Latinoamérica tiene un largo camino que recorrer en ciberseguridad

Dos ataques con ransomware en dos meses afectaron a casi todos los países de América Latina y el Caribe (LAC, su sigla en inglés). Ambos, el WannaCry en mayo y el NotPetya a fines de junio, enfatizaron el potencial disruptivo y el costo económico que puede ocasionar el crimen cibernético. También demostraron que incluso las naciones mejor preparadas pueden ser vulnerables.

En LAC, las debilidades parecen estar extendidas. El Banco Interamericano de Desarrollo (BID) calcula el costo anual del crimen cibernético en la región en US$ 90.000 millones. Según el reporte “Ciberseguridad: ¿Estamos preparados en América Latina y el Caribe?”, publicado en 2016 en cooperación con la Organización de Estados Americanos (OEA), la ciberseguridad en la región es desigual incluso entre las mayores naciones, con deficiencias en varias áreas, incluyendo política gubernamental, legislación, conciencia pública, y cooperación con empresas y otras naciones.

Lograr un balance

El Instituto Potomac de Estudios Políticos, con sede en Estados Unidos, resalta cuatro elementos clave de políticas de ciberseguridad exitosas: una estrategia nacional; capacidad nacional de respuesta a incidentes; mecanismos legales y de regulación internacionales; e inversión e investigación en iniciativas de ciberseguridad. Otras entidades agregan la importancia de educar a ciudadanos y empresas sobre los peligros del cibercrimen y cómo prevenirlo, así como lograr un equilibrio entre la legislación y las libertades civiles.

Según la Fundación Getulio Vargas (FGV), una escuela de negocios de Brasil, la retención de datos de los gobiernos y fuerzas de seguridad de LAC está en aumento, una tendencia que, para la entidad, no se condice con la recolección necesaria de datos para prevenir ofensas específicas.

La excesiva legislación pone una carga regulatoria en las empresas, desproporcionada en el caso de las pequeñas o medianas, e incluso podría enfrentar desafíos legales, lo que solo retrasa el proceso de mejorar las medidas nacionales de ciberseguridad. Por ejemplo, los últimos diez años han visto derrotas de la ley de ciberseguridad en la Corte Suprema de Perú y Argentina. Según la FGV, las estrategias deberían ser “armonizadas” no solo con el respeto a los derechos humanos, sino también con “principios técnicos que han permitido la innovación en Internet, como la apertura, la universalidad y la interoperabilidad”.

Uruguay a la cabeza

En el reporte del BID, las dos mayores economías de la región, México y Brasil, obtuvieron niveles “formativos” o “establecidos” (el cuarto y tercer mejor lugar en una escala de “madurez” de cinco escalones) en la mayoría de los 49 elementos evaluados. Ambos países sufren de bajo nivel de conocimiento público sobre el cibercrimen y no tienen leyes que obliguen a las empresas privadas a revelar si han sido víctimas de ataques, una debilidad ampliamente compartida en la región. Tanto México como Brasil estuvieron entre las grandes víctimas de WannaCry. Según Kaspersky Lab, una empresa de ciberseguridad rusa, México fue el quinto país más afectado en todo el mundo.

La situación es similar en Argentina, Chile y Colombia, aunque Chile es uno de los 55 estados firmantes de la Convención de Budapest, el primer tratado internacional sobre cibercrimen. Solo dos otros países de LAC lo hicieron: República Dominicana y Panamá.

Por su parte, Uruguay ha sido por lejos el país más exitoso. En el reporte del BID, el país logró el mayor nivel de madurez (“dinámico”) para subcategorías relacionadas con confianza; educación; y privacidad, protección de datos y derechos humanos. También es líder en el desarrollo de software de seguridad y es mercado para aseguradoras y nuevas tecnologías contra el cibercrimen. Uruguay fue la única nación de LAC que podría decirse exitoso en desarrollar lo que la OEA ha llamado una “cultura de ciberseguridad”.

Flancos abiertos

Las naciones centroamericanas, muchas de las cuales tienen tasas de penetración de Internet menores de 20%, son débiles en todos los aspectos cubiertos por el BID, con los índices de madurez raramente sobre el nivel más bajo (“startup”) en la gran mayoría de las categorías. Panamá y Costa Rica, ambos con una penetración de Internet cercana al 50%, destacan en Centroamérica por su ciberseguridad. En contraste, Nicaragua, con una penetración de Internet de 18%, recibió la peor nota en todos excepto tres de los 49 subsectores cubiertos. Según un estudio de 2015, al menos 50% de las empresas del país han sufrido alguna forma de ciberataque.

Aunque algunos países caribeños tuvieron resultados relativamente buenos (Jamaica, República Dominicana y Trinidad y Tobago), la mayoría tuvo un desempeño pobre. Incidentes recientes en el Caribe incluyen el hackeo de agencias de gobierno por grupos que apoyan al Estado Islámico, la filtración de 1,3 millones de archivos del registro corporativo de Bahamas y ataques con ransomware a registros tributarios.

El centro de ciberseguridad militar de Cuba reportó en junio que había compartido información en los últimos dos años sobre 17 casos de cibercrimen originados en EEUU, pero la cooperación podría terminar por los retrocesos políticos anunciados por la administración de Donald Trump. Esto dejaría expuesto a Cuba, un país que, según la ONU, tiene capacidades de ciberseguridad extremadamente limitadas.

Esfuerzo colaborativo

En junio de 2016, el BID publicó una evaluación de la ciberseguridad de Estonia, Israel, Corea del Sur y EEUU, naciones que se han esforzado en ser líderes globales. Usando la misma metodología que en LAC, el informe detalló que dichos países raramente tenían un puntaje menor al segundo mejor nivel de madurez (estratégico) en alguna de las subcategorías y frecuentemente estaban por encima. Para LAC, el reporte destacó la necesidad de que los países desarrollen una estrategia nacional, una estructura organizacional y un marco legal efectivo.

También clave es la colaboración y el traspaso de información a nivel internacional. Estonia, el país más pequeño del estudio, fue el más activo en este respecto, lo que sugiere que la estrategia podría beneficiar especialmente a los países menos aventajados de la región, en especial al Caribe y Centroamérica. Pero los ataques recientes han demostrado la facilidad con que el cibercrimen cruza fronteras, e incluso las grandes naciones tendrán que mirar más hacia afuera para protegerse.

Economist Intelligence Unit