En la Segunda Guerra Mundial, una de las mayores preocupaciones de los países que estaban bajo la amenaza bélica era que sus infraestructuras críticas fueran los objetivos primarios y estratégicos de ataques que desembocaran en un estado de caos, confusión y alta vulnerabilidad; y no solo para los organismos de defensa nacional, sino también para la población en general.
Esta preocupación ha estado presente en la actualidad en aquellos países y regiones con alta incidencia de siniestros catastróficos como grandes huracanes y devastadores terremotos, los cuales son capaces de arrasar con las infraestructuras críticas de esas naciones, llevando a las poblaciones a un estado de fragilidad extrema.
En los últimos años, hemos sido arropados mediáticamente por eventos de ciberseguridad vinculados a grandes empresas multinacionales y organizaciones de sectores críticos pertenecientes a países de gran desarrollo económico y social, cuyos casos han levantado la bandera de la preocupación e incertidumbre a organismos públicos y empresas del sector privado de naciones que todavía corren en el carril para alcanzar el desarrollo pleno. En este contexto, en una región como América Latina y el Caribe nos enfrentamos a uno de los desafíos más complejos y transcendentales: la materialización de ciberamenazas, las cuales ponen en jaque no solamente una entidad privada o pública, sino también la supervivencia de una colectividad.
Recursos
No obstante, es relevante poner en claridad cuáles son aquellos recursos que consideramos de vital importancia para una nación y que deben ser resguardados de las posibles actividades de la ciberdelincuencia. Acorde a la entidad norteamericana Cybersecurity and Infrastructure Security Agency (CISA), las infraestructuras críticas son aquellas que representan a los activos, sistemas y redes que proporcionan funciones necesarias y vitales para nuestra forma de vida y desempeño.
CISA considera la existencia de 16 sectores críticos que, en su conjunto, forman parte de un ecosistema complejo e interconectado. Si cualquier amenaza a estos sectores se hace realidad, puede tener consecuencias potencialmente devastadoras para la economía, la integridad ciudadana y la seguridad nacional en general.
Para CISA, los sectores que conforman estas infraestructuras críticas son los siguientes: químico, instalaciones comerciales, comunicaciones, manufactura, base industrial de defensa, presas, energía, servicios de emergencia, servicios financieros, salud, facilidades gubernamentales, alimento y agricultura, transporte, tecnología de la información, sistemas de agua y, por último, reactores, materiales y residuos nucleares.
Este listado es bastante interesante y representa el conjunto de recursos cuyo impacto negativo procedente de una ciberamenaza puede tambalear la seguridad nacional de Estados Unidos.
Pese a ello, como una buena parte de estos sectores están presentes en nuestra región latinoamericana, es importante desmarcarse con la definición e identificación apropiada de estas infraestructuras a la luz de la realidad jurídica y socioeconómica de cada país.
Por ejemplo, es posible que, en una nación determinada, su industria turística sea incipiente y no represente un sector fundamental en la dinámica económica y social de ese país. Consecuentemente, el órgano regulador estatal responsable de la ciberseguridad nacional no incluiría dicho sector en la declaración de infraestructura crítica. Sin embargo, para otra nación cuya industria turística aporte un porcentaje significativo de su Producto Interno Bruto, reciba grandes volúmenes de turistas nacionales e internacionales y cuyo mercado contribuya significativamente en su marca país, la declaración de infraestructura crítica es necesaria y vital para que los esfuerzos de salvaguarda de dicho sector puedan encaminarse oportunamente.
Infraestructuras críticas: tormenta perfecta
De cara a tener un entendimiento de las fuerzas a las cuales nos enfrentamos, se debe dar un vistazo al panorama actual de la región y sus condiciones organizacionales, técnicas y jurídicas frente a la tormenta perfecta alimentada por las crecientes ciberamenazas.
Según los índices de desarrollo en materia de ciberseguridad elaborados por la Unión Internacional de Comunicaciones, la e-Governance Academy y la Organización de Estados Americanos, América Latina presenta avances relevantes en materia de protección de la información y ciberseguridad, pero caracterizada por un nivel de madurez bajo y dispar entre
los integrantes de la región.
Parte de las desigualdades observables en el territorio quedan evidenciadas en los mecanismos jurídicos especializados presentes en algunos países y en otros no. Acorde al seguimiento dado por el Rastreador Global de Legislación Cibernética de la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo, solo 24 de los 33 países de América Latina y el Caribe tienen legislación sobre privacidad y protección de datos personales.
