Prêmio CBMM
Imprimir Republish

Seguridad informática

Las vulnerabilidades en internet

Pese al incremento de los delitos virtuales en Brasil, la escasa inversión dificulta la expansión de las empresas nacionales de ciberseguridad

Arte sobre una reproducción de una obra de Richard Anuszkiewicz

Las compañías Natura, fabricante de cosméticos, y la automotriz Honda, fueron objeto de ataques informáticos en sus terminales de operaciones en Brasil durante el mes de junio. Ambas empresas optaron por no divulgar los detalles del incidente y el impacto de esos ataques sobre sus negocios. Estas dos multinacionales no son las únicas. En 2020, grandes grupos del país sufrieron atentados del mismo tipo: entre ellos figuran operadoras de energía y logística y empresas agroindustriales. La multinacional rusa de ciberseguridad Kaspersky registró 1.600 millones de intentos de agresiones cibernéticas en Brasil entre los meses de febrero y abril, lo que equivale al 60% de las amenazas registradas en toda América Latina. La preocupación por el tema duplicó la demanda de seguros corporativos en el país durante el primer semestre de este año.

En Brasil, las amenazas principales son los ataques del tipo ransomware. En esos casos, el hacker recurre a un software malicioso (malware) para invadir y tomar el control de la computadora o del smartphone del usuario. Un mensaje en la pantalla exige el pago de un rescate (ransom, en inglés) en una criptomeneda, como por ejemplo el bitcoin, para que los archivos del usuario no sean borrados (lea el apartado de la página 76). Existe una variante, a la cual se la conoce como táctica de doble extorsión, que accede a los datos de la víctima y se la amenaza con divulgar su información privada o venderla en subastas virtuales. Una investigación llevada a cabo por la empresa angloestadounidense Sophos, de soluciones en seguridad cibernética, revela que Brasil fue el cuarto país más afectado por ataques de ransomware en 2019, después de Malasia, India y Australia.

Otros delitos informáticos son cada vez más comunes en el país, como es el caso de los caballos de Troya o troyanos. La víctima cliquea inadvertidamente en un enlace (link) aparentemente inofensivo y abre una puerta para que su información financiera pueda ser saqueada. También están los spyware (malware espía), que buscan apropiarse de informaciones estratégicas de empresas y entidades públicas, tales como la Policía Federal y los Tribunales de Justicia. En 2019 se reportaron 19.100 amenazas de seguridad a las redes informáticas del gobierno, confirmándose 10 mil de ellas como ataques virtuales, según datos registrados por el Centro de Tratamiento y Respuesta a Incidentes Cibernéticos del Gobierno (CTIR-Gov), vinculado a la Oficina de Seguridad Institucional de la Presidencia de la República.

Según recomiendan los expertos, se necesita invertir en seguridad para hacer frente a este problema, que se ha profundizado en los últimos meses a causa de la pandemia del nuevo coronavirus, cuando la intensificación de la modalidad laboral home office o teletrabajo hizo que aumentara la vulnerabilidad de los archivos y sistemas de las empresas. La consultora estadounidense de inteligencia de mercado IDC señala que en 2019, las compañías brasileñas invirtieron 1.600 millones de dólares en seguridad informática y, en todo el mundo, esos gastos sumaron 107 mil millones de dólares. A nivel global, el monto promedio destinado a la ciberseguridad en el ámbito corporativo corresponde a un 18% del presupuesto total en tecnología de la información (TI).

En Brasil, el gasto promedio no llega al 4%, estima Roberto Gallo, presidente de la Asociación Brasileña de la Industria de Materiales de Defensa y Seguridad (Abimde). “Ese valor medio se incrementa por las inversiones del sector financiero, que destina alrededor de un 10% del presupuesto en TI a la seguridad virtual, según informa la Federación Brasileña de Bancos (Febraban). “Si a ese promedio se le resta lo que invierten los bancos, los desembolsos del resto de la economía en ese ítem son irrisorios”, dice Gallo.

El bajo nivel de inversión dificulta la creación de un ecosistema significativo de ciberseguridad en Brasil, apunta el ingeniero electricista y científico de la computación Paulo Licio de Geus, del Instituto de Computación de la Universidad de Campinas (IC-Unicamp). “Contamos con empresas nacionales técnicamente capaces. Sin embargo, son pocas y de pequeño porte, sin alcance global”, afirma. En opinión de Geus, el problema de nuestro país radica en que aquí no se valora este tipo de seguridad. “Para una empresa local resulta difícil innovar, desarrollar soluciones y sobrevivir en un entorno donde no se dispone de un buen volumen de recursos para financiar sus iniciativas”, razona.

