La incidencia del cibercrimen aumenta en Venezuela sin hacer ruido. Solo unos casos terminan siendo de dominio público, pero la inmensa mayoría queda en la sombra.
Se ha impuesto la práctica del chantaje para evitar el tráfico ilegal de datos y los rescates exigidos en divisas por las redes de cibercrimen son cada vez más cuantiosos; de hecho, algunos llegan a ser millonarios.
«Hay una evolución del cibercrimen; sin embargo, su magnitud es difícil de medir porque son pocos los casos que se hacen públicos. Los que no se hacen públicos son muchísimo más. Particularmente, no recibo menos de tres a cuatro llamadas al mes de empresas que han sido víctimas de ciberataques. De este fenómeno, lo que se hace público es apenas la punta del iceberg».
Edwin Orrico, Acting Partner de PwC Venezuela, revela que entre los resultados de vigésima séptima Encuesta Global de CEOs de la consultora internacional destaca que la ciberseguridad es la cuarta preocupación de los líderes corporativos venezolanos.
«Si la ciberseguridad entró en el top cinco de las preocupaciones de las empresas venezolanas quiere decir que esto realmente está escalando», apunta el consultor.
El cibercrimen incrementa los costos
Si bien es cierto que los costos directos del cibercrimen se han ido elevando en Venezuela, Orrico destaca que el impacto más severo está en los daños financieros y operativos que causa en las empresas.
«Hay un impacto reputacional muy importante, porque la parálisis de las operaciones pone en riesgo al ecosistema de negocios de la empresa, no solo a los clientes, sino a los proveedores, aliados comerciales y socios», apunta Orrico en entrevista con Banca y Negocios.
La crisis de confianza que genera el cibercrimen suele ser grave, porque la empresa no cumple sus compromisos y, generalmente, las empresas temen informar cuál es el problema. En un entorno donde los negocios están interconectados el impacto de este tipo de delitos puede ser extendido, e incluso epidémico.
«Esos costos, si se suman, no sé si llegan a la magnitud de rescate exigido, pero probablemente pueden estar impactando tanto o más como si se hubiese pagado el rescate», subraya el Acting Partner de PwC Venezuela.
– ¿Cuáles son las formas de cibercrimen más comunes en la actualidad?
– Actualmente, los más noticiosos son los casos de Ransomware o secuestro de datos que se produce cuando un cibercriminal entra en los sistemas de la organización para extraer información crítica del negocio. Una vez que se extrae esta data, el ciberdelincuente pasa cifrar los datos en los discos duros y servidores de la organización para inhabilitar las operaciones.
«Esta es una operación muy dañina, porque termina inhabilitando la operación del negocio. Resolver el problema va a depender de que tanto esté preparada la organización para responder. Para eso, es indispensable que se tenga un enfoque preventivo», apunta Orrico.
«Otros ataques, que son aún menos divulgados, son los phising o suplantación de identidad, cuya incidencia puede ser elevada en Venezuela, ya que los casos han subido mucho», indica el experto.
Orrico explica que este modelo de estafa ha hecho que las empresas afectadas enfrenten grandes pérdidas, derivadas de transacciones hechas por instigación de medios fraudulentos. Por ejemplo, se pueden ordenar pagos a proveedores, a través de una identidad falsa.
La irrupción de la Inteligencia Artificial puede hacer más viable el phising. «Hay casos donde se utiliza la inteligencia artificial para crear una identidad falsa, pero en Venezuela se han reportado casos de falsificación de correos electrónicos».
En este punto, Edwin Orrico insiste en la necesidad de extender e intensificar los controles preventivos.
Los sectores más amenazados
Para Edwin Orrico, Acting Partner de PwC Venezuela, los sectores que pueden resultar más afectados en Venezuela son la banca, el retail y la prestación de servicios de salud, entre otros.
«En este momento, me preocupa la banca porque ya hemos escuchado de ataques dirigidos a entidades importantes. Se trata de un sector relevante por su papel en la intermediación financiera del país y tiene algunos rezagos en adopción de tecnología interna, a pesar de que está buscando estar a la par de las grandes bancas globales», apunta el ejecutivo.
En cuanto al retail, el problema de base es que los principales afectados son los consumidores. «Recientemente conversaba con unos retailers y reconocíamos que para enfrentar estos problemas hay que cambiar la dinámica de la competencia, porque cuando mi competencia cae por un ciberataque también me veo afectado, porque todos podemos caer. La verdad es que en este contexto no hay ganadores».
