16/2/2020

¿Está su empresa
protegida frente a los
ataques de
ciberdelincuentes?

José Andrés Pérez Rivera

Director en FTI Consulting - Consultoría Forense y de
Litigios

Las tecnologías de la información y de las comunicaciones

(TIC) han entrado a formar parte integral del acontecer
diario, a tal nivel que incluso su presencia llega a pasar
desapercibida dentro de las actividades cotidianas. Pero
/
16/2/2020
están ahí, disponibles a abrirlesindispensable
¿Qué funcionalidad un enormepara potencial
ti a
debería tener Ámbito Jurídico?
quien las demande y sepa aprovecharlas, e impactando a
varios niveles el
Pormundo de los
favor, escribe negocios y las industrias.
aquí...

En particular en el caso de las empresas, las TIC no solo

cumplen una función de soporte para sus actividades
misionales, también pueden constituir una estrategia del
 Not using Hotjar (https://hotjar.com) yet?
negocio, al proyectarse como un criterio diferenciador en la
relación empresa-cliente. Existen varios momentos de las
Siguiente
relaciones comerciales en que esto es evidente, desde la
presentación misma de los productos y servicios en los
sitios web, el uso de correo electrónico, hasta los canales
de redes sociales para relacionarse con clientes,
proveedores y socios.

La enorme inuencia de las TIC y la importancia que han

cobrado en el mundo moderno traen consigo otra cara,
pues los riesgos en la administración y su mal
aprovechamiento también han aumentado. Su gestión
adecuada comprende un gran desafío para las
organizaciones.

Abrir los ojos a los riesgos

Un ejemplo reciente en que se materializó una situación

irregular fue el caso Cambridge Analytica. En este asunto
hubo una disposición ilegal de datos personales, lo cual

/
16/2/2020
lastimó especialmente la conanza
¿Qué funcionalidad en unapara
indispensable de las
ti empresas
debería tener Ámbito Jurídico?
involucradas: Facebook.
Por favor, escribe aquí...

Fue tan serio el impacto de lo ocurrido que en marzo del

2018 esta empresa perdió en la Bolsa de New York una cifra
cercana a los 40.000 millones de dólares. Mark Zuckerberg,
cofundador de Facebook, aseguró ante los medios de
 Not using Hotjar (https://hotjar.com) yet?
comunicación: “tenemos la responsabilidad de proteger tu
información y si no podemos hacerloSiguiente entonces no te
merecemos. He estado trabajando para entender
exactamente qué fue lo que sucedió y cómo asegurarnos
para que esto no suceda otra vez”. Y sostuvo ante el
Congreso de los Estados Unidos que “la naturaleza de estos
ataques es que hay gente en Rusia cuyo trabajo es intentar
explotar nuestros sistemas y otros sistemas de internet, así
que esto es una carrera de armamento. Debemos invertir
en mejorar en esto”.

En las anteriores armaciones hay palabras y frases que

nos ayudan a comprender la dimensión y naturaleza de los
riesgos que entraña la seguridad en las TIC a nivel global.

Las palabras “responsabilidad”, “proteger”, “información”,

“ataques” y “armamento”, junto a las frases “no podemos
hacerlo”, “no suceda otra vez”, “intentar explotar nuestros
sistemas y otros sistemas de internet” y “es una carrera de
armamento”, nos muestran una guerra que se ha venido
congurando desde hace bastante tiempo. Un
enfrentamiento velado que involucra no solo los intereses
/
16/2/2020
tradicionales de losfuncionalidad
¿Qué Estados, deindispensable
las empresas paray tide los
debería tener Ámbito Jurídico?
ciudadanos, sino especialmente una amalgama de
intereses no conocidos por elaquí...
Por favor, escribe público, manejados por
particulares que están en diferentes regiones y han
encontrado la forma de usufructuarlos mediante las TIC
para diferentes nes. Emplean armas para las que las
personas del común no estamos preparados: los
algoritmos.
 Not using Hotjar (https://hotjar.com) yet?

Siguiente
El alcance de los algoritmos

En el mercado digital, los algoritmos se han convertido en

un instrumento cotidiano para aprovechar los volúmenes
de información en función del logro de objetivos
empresariales, tanto en mercadeo como en ventas y
optimización de procesos.

Pero esta herramienta también puede ser utilizada por

intereses que van más allá de la idea de un mercado
globalizado, y apuntar al propósito de incidir de manera
ilegítima en nuestro marco de libertad. Esto ocurre cuando
la captación de la data se produce de forma tal que sus
titulares no tienen conocimiento de lo que realmente se
está haciendo con la información que se suministra.

Ahora, la vulnerabilidad no solo se da frente a intereses

particulares, sino también contra gobiernos o actores de
presión que buscan implantar ideologías. En este
/
16/2/2020
panorama de ciberguerra, los ciberdelincuentes
¿Qué funcionalidad indispensable para ti tienden a
debería tener Ámbito Jurídico?
llevarnos ventaja a las personas y compañías que de
manera honestaPory,favor,
en muchos casos, desprevenida
escribe aquí...
empezamos a recorrer el camino de la transformación
digital.

La incidencia en temas como las elecciones presidenciales

Not using Hotjar (https://hotjar.com) yet?
en los EE UU  y el brexit es tan solo un ejemplo del talante
político, del alcance de la situación. En el caso de
Siguiente
Cambridge Analytica, fue empleado un cuestionario digital
de apariencia inofensiva que permitió recopilar datos de
más de 270.000 usuarios de Facebook, y a través de estos se
accedió a la información pública de sus contactos. El
resultado, según Christopher Wylie, la fuente que destapó
el escándalo, es que se obtuvo información personal de
cerca de 50 millones de usuarios para inuir en el
resultado de las elecciones estadounidenses en el 2016.