Otro problema es la escasez de mano de obra calificada, tanto en las desarrolladoras de soluciones como en las empresas que las usufructúan, que requieren la orientación de profesionales para implementar programas adecuados a los desafíos interpuestos por los delincuentes virtuales. Según el informe Cybersecurity workforce study, de la organización internacional de profesionales de la seguridad (ISC), en América Latina hacen falta unos 600 mil especialistas en ciberseguridad, y esa carencia es visible, sobre todo en Brasil.

Altair Olivo Santin, docente de ingeniería de la computación en la Pontificia Universidad Católica de Paraná (PUC-PR) y coordinador de la comisión de seguridad informática de la Sociedad Brasileña de Computación (SBC), sostiene que, más allá de la ausencia de profesionales, también hace falta calidad en la mano de obra. “Muchos de quienes trabajan en ciberseguridad no cuentan con una capacitación adecuada”, argumenta.

Una de las reivindicaciones de la SBC es la normalización de la carrera de grado en seguridad informática por el Ministerio de Educación. Hay un proyecto de un plan de estudios básico desarrollado por instituciones internacionales de computación en 2017 que la SBC está evaluando. Para Santin, el delincuente informático es dinámico y siempre está buscando nuevas formas de ataque. La lucha demanda un gran número de profesionales comprometidos, con capacidad para desarrollar estudios académicos y nuevas soluciones en las empresas. “La ciberseguridad no está desarrollada masivamente en Brasil, por eso resulta inevitable que los delincuentes virtuales nos perciban como vulnerables”, sentencia el profesor.

El mercado nacional de la seguridad informática está controlado mayoritariamente por empresas multinacionales, que da cuenta de más del 80% de los pedidos. No obstante, este ambiente de negocios adverso no impide que desarrolladores brasileños de soluciones en ciberseguridad ganen espacio en el mercado local e inicien un recorrido hacia la internacionalización, en busca de ganar escala en el mercado.

Según Gallo, de la Abimde, Brasil cuenta con empresas que sobresalen por la calidad técnica de sus soluciones en antivirus, firewall (dispositivos que monitoreas el tráfico en red y la conexión a internet) y sistemas de criptografía, programas que encriptan el mensaje y lo tornan ininteligible para quien no tiene acceso al código de seguridad. De acuerdo con el experto, Estados Unidos, el Reino Unido, Rusia, China e Israel, en este orden, son las naciones que más destacan en el área en todo el mundo. “En un ranking internacional de ciberseguridad estaríamos entre los mejores”, especula Gallo.

En el mercado global, las compañías brasileñas disfrutan de una ventaja potencial, sostiene Gallo. “El país no tiene un historial en espionaje internacional y no se considera que haya empresas al servicio del Estado. Ese resquemor afecta a las empresas de algunas de las principales potencias geopolíticas. Tampoco tenemos leyes que le permitan al gobierno acceder a datos secretos de usuarios en el exterior, tal como ocurre con la Cloud Act estadounidense”, dice.

En 2003, Gallo fundó Kryptus, una empresa con sede en Campinas (São Paulo), que se especializa en criptografía. La compañía recibió cuatro subvenciones del programa Investigación Innovadora en Pequeñas Empresas (Pipe) de la FAPESP, para el desarrollo de un módulo de seguridad criptográfica de alto rendimiento en hardware (hardware security module, HSM). Esta solución fue adoptada por varios clientes corporativos y está incorporada al sistema de voto electrónico de la Justicia Electoral de Brasil. También se utiliza en el Sistema de Vigilancia de Fronteras (Sisfron), un proyecto implementado por las Fuerzas Armadas con el propósito de reprimir el delito en la frontera terrestre brasileña (lea en Pesquisa FAPESP, edición nº 282).

En el mes de julio, Kryptus recibió una contribución financiera de 20 millones de reales del Fondo de Inversión de Capital (FIP) Aeroespacial, integrado por Embraer, el Banco Nacional de Desarrollo Económico y Social (BNDES), la Financiadora de Estudios y Proyectos (Finep) y la agencia de desarrollo paulista Desenvolve-SP. Los recursos se liberaron con el objetivo de elaborar un plan con miras a expandir y exportar la experiencia brasileña en materia de cifrado y seguridad.

Poco después del anuncio de ese aporte, la compañía informó de la apertura de una oficina de representación en Suiza. “El mercado europeo exige proximidad. Es importante disponer de un equipo local”, dice Gallo. Según él, la elección de Suiza fue estratégica por su reputación de no tener injerencia  política del Estado en sus empresas y por contar con profesionales calificados en el campo de la TI.

La empresa recauda el 30% de sus ingresos –cuyo monto no dio a conocer– por medio de exportaciones. En Europa, atiende a clientes en Alemania, Suiza, España y Portugal. También tiene negocios en naciones africanas tales como Angola, Cabo Verde y Marruecos. Pero su fuerte son las exportaciones a países de América Latina, dirigidas a empresas de Colombia, Perú, Ecuador, Argentina y Chile. A partir de la apertura de su oficina en Suiza, se espera un aumento del volumen de ventas en Europa, África y Medio Oriente. “Dentro de tres años, más del 50% de nuestra facturación provendrá de esas regiones”, proyecta Gallo.