Y en lo que respecta a la ciberseguridad, podemos dar un vistazo al Índice de Ciberseguridad Global de la Unión Internacional de Telecomunicaciones que, en su estudio de 2020, presenta también un cuadro de amplias diferencias en los países de nuestra región. El mejor clasificado es Brasil, con 96,6 puntos de 100; seguido de México (81,68), Uruguay (75,15) y la República Dominicana (75,05). En cambio, algunos países de Centroamérica y el Caribe tienen menos de 35 puntos.
Otra perspectiva de las condiciones de ciberseguridad puede apreciarse en estudios realizados por consultoras como la empresa internacional KPMG. Según esta firma, los riesgos actuales que generan mayor preocupación podrían combinarse como una «triple amenaza» integrada por eventos de fraude, infracciones de cumplimiento y ciberataques.
Solamente el 19 por ciento de las instituciones en Latinoamérica cumple con al menos la mitad de los controles relacionados con la ciberseguridad (KPMG, 2022).
Por otra parte, la mencionada organización señala que las pérdidas por un manejo inapropiado de la ciberseguridad ascienden al 1,5 por ciento de la facturación anual de las empresas lucrativas, sin tomar en cuenta los relevantes costos intangibles asociados a la pérdida de reputación e imagen.
Algunos datos
Tener una idea concreta de los riesgos de ciberdelincuencia a los que están expuestos nuestros países no es una tarea muy sencilla. Contar estadísticas precisas y completas sobre los eventos que han impactado negativamente a las organizaciones privadas y públicas en América Latina y el Caribe supone un ejercicio de estimación y uso de un sexto sentido que permitan identificar una luz referente de las tendencias en la región.
Una muestra representativa de que lo experimentan cotidianamente nuestros países son los datos indicados por el Microsoft Digital Defense Report 2023, del cual se pueden resaltar las siguientes informaciones:
- Para un atacante, extraer datos de una persona después de que el usuario es víctima de phishing le toma en promedio 72 minutos.
- Se han identificado, por lo menos, 157.000 millones de ataques en 2023.
- Una hora y 42 minutos es el tiempo promedio que le toma a un atacante moverse lateralmente en la red tras comprometer la seguridad del recurso de TI.
- El 93 por ciento de las investigaciones de recuperación de ransomware evidenciaron inadecuada gestión de privilegios de acceso.
- El 60 por ciento de las empresas víctimas de ciberdelincuencia recibieron más de un ataque.
Futuro de las infraestructuras críticas
No es difícil inferir que, con las informaciones recogidas de diversos organismos especializados en ciberseguridad y el testimonio analítico de grandes empresas en los principales mercados tecnológicos, se impone un devenir a corto y mediano plazo nebuloso que nos asalta prácticamente sin disponer de todos los recursos y la madurez necesaria para pretender estar a la par de las circunstancias.
No obstante, como parte de la evolución que se ha iniciado en la región de América Latina y el Caribe, podemos emprender una serie de iniciativas que pueden contribuir a dar el salto a un mejor horizonte, tales como:
- Garantizar procesos de supervisión y actualización de las estrategias nacionales de ciberseguridad sustentadas con planes de implementación precisos y efectivos.
- Fomentar procesos permanentes de ejercicios de prueba a los planes de recuperación ante desastre para afinar y asegurar la efectividad del plan.
- Ampliar de manera masiva y continua la sensibilización pública en materia de ciberseguridad.
- Diseñar e incentivar un marco de colaboración operativa entre los organismos públicos reguladores y el sector privado que permita responder a los ataques mediante la colaboración e intercambio de información que posibiliten la mitigación oportuna de estos eventos.
América Latina presenta avances relevantes en protección de la información y ciberseguridad, pero con un nivel de madurez bajo y dispar
- Incentivar la mejora sustancial de la resiliencia cibernética de las infraestructuras críticas mediante la adopción de estándares de repuestas a incidentes y la implementación de soluciones tecnológicas con un enfoque de visión de futuro.
- Fortalecer la cooperación regional fomentando iniciativas coordinadas para frenar el avance de las ciberamenazas latentes.
- Mantener análisis continuo de las tecnologías recientes y futuras para identificar y comprender las amenazas y oportunidades de la ciberseguridad frente a los riesgos asociados a dichas tecnologías.
Finalmente, es relevante destacar que todos los esfuerzos desplegados por los diversos Estados miembros de la región y los representantes de los sectores de infraestructuras críticas no serán suficientes para contener la oleada creciente y exponencial de la ciberdelincuencia si la ciudadanía no adopta de manera integral la postura de representar la primera barrera de protección de la sociedad y de valorar en su justa dimensión el tesoro que sustenta la privacidad y protección de la información, así como el uso responsable de las tecnologías que posibiliten el desarrollo humano y económico de la humanidad.
