Al menos cuatro peruanos son víctimas a diario de un ataque cibernético. La División de Investigación de Delitos de Alta Tecnología (Divindat) de la Policía Nacional precisó que cada semana se registran entre 30 y 35 denuncias de delitos informáticos.
Para el 2019, se estima que la cifra global alcanzada por crímenes cibernéticos llegará a US$ 2,1 billones, según un informe de la empresa investigadora de mercados Juniper. La presidenta y CEO de IBM, Ginni Rometty, asegura que los ciberataques son la amenaza más grande que tienen las empresas en el mundo. Las pérdidas llegan a US$ 400 mil millones anuales a nivel mundial, según el último estudio de BSA | The Software Alliance.
En el Perú, la cifra no es insignificante: 4 mil millones de dólares se pierden al año por ciberdelitos, según Digiware. Según la policía peruana, cada semana se denuncian entre 30 y 35 delitos informáticos. Es decir, al menos 120 casos al mes. Del total, más del 50% de casos son de fraudes electrónicos, 20%, por pornografía infantil y 10%, por suplantación de identidad.
El 17 de mayo se celebra el Día de las Telecomunicaciones, también conocido como Día de Internet. En ese contexto, ¿cuáles son las oportunidades y los retos que enfrenta el Perú frente a las tendencias del cibercrimen?
El informe sobre Ciberseguridad 2016, de la Organización de Estados Americano (OEA) y el Banco Interamericano de Desarrollo (BID), advierte que el Perú ha realizado destacados esfuerzos pero aún presenta “la ausencia de una estrategia y una cadena de mando clara sigue impidiendo el fortalecimiento de la seguridad cibernética”.
Las acciones son necesarias ahora más que nunca: solo en el mes de mayo, el Perú fue víctima de dos ataques con incidencia mundial. El primer caso ocurrió la primera semana. Las empresas peruanas fueron infectadas con ransomware (secuestro de datos) También afectó a otros países latinoamericanos. El viernes 12 de mayo, 45 mil intentos de ataques se generaron en todo el mundo en 74 países. Luego de tres días, ya sumaban 200 mil los equipos afectados. Los países de América Latina más afectados fueron México, Brasil, Ecuador, Colombia y Chile.
Wanna Cry es como la nueva ISIS (grupo terrorista oficialmente conocido como Daesh), según Dmitry Bestuzhev, Director de Investigación y Análisis para Kaspersky Lab en América Latina. En una entrevista dijo a la Agencia Andina que “decenas de compañías peruanas” fueron víctimas de este nuevo ataque, con origen desconocido y sin relación confirmada con el anterior. “Esto va a servir de precedente para cambiar la lucha internacional contra el crimen cibernético. Estén los gobiernos de acuerdo o no entre ellos, estos ataques cibernéticos de alcance mundial hará que trabajen juntos”, advirtió. Lo peor es que, a pesar de los consejos, algunos usuarios y empresas han realizado pagos a los cibercriminales para recuperar su información. En tres días se realizaron 230 transacciones y se recaudó ilegalmente 62 mil dólares en todo el mundo. El panorama aún es peligroso: aparecieron dos actualizaciones del ransomware que podrían generar más usuarios perjudicados.
Nadie se percató d q antes del #WannaCry , una semana atrás el #doublepulsar fue usado en LatAm para lanzar el #Cryptoff y fue en Perú
— Dmitry Bestuzhev (@dimitribest) 13 de mayo de 2017
El Perú apunta a crear un viceministerio TIC -como parte de la cartera del Ministerio de Transportes y Comunicaciones- que permita articular las iniciativas de tecnologías. Una de esas prioridades será la ciberseguridad.
Así lo asegura el viceministro de Comunicaciones, Carlos Valdez, quien precisa a la Agencia Andina que también se priorizarán acciones en materia de salud y educación. “(La ciberseguridad) es un tema que está en la agenda y tiene relación con las TIC”, refiere.
El viceministerio TIC se encargará de integrar proyectos de tecnologías de la comunicación con enfoque en el ciudadano. Actualmente, se encuentra en evaluación en la PCM antes de la presentación al Congreso. El objetivo será mejorar la calidad de vida del ciudadano con servicios a través de internet, así como apostar por la cultura digital y la alfabetización digital.