En el plano local

En Colombia, desde el Conpes 3701 del 2011 y el Conpes

3854 de 2016, se ha venido construyendo una política para
enfrentar de manera estratégica la ciberdelincuencia.
Hecho que se reeja activamente en lo que hoy se conoce
como gobierno digital, además de una amplia cantidad de
estándares que existen en el sector privado para promover
la seguridad en las TIC.

/
16/2/2020
Con la política ¿Qué
pública de gobierno
funcionalidad digital,para
indispensable el Gobierno
ti
debería tener Ámbito Jurídico?
colombiano busca “promover el uso y el aprovechamiento
de las tecnologías de laescribe
Por favor, información
aquí... y las comunicaciones
para consolidar un Estado y ciudadanos competitivos,
proactivos, e innovadores, que generen valor público en un
entorno de conanza digital”. Es decir, que integra los
valores más importantes de un mercado: la capacidad de
ser competitivos en un mundo globalizado, ser proactivos
 Not using Hotjar (https://hotjar.com) yet?
frente a la competencia y poder redenirse, al ser
innovadores mediante el uso y el aprovechamiento Siguiente de las
TIC.

Otro concepto importante en este contexto es el de

conanza digital, que se dene en el portal del Ministerio
de Tecnologías de la Información y las Comunicaciones
como “la principal característica del entorno en donde se
relaciona el Estado con los ciudadanos y los demás actores
del ecosistema digital. Este entorno debe ser sencillo,
corresponsable, previsible y seguro”.

La seguridad es, sin duda, uno de los mayores retos entre

los elementos que componen la denición de conanza
digital. Para la política pública de gobierno digital
constituye el elemento crucial, por cuanto se le considera
un “habilitador transversal” para los demás componentes
que comprende la ejecución de la política. En conclusión,
sin seguridad el gobierno digital no funcionaría.

/
16/2/2020
¿Cómo garantizar¿Quéesta seguridad?
funcionalidad La respuesta
indispensable para tidel
debería tener Ámbito Jurídico?
Gobierno contiene “estándares, guías, recomendaciones y
buenas prácticas”, queescribe
Por favor, debenaquí...
implementarse por los
actores que forman el entorno digital. Si bien esta mención
busca cobijar en principio a instituciones públicas, lo
cierto es que se trata de lineamientos enteramente
aplicables al sector privado.

 Not using Hotjar (https://hotjar.com) yet?

En Colombia se han registrado casos Siguiente

de empresas
afectadas por ciberataques. El sector nanciero es uno de
los más golpeados, con el robo de datos personales como
contraseñas, números de tarjetas de crédito, entre otros, a
través del ataque conocido como phising.

El país es pionero en afrontar estos delitos. Lo hizo a través

de la Ley 1273 del 2009, mejor conocida como Ley de
Delitos Informáticos, que les dio herramientas y facultades
a las autoridades para perseguir y castigar este tipo de
delincuencia. En muchas oportunidades, los perpetradores
se encuentran fuera del territorio nacional, lo cual es uno
de los desafíos que las autoridades enfrentan.

Dando la batalla

El correo electrónico es el medio de comunicación de

preferencia del sector corporativo: todos lo usamos. A
través de este, los CEO y cualquier otro integrante de la
organización comunican, hacen peticiones, entregan
/
16/2/2020
informes, etcétera,
¿Qué a los colegasindispensable
funcionalidad del negocio, proveedores,
para ti
debería tener Ámbito Jurídico?
clientes y demás actores. Los ciberdelincuentes saben esto,
y han diseñadoPor
técnicas y estrategias
favor, escribe aquí... para suplantar y
engañar a los actores legítimos.

El ataque conocido como man-in-the-middle es una técnica

que por años se ha usado para suplantar y engañar. El
 Not using Hotjar (https://hotjar.com) yet?
correo electrónico es la herramienta principal en este tipo
de ataques: mientras que el nanciero de la compañía
Siguiente
escribe e informa de los pagos y ujo de dinero, del otro
lado se encuentra un ciberdelincuente entrenado, paciente
y con el conocimiento suciente para suplantar al CEO o
gerente.

El riesgo de una amenaza por un ciberataque es latente.

Apostar a incrementar las medidas de seguridad a nivel
corporativo es responsabilidad y deber de todos los
empleados. Concientizar a las personas es uno de los
mayores desafíos para una compañía. Que sean los mismos
empleados quienes alerten a las áreas de seguridad sobre
algún hecho inusual podría ser parte de la solución.

Contar con los recursos tecnológicos de seguridad

sugeridos por diferentes estándares ayuda a minimizar y
prevenir los ataques de ciberdelincuentes. Pero no es
suciente, si el incidente de seguridad se produce como
consecuencia de un empleado despistado que no usa una
contraseña fuerte en su sistema (porque no le enseñaron

/
16/2/2020
cómo crearla), ¿Qué
o porfuncionalidad
un empleado que recibe
indispensable paraun
ti correo
debería tener Ámbito Jurídico?
electrónico con indicios de fraude y no los detecta (porque
no le explicaron
Porcómo identicarlos).
favor, escribe aquí...

Las TIC suponen un gigante espectro de benecios, pero

también traen peligros. Esto ha quedado ampliamente
demostrado con casos de gran resonancia internacional,
 Not using Hotjar (https://hotjar.com) yet?
pero los fraudes también acechan a la vuelta de la esquina
de nuestras organizaciones. Quienes Siguiente mejor lo saben son los
ciberdelincuentes. Es una realidad que no es lejana ni
ajena, sino que cada vez es más palpable en el día a día.

Conozca