Otro movimiento reciente en el campo nacional de la ciberseguridad fue la adquisición de la empresa pernambucana Tempest por la fábrica de aeronaves Embraer, que ya incluía soluciones de seguridad informática en su cartera de negocios. Según Fernando Silva, vicepresidente de estrategia y mercadeo de Tempest, el acuerdo mantuvo intacta la estructura administrativa de la compañía con sede en la ciudad de Recife. “Empezaremos a desarrollar nuevos productos y servicios con foco en las áreas de defensa, seguridad aeroespacial, control del tráfico aéreo e infraestructuras críticas, como la que mantienen las empresas de la energía”, enumera Silva.

El principal segmento operativo de Tempest, una empresa fundada en 2000, lo constituyen las finanzas, que responden por el 60% de su facturación, que sumó 120 millones de reales en 2019. Un software de prevención de fraudes virtuales desarrollado por la compañía, denominado Allow Me, está presente en las aplicaciones de banca móvil de los principales bancos del país en 30 millones de smartphones. En 2012, la empresa abrió una oficina en Londres, en el Reino Unido, y le provee sus sistemas a la revista The Economist, al periódico The Guardian y a la cadena de supermercados Tesco. Actualmente, el 5% de su volumen de facturación proviene del exterior. “Embraer le abrirá nuevos mercados a Tempest, principalmente en el sector de defensa en países latinoamericanos, en los que ya ostenta una sólida presencia”, dice Silva.

El riesgo de las criptomonedas
La popularización de las monedas digitales puede impulsar el mercado de la seguridad virtual

La demanda por tecnología de ciberseguridad en Brasil se incrementará en los próximos años merced a una mayor percepción del riesgo generada por la popularización de las criptomonedas, a juicio de Ulisses Penteado, uno de los socios propietarios de BluePex, una empresa con sede en la localidad de Limeira (São Paulo) especializada en soluciones tales como antivirus, cortafuegos o firewall y bloqueadores de software maliciosos. “Hasta ahora, los hackers brasileños invadieron sitios web para mancharlos y promocionarse. Los hackers extranjeros no veían a la mayoría de las empresas del país como objetivos estratégicos para robarles información. Los ataques locales no generaban grandes daños”, describe.

Las criptomonedas les abrieron nuevas perspectivas a los delincuentes. Es difícil seguir los movimientos efectuados con estas monedas y existen recursos tecnológicos bastante difundidos para despistar a los rastreadores. “Las posibilidades de éxito en la capitalización del delito es grande”, analiza Penteado. La ejecución de un delito virtual tampoco demanda gran experiencia, dado que existe una amplia oferta de herramientas a mano que pueden manipularse fácilmente para concretar un ataque. Esta nueva realidad motivó a delincuentes comunes a migrar hacia el delito virtual, y los ataques se tornaron más asiduos y dañinos. “Las amenazas han crecido y las empresas tendrán que invertir para protegerse mejor”.

La entrada en vigencia de la Ley General de Protección de Datos (LGPD), aprobada por el Senado en el mes de agosto, también impulsará las inversiones en seguridad virtual en Brasil. La ley establece que las empresas pasan a ser legalmente responsables del mantenimiento de la privacidad de los datos de sus clientes y socios comerciales, y tendrán que implementar una gestión preventiva de su seguridad informática para evitar los robos y filtraciones indebidas. Según la Asociación Brasileña de Software (Abes), el 60% de las empresas brasileñas aún no están preparadas para cumplir con los requerimientos de la nueva ley. Y cuentan con poco tiempo para adaptarse.

Proyectos
1. HSM Kryptus: complementos técnicos innovadores en HSM brasileño para la inserción en el mercado nacional e internacional (nº 15/50579-0); Modalidad Investigación Innovadora en Pequeñas Empresas (Pipe); Convenio Finep Pipe/Pappe Subvención; Investigador responsable Roberto Alves Gallo Filho (Kryptus); Inversión R$ 956.344,00.
2. Proyecto de módulo criptográfico de alto rendimiento (HSM) (nº 04/02906-8); Modalidad Investigación Innovadora en Pequeñas Empresas (Pipe); Investigador responsable Roberto Alves Gallo Filho (Kryptus); Inversión R$ 16.584,46.
3. Vevote: una plataforma de hardware para votación electrónica verificable basada en tecnología HSM (Hardware Security Module) (nº 15/50614-0); Modalidad Investigación Innovadora en Pequeñas Empresas (Pipe); Convenio Finep Pipe/Pappe Subvención; Investigador responsable Conrado Porto Lopes Gouvêa (Kryptus); Inversión R$ 632.416,90.

Republish