En este sentido, Orrico plantea que, en materia de ciberseguridad, los competidores deben colaborar entre sí.
«Hay un sector que no se ha visto tan afectado y las implicaciones en Venezuela, quizás no son las que pudiesen producirse en otros países, pero el nivel de regulación que tiene la información en este sector no es tan alto como en otros territorios. Se trata del sector salud y hay que proteger la información privada de los pacientes con más eficiencia», apunta el socio de PwC Venezuela.
¿Y qué pasa con la Inteligencia Artificial?
Para Edwin Orrico la llegada de la Inteligencia Artificial eleva los riesgos de seguridad, porque es una tecnología nueva y, en el caso venezolano, es posible que la adopción creciente se está produciendo sin una debida evaluación de los riesgos para los sistemas de información.
«Como toda tecnología emergente tiene sus contras y hay que hacer una evaluación de riesgo y establecer relaciones de costo-beneficio para adoptar esta tecnología más allá de que sea un boom. Hay que ver cómo eleva la productividad del negocio sin poner en riesgo las operaciones de la organización», apunta Orrico de manera concreta.
«Venezuela tiene una particularidad muy interesante: somos un país al que nos encanta adoptar las nuevas tecnologías y ahora vemos como la inteligencia artificial se está adoptando en la banca, en el retail, en diferentes sectores económicos. Es verdad que Venezuela tuvo un rezago de inversión motivado por todas las causas macroeconómicas que hemos enfrentado, pero lo que también es cierto es que eso genera una oportunidad de oro en este momento», apunta el consultor.
– ¿Cuál es esa oportunidad?
– Sencillamente, una organización ahora puede dar el salto de la tecnología que tiene hacia la más nueva de una sola vez, sin tener que ir pasando por el proceso de actualizar poco a poco para ponerse al día. Estoy 100% seguro de que los costos van a ser mucho menores a los derivados de ir pasando de generación y generación para cubrir el rezago tecnológico.
«Y más cuando tenemos a disposición la nube que permite pagar por consumo, de manera que no hay que hacer una gran inversión en hardware, lo que permite dimensionar muy bien la tecnología que necesita una organización para operar. Se reducen los costos operativos y de capital», apunta Orrico.
Ciberseguridad: una estrategia de doble vía
Para Edwin Orrico, Acting Partner de PwC Venezuela, la estrategia de ciberseguridad no se trata de invertir en herramientas preventivas, sino de crear conciencia en la empresa sobre los riesgos, en todas las áreas y niveles.
«De nada sirve hacer inversiones millonarias en tecnología de protección, e incluso utilizar la inteligencia artificial para detectar amenazas, si la empresa no crea una cultura de prevención. Si un usuario no está lo suficientemente concientizado sobre el riesgo de hacer clic en un correo electrónico no certificado, que pudo haber identificado como dañino o como un intento de ataque, no se está haciendo nada», indica el ejecutivo.
La importancia de establecer normas claras de uso de la tecnología, de generar protocolos de seguridad no debe ser desestimada. Las empresas deben desarrollar mecanismos eficientes de gestión segura de la tecnología.
– Hay otra idea muy extendida acerca de la ciberseguridad, según la cual muchos creen que este es un problema de las grandes empresas solamente. ¿Qué tan transversal es este problema?
– Este no es un problema de grandes y pequeños. Es un problema de todos, ya que cualquier organización puede verse afectada por el simple y sencillo hecho de que todas las organizaciones dependen, en mayor o menor medida, de la tecnología; incluso los quiosquitos que antes vendían periódicos y ahora venden otras cosas, porque seguramente usan una cuenta de WhatsApp para hacer compras, aparte del uso de sistemas digitales de pago.
«Si ese WhatsApp se ve comprometido, la información de los clientes también puede verse comprometida. Cualquiera que monte una empresa pequeña deberá manejar tecnología y eso genera riesgos», advierte Orrico.
El «perfil 20»
Edwin Orrico, especialista de PwC Venezuela, pone de relieve el papel de la consultoría, porque la cuantía de las inversiones en plataformas tecnológicas y la creciente exposición al cibercrimen obligan a adoptar un plan de prevención de riesgos y protección de data organizacional.
«Consultoras como PwC lo que buscan es hacer ese diagnóstico, ese perfil 20 para ver dónde hay que enfocar la inversión, dónde se tienen que hacer los gastos o los cambios en los modelos de gestión y resolver los temas de concientización sobre el uso seguro de la tecnología en la empresa», indica el experto.