Otra de las prioridades del viceministerio será el acceso a Internet. La brecha aún es alta: sólo el 7% de hogares cuenta con acceso a internet fijo a nivel nacional. La meta para el 2020, antes del bicentenario, es llegar al 14%.
“Debemos ser conscientes de que no se trata solo de un tema de llevar conectividad, hay un reto de contenidos que debemos afrontar, para lo cual la ‘alfabetización digital’ debe ser uno de los pilares estratégicos de nuestro desarrollo TIC”, afirma por su parte Víctor Jáuregui, director comercial de Optical Networks, empresa peruana de telecomunicaciones.
Efectivamente, la alfabetización digital es otro gran desafío que tiene el país. Esta acción debe ir acompañada de la estimulación del desarrollo de contenidos debido a que las páginas más visitadas en Internet están escritas en inglés.
"También se necesita que las empresas del Estado establezcan un cronograma razonable de migración hacia el protocolo de Internet que usa el país” afirma Jáuregui. En estos momentos, el Perú utiliza la versión 4 (IPv4). Una migración al IPv6 sería el siguiente paso para el desarrollo digital y nos prepararía para la tendencia del Internet de las Cosas.
Conoce el porcentaje de hogares con acceso a internet por región, según INEI (2015):
Al preguntarnos cómo vamos a atacar estos males creados en la era de la tecnología, la respuesta, paradójicamente, suele ser “con más tecnología”.
En un futuro próximo, a medida que los sistemas informáticos se vuelvan más sofisticados (camino a la inteligencia artificial) y más capaces, los ataques de ingeniería social también serán cada vez más automatizados e igualmente sofisticados. En el 2017, Roman V. Yampolskiy, profesor investigador de la Universidad de Louisville, en EE.UU. estima que este tipo de ciberataques se incrementen al punto de que se cree una explosión de penetraciones en la red, robo de datos personales y propagación de virus informáticos inteligentes a nivel de epidemia.
Los expertos afirman que el uso de la nube y los servicios conjuntos de sistemas TIC ayudan a combatir el cibercrimen; pero para esta estrategia, la competitividad en conectividad, a nivel país, es imperante.
El internet móvil del Perú es el más rápido (10 Mbps) en América Latina, según un informe de la compañía británica Open Signal. Por debajo están México, Uruguay, Chile, Brasil y Colombia. Sin embargo, Uruguay, Argentina, Chile, Brasil y Costa Rica tienen mayor nivel de penetración de la red 4G (conexión a internet LTE) que el Perú, según un comunicado 5G Americas.
De otro lado, la internet también es una oportunidad para la competitividad nacional. La industria tecnológica en Perú cerró el 2016 en US$ 3,887 millones, según la Asociación Peruana de Software y Tecnologías (Apesoft). Se espera un crecimiento de 5.3% en el 2017. Según Optical Network, la ciberseguridad permite impulsar en 30% la productividad y los negocios de una empresa.
El objetivo para el Bicentenario de la República (en el 2021) es que la red de fibra óptica se extienda a nivel nacional con ramificaciones de conexión. “La meta es que 1,519 distritos de los 1,873 que tiene el país tengan conexión de alta velocidad a internet. Estamos acelerando los cronogramas para el 2020”, manifiesta el viceministro de Comunicaciones del MTC.
Al respecto, Iván Chumo, especialista en Telecomunicaciones y Gerente General de Optical Networks, declaró a la Agencia Andina que el viceministerio TIC pondrá al país en vanguardia regional con un plan a mediano y largo plazo, y el despliegue de la red de fibra óptica.
¿Cuáles son los ciberdelitos más frecuentes en el mundo? El troyano publicitario fue el más propagado durante el 2016, según el estudio de Kaspersky Lab. De los 20 principales programas de malware, 16 fueron de este tipo. Estos troyanos incluso pueden comprar aplicaciones en la tienda Google Play. Además, más de 305 mil usuarios en 164 países fueron atacados por troyanos dirigidos a las transacciones bancarias móviles. Rusia, Australia y Ucrania fueron los tres principales países afectados en comparación con el total de usuarios afectados por malware móvil.
