WannaCry y Petya son solo dos de los ataques cibernéticos reportados más graves y recientes. La mala noticia es que no son los únicos.
Solo en Perú, se ejecutan cientos de ataques de malware diariamente. En 2017 están proyectadas pérdidas de US$ 4,782 millones por el cibercrimen, según Digiware.
Si esa era la mala noticia, ahora viene una peor. La proyección es que esta cifra se incremente en los próximos años, y una de las razones es la pobre inversión que tenemos en seguridad de la información, reveló a Gestion.pe Fabián Zambrano, director de DigiSoc.
“Del 100% de presupuesto para invertir en tecnología de la información, solo el 15% se invierte en ciberseguridad”, subrayó.
El experto señaló que el ratio debería bordear el 25%. Es decir, los US$ 22 millones que se han invertido este año en seguridad de la información, deberían ser US$ 35 millones.
La clave es que este presupuesto ayude a prevenir consecuencias terribles ante cualquier eventualidad. “Lo importante es poder resistirlos y recuperarse rápidamente. Los ataques son inevitables”, sentenció.
Debilidades en los bancos
Si bien el sector más preocupado por la ciberseguridad en Perú es el financiero, es también el que más ataques recibe.
Los bancos pequeños suelen ser los principales blancos, por encontrarse más desprotegidos. Y las dos vulnerabilidades más evidentes que encuentra Zambrano son responsabilidad exclusiva de las entidades.
El primer camino que pueden encontrar los delincuentes para acceder al sistema de un banco es a través de la tercerización de servicios.
“La mayoría de procesos internos de soporte en sistemas transaccionales están basados en un tercero. Este no suele tener los niveles de seguridad que tiene el banco”, observó el especialista.
El truco es sencillo: hackean al tercero, y una vez dentro de este, pueden ingresar tranquilamente al sistema del banco.
Los ataques masivos de bandas criminales encuentran otra forma de entrar: a través de las apps móviles bancarias o sus portales web.
“Si mi ID para registrarme al portal es mi DNI, pues yo conozco los posibles números, y si luego pregunto y me sale que la contraseña es incorrecta, significa que esa cédula es real y existe”, señaló.
Después de identificar al usuario, el resto es fuerza bruta. Intentar con una clave standard entre millones de cuentas. “Es fácil que, entre un millón, 500 compartan una contraseña. Con ellos ya ingresé al sistema bancario. El resto es mover dinero”, apuntó.