El mundo está superconectado, pues tenemos acceso a todo tipo de información y utilizamos la tecnología digital como herramienta diaria de nuestras operaciones. Esto trae consigo diversas oportunidades y, a su vez, amenazas, exponiendo el acceso de quienes hacen mal uso de esta herramienta y cometen delitos informáticos.
Solo en el 2022, la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú (PNP) detuvo a más de 229 personas implicadas en ciberdelitos, evidenciando un incremento del 70% con respecto al año 2021. Frente a ello, FORTINET develó en su informe que Perú sufrió más de 15 mil 400 millones de intentos de ciberataques (casi 500 ataques por segundo) durante el 2022, es decir, un 34% más que en el 2021, año en el que se registró 11,5 mil millones de ataques.
Las modalidades más utilizadas:
- PHISHING: Técnica que utiliza la suplantación de identidad para obtener información confidencial de forma fraudulenta y así apropiarse de la identidad de los usuarios. De forma recurrente, utilizan como método la clonación de sitios webs, correos electrónicos, entre otros.
- MALWARE: Software malicioso que busca dañar sistemas y extraer datos que pueden ser utilizados como chantaje a cambio de ganancias financieras.
- CARDING: Modalidad de fraude que utiliza la información de tarjetas robadas, que luego son usadas para compras online. Perú registró, a la fecha, más de 470 denuncias de robos de tarjetas que son usadas para realizar compras online.
- SIM SWAPPING: Método malicioso utilizado por los ciberdelincuentes para suplantar la identidad de las víctimas, con el objetivo de obtener el chip de sus celulares para cometer actos fraudulentos.
- VISHING: Modalidad de estafa que se produce a través de una llamada telefónica o mensaje de voz y busca engañar a las víctimas para robar información. Solo el año pasado, Perú registró más de 180 denuncias por este tipo de modalidad.
¿QUí‰ BUENAS PRíCTICAS PODEMOS ADOPTAR COMO EMPRESA BASC?
- Establecer y difundir una política de seguridad informática: Esta información deberá incluir criterios para salvaguardar la confidencialidad, la integridad y la disponibilidad de la información.
- Identificar sus partes interesadas con base al nivel de criticidad en la infraestructura informática: De esta forma, se limitará el acceso a información sensible y se generarán permisos de acuerdo con las funciones y tareas asignadas, revisándolos periódicamente.
- Utilizar redes confiables: Las conexiones de WIFI públicas son redes poco seguras que facilita el acceso a los hackers para cometer actos ilícitos. En estos casos, se recomienda emplear una red VPN, es decir, una red privada donde se aíslan diversos intentos de ciberataques.
- Manejar claves fortalecidas: La empresa deberá contar con un criterio de creación de contraseñas, la cual debe incluir signos, caracteres o símbolos e intercalar minúsculas y mayúsculas. Además de ello, se recomienda no repetir las contraseñas para accesos en redes sociales, cuentas bancarias u otras plataformas personales y/o corporativas. Es recomendable cambiarlas cada tres (03) meses.
- Optar por múltiples opciones de validación: Recordemos que muchas cuentas de acceso permiten la verificación mediante huellas dactilares, aprobación directa al celular, mensajes de texto o códigos dictados por llamada telefónica. Al respecto, es recomendable que se utilicen sitios o programas informáticos que permitan implementar la autenticación multifactor para el acceso seguro de los colaboradores.
- Instalar un antivirus en todos los dispositivos: Con el objetivo de poder identificar oportunamente los softwares maliciosos que utilizan los hackers. Para ello, debemos hacer un análisis continuo de los archivos e instalar antivirus en computadoras y celulares.
- Comunicar oportunamente las amenazas de ciberseguridad identificadas a las partes interesadas correspondientes: Esta buena práctica permitirá que las partes interesadas internas y externas (clientes y proveedores) puedan tomar sus precauciones con la información.
- Complementar las buenas prácticas con certificaciones que fortalezcan la seguridad de la información: Actualmente, las iniciativas de seguridad reconocidas, entre ellas BASC, promueven buenas prácticas relacionadas a la seguridad de la información con base en la gestión del riesgo y su rol en la cadena de suministro. Sin embargo, existen normas internacionales complementarias, como la ISO/IEC 27001, que permiten el aseguramiento, la confidencialidad y la integridad de la información, estableciendo controles más rigurosos a nivel de usuario y acceso.