¿Sabes qué son los troyanos, ransomware, virus informáticos y otros códigos maliciosos? En este interactivo te lo contamos:
En el Perú, la empresa de seguridad Eset precisa que la infección con malware, los casos de phishing, y la falta de disponibilidad de servicios críticos son los delitos informáticos más frecuentes en las empresas.
En tanto, de acuerdo a Kaspersky Lab, el 42% de usuarios peruanos sufrieron un intento de ataque de malware. El panorama es preocupante: Perú está en segundo lugar en el ranking regional debajo de Brasil. Las infecciones se incrementaron en 74% en el último semestre del 2015.
Según cifras de EY Perú, el robo de información confidencial se suma a los ataques de malware y phishing.
Según la policía peruana, cada semana se denuncian entre 30 y 35 delitos informáticos. Es decir, al menos 120 casos al mes. Del total, más del 50% de casos son de fraudes electrónicos; 20%, por pornografía infantil y 10%, por suplantación de identidad.
“La Divindat realiza un trabajo de investigación de los delitos informáticos de la Ley 30096. Pero los ciudadanos no mantienen una cultura digital de denuncia. En muchos casos no lo reportan ante las autoridades”, dijo el comandante PNP Manuel Guerrero de la Divindat a la Agencia Andina.
En el caso de las empresas, Elder Cama, socio de consultoría de EY Perú, dice que la mejor manera de combatir a los delincuentes cibernéticos es anticipando sus ataques. “El primer paso para proteger la empresa de un ataque cibernético es conocer qué es lo que se desea proteger en específico. Los activos críticos aquí son la propiedad intelectual, la información personal, información financiera e información del negocio junto con estrategias, desempeño y transacciones”, añade.
También afirma que la compañía debe hacer un balance entre costo, riesgo y valor para analizar el mejor camino de protección contra el riesgo cibernético.
Lo cierto es que hemos pasado de ataques públicos y masivos a amenazas silenciosas, dirigidas y particulares que persiguen diferentes fines, principalmente económicos. “El uso del malware y la ingeniería social aumentan, mientras los incidentes en las redes sociales y los dispositivos móviles son los nuevos blancos de cibercrimen", agrega Oscar Aviles, CEO Fundador de Secure Soft.
Según el estudio de tendencias de Ciberseguridad de Microsoft del 2016, el malware afecta más a los usuarios comunes que a las empresas debido a que carecen de jefetaturas encargadas de su seguridad. Sin embargo, Aviles dijo que cuando las compañías son víctimas es porque han sido seleccionadas por los cibercriminales. A esto se le llaman ataques dirigidos.
Los cibercriminales manejan diversas modalidades que va de acuerdo con el avance de la tecnología, según Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de Eset Latinoamérica. “Pueden utilizar desde simples campañas de correo electrónico suplantando la identidad de una empresa reconocida aprovechando diferentes técnicas de ingeniería social hasta el uso de códigos maliciosos que comprometan la seguridad del dispositivo utilizado por el usuario”, explica Gutiérrez.
En el caso de los botnets, se trata de amenazas cuya funcionalidad es realizar tareas automatizadas a través de Internet, generalmente funciones simples que requieren de cierta repetición. Los cibercriminales en el Perú emplean este tipo de amenazas para llevar a cabo acciones maliciosas como la distribución de correo basura (spam), descarga de otras amenazas u otros ataques desde las computadoras zombis.
Además, otra modalidad en el Perú es el malware: el 82% está compuesto de ataques de código malicioso, cuyo objetivo en general es el robo de datos, según Kaspersky Lab. “El porcentaje restante pertenece a aplicaciones de Adware que se instalan en las barras de herramientas o hacen que su navegador muestre publicidad no deseada. Ya que este tipo de software no siempre es bloqueado por el antivirus (por cuestiones legales), tiende a ser uno de los más usados por los cibercriminales”, dijo Dmitry Bestuzhev, Director de Investigación y Análisis para Kaspersky Lab en América Latina.
