o casi siempre la misma contraseña o una variante.
De los 3 750 profesionales encuestados en siete países, sólo el 8% afirmó que una contraseña segura no debe tener vínculos con información personal. La mayoría de los usuarios crean contraseñas que se basan en información personal vinculada a datos públicos potencialmente accesibles, como la fecha de cumpleaños o la dirección del domicilio.
El impacto de la inseguridad digital en la economía afecta a todos los países, a todas las empresas y amenaza a todos los ciudadanos.
En Perú
La normatividad peruana instituye al Oficial de Seguridad Digital, función que exige una preparación específica y todos los sondeos establecen la escasa disponibilidad de profesionales especializados en ciberseguridad. Los organismos estatales, entre municipalidades, organismos descentralizados y ministerios, suman más de dos mil quinientos, pero no hay experiencia calificada suficiente ni certificaciones o grados que acrediten la posibilidad de cubrir tal cantidad de especialistas y sus respectivos grupos de operación en ciberseguridad.
Pero la cifra requerida para cubrir puestos en ciberseguridad es mucho mayor, recuérdese que todas las universidades y colegios deben contar con un Oficial de Ciberseguridad y, dependiendo del tamaño de la entidad, además de un equipo de operadores. Al sumar a las empresas privadas del país, se confirma que es un sector en donde hay medidas urgentes que aplicar para superar el trance digital, la inseguridad en la protección de los datos y en las plataformas digitales, en las organizaciones y en toda la ciudadanía.
Entre los profesionales de los centros de datos hay un dicho dramático: “Todos se preocupan, pocos se ocupan”.
Hoy es común citar diarios ciberataques. La Policía Nacional ya cuenta con una Dirección especializada; los organismos del Estado son permanentemente invadidos por códigos intrusos, las computadoras personales ya no son atacadas por virus, solamente, también por el acceso remoto de delincuentes en búsqueda de las claves de los bancos o de la información privada. En Perú existen altos niveles de inseguridad digital, a pesar del profesionalismo de quienes están desempeñándose en responsabilidades asociadas. Y una razón es el insuficiente intercambio de experiencias, otra es la reserva de información que practican las empresas para dar a conocer sus casos de ciberseguridad, relativizando la sistematización del conocimiento sobre la materia.
Cabe destacar la iniciativa de la Universidad Nacional de Ingeniería, donde se creó la Carrera Profesional de Ingeniería de Ciberseguridad y la Maestría en Gobierno y Gestión de la Seguridad Digital. Ambas ofertas académicas son las únicas en nuestro medio, por ahora. En el primer caso, los primeros ingenieros egresarán en dos años y los primeros especialistas iniciarán su posgrado en breve, el 21 de octubre de 2024.
Sea octubre un espacio para sensibilizar en ciberseguridad, para que todos adquieran información relevante para adecuar sus comportamientos en las redes, en el empleo de sus claves, de sus datos y, en general, de sus recursos digitales.
Artículo escrito por: Guillermo Ruiz Guevara
Licenciado en Educación, con Maestría en Ingeniería de Sistemas
Consultor en Políticas de Tecnologías de Información e Ingeniería Educativa