A juicio de AMECI, ¿cómo se encuentra la sociedad mexicana en materia de formación en ciberseguridad? ¿Los ciudadanos mexicanos están suficientemente concienciados y familiarizados con los riesgos cibernéticos?
Definitivamente, la respuesta es no. Nuestra participación en diversos foros permite que advirtamos dos factores importantes: el primero es la falta de información real y clara del tema; y el segundo, el poco interés que prevalece.
Y es que los usuarios comunes no toman en cuenta los riesgos hasta que son víctimas de la ciberdelincuencia. Por ejemplo, mediante estafas por medio de un móvil que, principalmente, tienen como objetivo vaciar cuentas bancarias de las tarjetas de débito, o cuando son víctimas de suplantación de identidad. Y en otros ataques que cada vez son más cotidianos figuran el robo de credenciales en redes sociales y correos electrónicos de cuentas personales o corporativas, el robo de cuentas de WhatsApp…
Las empresas y organizaciones, en general, ya están tomando más en serio el tema. Sin embargo, al igual que sucede con los usuarios, la seguridad no es un tema prioritario. Y se sigue pensando que un antimalware es suficiente para proteger los activos valiosos de la organización, sin comprender que un software de protección es una de varias o muchas capas, dependiendo del negocio, que se deben considerar para proteger la información y la infraestructura de las empresas de manera eficiente.
AMECI posee un micrositio dedicado a los niños. ¿Qué aceptación tiene? Además, ¿qué acciones llevan a cabo desde la asociación para fomentar cultura de ciberseguridad entre los menores?
Desafortunadamente, la respuesta no ha sido la esperada. Tenemos poca participación. Y aunque procuramos dar charlas en instituciones educativas, el interés, en muchas ocasiones, es muy bajo. Lamentablemente, solo se activan las acciones cuando hay una noticia que se vuelve sobresaliente en los medios de comunicación o las redes sociales.
Sin embargo, no bajamos la guardia. Y seguimos colaborando de manera activa en la prevención y compartiendo información con jóvenes y niños, padres y madres de familia y docentes de las instituciones educativas.
Los autónomos y las pequeñas y medianas empresas (pymes) conforman un gran tejido empresarial. ¿Qué servicios ofrece AMECI para este tipo de usuarios?
En abril de 2022 cumplimos cinco años prestando servicios de seguridad. Y, principalmente, todos nuestros servicios están enfocados a las pymes por dos motivos: primero, porque conforman el entorno económico más representativo del país y, por ello, son blanco de los ciberdelincuentes; y segundo, porque no cuentan con personal dedicado exclusivamente a la protección de la información, la figura de un CISO es poco probable.
Sobre todo, los servicios que ofrecemos a las pymes están relacionados con la realización de diagnósticos para determinar cuál es su grado de madurez, en materia de protección de la información, respecto a organizaciones más maduras. Nos enfocamos en determinar los riesgos en todo lo que se considera seguridad de la información. Y en organizaciones más limitadas en personal o tecnologías centramos el diagnóstico en la ciberseguridad.
Precisamente, en 2022 lanzamos una herramienta de diagnóstico gratuita que permite a las organizaciones identificar y conocer sus riesgos asociados a la identificación, detección, respuesta, protección y recuperación ante un ataque o incidente cibernético.
Otro de los servicios es el pentesting y análisis de vulnerabilidades. Para este tipo de servicio contamos con personal certificado, y con suficientes años de experiencia, que facilita llevar a cabo análisis en prácticamente cualquier infraestructura tecnológica: desde redes, servidores y aplicaciones móviles hasta infraestructura en la nube y el Internet de las Cosas (IoT, por sus siglas en inglés).
Y un tercer servicio, pienso que de los más significativos e importantes en temas preventivos, es la capacitación. La enfocamos en tres niveles: el primero está dirigido a los usuarios o colaboradores de las organizaciones; el segundo es la capacitación al personal técnico con temas de seguridad tecnológica, pero también de conocimiento en la gestión de la seguridad de la información; y en un tercer nivel capacitamos a las áreas gerenciales, las que toman decisiones y son parte indispensable para que las iniciativas en las empresas dispongan del apoyo a ese nivel de dirección.
Cuando comienza un nuevo año, empresas y organizaciones de ciberseguridad anuncian sus predicciones. En el caso de AMECI, ¿cuáles cree que serán las principales ciberamenazas para los ciudadanos mexicanos y las empresas del país en 2023?
Consideramos que las principales amenazas cibernéticas estarán enfocadas a los usuarios con el objetivo de lograr comprometer sus cuentas de cara a obtener acceso a servicios empresariales.
Otro asunto importante es el ataque a proveedores que entregan servicios a grandes empresas, es decir, el vector de ataque a la cadena de suministro. Hemos tenido un buen número de casos significativos donde los atacantes comprometen a las pymes que disponen de información e incluso llegan a acceder a grandes empresas. Por ese canal buscan atentar no contra la pyme, sino a las empresas a las que prestan sus servicios.