De los ataques que se propagan por correo electrónico en el país, la mayoría de los intentos (57%) tuvo que ver con la descarga de troyanos bancarios en PCs y el ransomware (27%). Este último bloquea el acceso del usuario a archivos en su máquina y exige que la víctima pague un rescate para liberarlos.
También sigue existiendo una fuerte conexión entre los ciberataques y el uso ilegal de software. Según el último reporte del Business Software Alliance, el promedio de piratería en América Latina es del 55%, lo que alcanza un valor de US$5,787 millones de dólares.
Según The Global Economic Crime Survey 2016 PWC, en el 2016 se detectó que el cibercrimen fue el segundo tipo de delito económico más reportado a nivel mundial.
Los ataques que perjudican más a los peruanos son los fraudes electrónicos y provienen de cibercriminales que residen en el país. La Policía ha reconocido un perfil claro: varones jóvenes con altos conocimientos tecnológicos. El 30% es mujer. En los últimos meses se ha detectado que los ciberdelincuentes residentes en Lima actúan en complicidad con ciudadanos de provincia, principalmente de Loreto.
“Hemos detectado identidades que, al verificar en RENIEC, tienen como dirección de residencia Iquitos. En muchos casos, viven en Lima, pero no han cambiado sus direcciones para retrasar la investigación y su captura”, refiere el comandante PNP Guerrero de la Divindat.
En el mundo, según Digiware, el 50% de las bandas dedicadas al cibercrimen se componen de 6 o más personas. De ellos, el 76% son hombres cuyas edades van de los 14 (8%) a los 50 años (11%). Aunque la edad promedio de estos delincuentes es de 35 años (43%).
El 50% de los grupos de ciberdelincuentes han operado por más de seis meses, mientras que el 25% han operado 6 meses o menos. La mayor parte de su actividad se registra en Norteamérica y Sudamérica, con un 19% del total de ataques generados a escala mundial.
Otra modalidad en crecimiento es el ransomware, un código malicioso usado para extorsionar a las víctimas. Existen por lo menos dos tipos, explica Gutiérrez: el ransomware de bloqueo de pantalla que impide el acceso al equipo y el ransomware criptográfico, que cifra la información allí alojada. Luego el cibercriminal solicita dinero para devolver al usuario el poder sobre su equipo o sus datos. La contraseña para el descifrado es entregada luego de realizado el pago, según las instrucciones dadas por atacante. En la mayoría de los casos, el ataque afecta solo a ciertos archivos, siendo los más comúnmente perjudicados los de ofimática como procesadores de texto, hojas de cálculo o diapositivas, las imágenes y los correos electrónicos.
En los últimos tres meses se han registrado entre uno y dos casos de ransomware cada 30 días en el Perú, de acuerdo con cifras de la Policía peruana. Se trata de una modalidad que está marcando una tendencia desde el año pasado. En 2016, 153,258 usuarios únicos de 167 países fueron atacados por troyanos ransomware; 1.6 veces más que en 2015, según Kaspersky Lab. Y los ataques en móviles siguen creciendo (260 mil detecciones).
Los ciberdelincuentes secuestran información con el fin de pedir un rescate económico. “En muchos casos piden tres bitcoins (una moneda virtual) que son difíciles de rastrear porque recurren a cuentas bancarias en el extranjero”, explica el comandante PNP Guerrero. Cada bitcoin tiene un valor comercial estimado de casi 6 mil soles.
Asegura que las víctimas son tanto usuarios como empresas. En todos los casos, el perfil del cibercriminal es del extranjero. En China se identificó estos casos por primera vez en el 2014, según la compañía de seguridad Eset. La mayoría de atacantes residen en China, Europa o Rusia.
Por su parte, Kaspersky Lab advierte que una de cada cinco pymes que pagaron el rescate por la información no lograron recuperar sus datos. Los expertos coinciden que no se debe pagar por el rescate. La apuesta debe ser mantener copias de seguridad, recomienda el Divindat.