Otra tendencia es la suplantación de identidad corporativa, algo que se destaca con frecuencia tanto en las empresas como a nivel gobierno. Asimismo, el ransomware, en sus diversas mutaciones, sigue creciendo y 2023 no será una excepción. La adopción del IoT y la inteligencia artificial (IA) es otro gran reto que se tiene visualizado. Y, finalmente, la transformación digital, que fue acelerada con la llegada de la COVID-19. Sin duda, esto es un gran desafío para las empresas respecto a los riesgos asociados.
El metaverso ha cobrado auge en los últimos años. ¿Qué riesgos entraña? ¿Qué consejos deben tener en cuenta quienes acceden a ese mundo virtual?
Al menos en México, el metaverso es un tema en crecimiento y, de momento, no es un elemento fundamental en la operación de las empresas. No obstante, no debemos perderlo de vista, puesto que, al no ser una tecnología individual, encierra muchos riesgos. En este sentido, es importante considerar cinco aspectos.
El primero son los elementos criptográficos que incorporan criptosistemas, mecanismos de identificación y autenticación de los datos y el gran reto del cifrado de las identidades.
El segundo es la construcción de una economía virtual, la descentralización de las plataformas financieras y el potencial económico que esto puede representar. Por ello hay que incorporar los riesgos relacionados a los entes financieros.
El tercer aspecto tiene que ver con el cibercrimen, que ahora formará nuevos grupos criminales y generará herramientas de ataque especializadas en las tecnologías asociadas al metaverso.
En cuarto lugar están las vulnerabilidades enfocadas a la privacidad de los usuarios, las amenazas a la autenticación de identidades en esos mundos alternos del metaverso y la seguridad en los equipos, aplicaciones y servicios que provean el acceso a los mundos virtuales.
Y el quinto asunto es el punto de vista social, donde, sin duda, el robo o suplantación digital será un objetivo y riesgo asociado a una vida alterna en comparación a la física que conocemos.
En la anterior entrevista concedida a Segurilatam, usted manifestó que México necesita una Ley General de Ciberseguridad. Y otros profesionales coinciden con usted. Al respecto, ¿cree que dicha norma podría aprobarse antes de que concluya el sexenio de Andrés Manuel López Obrador o, por el contrario, habrá que esperar a un nuevo sexenio?
Todo apuntaba a que en 2022 ya contaríamos con dicha ley. Pero debido a los movimientos políticos que se están dando en el país, rumbo a las próximas elecciones, y las modificaciones de normas actuales, el proyecto se ha quedado estancado en la agenda legislativa. Es importante mencionar que la acción que sí se ha concretado es la creación de una comisión TIC y de seguridad de la información. Consideramos que puede ser el inicio de la conformación de acciones más serias a este respecto. Lo único que esperamos es que la ley sea realista y exista un seguimiento serio para su cumplimiento, medición y mejora.
¿Cuál es la valoración de AMECI sobre todo lo publicado acerca de las filtraciones de Guacamaya sobre asuntos relacionados con el Gobierno o la seguridad nacional? ¿Estos ciberincidentes ponen en entredicho la ciberdefensa de México?
Es complicado determinar el verdadero objetivo de este ataque. Si bien es adjudicado a un grupo hacktivista cuyos ideales conocemos, sería arriesgado dejar el hecho hasta ahí. Sabemos que, bajo ciertos escenarios, la Red es tan anónima como conocimientos de ocultarnos tengamos.
Debemos tomar en cuenta el entorno actual político en el país, lo cual puede ser un factor determinante con miras a las próximas elecciones. Es un hecho que un ataque de esta naturaleza tiene como objetivo evidenciar supuestas malas acciones de los gobiernos. Y, por supuesto, el tema mediático ayuda a convertirlo en algo mucho más grande de lo que pudiera ser en realidad.
Por otro lado, desde el punto de vista de la seguridad, el poco interés y la austeridad en presupuesto para estos temas afecta, y lo seguirá haciendo, a las infraestructuras críticas de gobierno. Hablábamos de la emisión de la Ley General de Ciberseguridad. Entonces, estos hechos ponen de manifiesto dudas muy serias al respecto y la incongruencia entre lo que se debe hacer y lo que se hace. Sabemos que sin presupuesto, sin un plan y sin formación, el escenario será cada vez más hostil para las instituciones de gobierno.
Para finalizar, ¿qué acciones llevará a cabo AMECI a lo largo de 2023? ¿La asociación contempla impulsar nuevas iniciativas o servicios?
Estamos trabajando en dos proyectos importantes. El primero es una estrategia unificada para atender, de manera global, las principales necesidades en ciberseguridad de las pymes. Es un proyecto ambicioso, ya que considera el desarrollo de mucho contenido visual y herramientas web. Es una metodología enfocada a las necesidades de nuestro país.
Y de este mismo proyecto se desprende la segunda iniciativa. Consta de una herramienta web que tiene como objetivo administrar y monitorear las acciones realizadas en las organizaciones en términos de seguridad y ciberseguridad. De esta manera, la gerencia y los encargados de la seguridad podrán disponer de un tablero de control e indicadores que les ayudarán a tomar acciones reactivas y de prevención.