Pero en la primera quincena de mayo del 2017 se han registrado múltiples casos. Decenas de empresas peruanas se han visto afectadas. El ataque más reciente captó la atención mundial debido que 75 países fueron afectados, incluyendo el Perú. Dmitry Bestuzhev, Director de Investigación y Análisis para Kaspersky Lab en América Latina, dijo a la Agencia Andina que una reconocida empresa financiera se vio perjudicada.
Un primer problema en materia de ciberseguridad es que las empresas aún no tienen cultura digital para implementar medidas de prevención y acción. El 71% de las empresas admiten haber sido víctimas de un ciberataque. Las pérdidas llegan a US$ 400 mil millones anuales a nivel mundial, según el último estudio de BSA | The Software Alliance.
Hay más de un millón de plazas en ciberseguridad en el mundo. The Palo Alto Research Center estima que esa cifra se elevará a 6 millones en el 2019.
Deloitte precisa que el 61% de empresarios identifica la ciberseguridad como importante para el éxito del negocio pero sólo el 10% de los CIOs reportan la gestión de riesgos de TI como principal ítem en su lista de tareas.
En cuanto a limitaciones, la normativa podría mejorar. El informe del BID y OEA en materia de ciberseguridad revela que “la ausencia de una estrategia y una cadena de mando clara sigue impidiendo el fortalecimiento de la seguridad cibernética” en el Perú.
En opinión del Dr. Alejandro Morales del estudio Torres y Torres Lara Abogados, la legislación peruana sigue siendo débil. En el Perú existen normas que buscan salvaguardar los datos personales e información de carácter sensible que se encuentren en sistemas automatizados, tales como la Ley N° 30096 – Ley de Delitos Informáticos y la Ley N° 29733 – Ley de Protección de Datos Personales.
En dichas normas se puede apreciar que se pretende combatir aquellas conductas ilícitas que afecten los sistemas y datos informáticos, así como otros bienes jurídicos protegidos tales como la intimidad, el secreto de las comunicaciones, el patrimonio y la fe pública. Asimismo, se puede verificar que se sanciona a aquellas personas que a través de internet u otro medio análogo contacta con un menor de 14 años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él.
“Muchos de los casos de éxito que existen en el extranjero nacen de una legislación que empodera a su policía para combatir los cibercrímenes, así como una estrategia nacional de ciberseguridad”, opina Morales.
Por su parte, la Divindat alerta que la normativa podría ser mejorada para que el secreto de las comunicaciones se enfoque únicamente en el contenido, es decir, en la información robada para delitos informáticos.
“El secreto de comunicaciones protege los datos y el no-contenido. Este último no debe ser contemplado. No podemos pedir una IP al operador sin un proceso judicial”, dijo el comandante PNP Guerrero. Con la identidad y la georeferencia se podrá avanzar en la investigación.
Otro problema es la falta de acuerdos internacionales para pedir información. El Perú no se ha sumado al Convenio de Budapest, que es un tratado internacional de cooperación sobre delitos informáticos.
En ese sentido, Carmen Zegarra, abogada de la Unidad de Crímenes Digitales de Microsoft en Perú, dijo a la Agencia Andina que el convenio “ayudará a armonizar las leyes e impulsar una mejor cooperación entre fronteras. Esta coordinación y cooperación internacional ayudará a eliminar los refugios de los delincuentes y a reducir al mínimo los riesgos que surgen cuando los intermediarios y otras partes inocentes están sujetas a obligaciones o responsabilidades en conflicto”.
En el 2016, el Perú envió 55 solicitudes de datos sobre 131 usuarios de Facebook. Poco más del 50% fueron atendidas. También hubo dos casos de emergencias entre julio y diciembre del año pasado que no fueron respondidos por la red social, según el informe de transparencia de Facebook. No se ha pedido información en el 2016 sobre usuarios de Twitter.
“Los casos de ransomware tienen origen en el extranjero. Debemos pedir información a operadores internacionales del dominio para continuar la investigación y muchas veces la respuesta demora”, comenta Guerrero.
Guerrero agrega que la investigación de delitos informáticos puede durar seis meses. Con el pedido de información internacional a redes sociales o empresas operadoras extranjeras, el plazo podría alargarse aún más.
“También hacen falta fiscalías especializadas que ya existen en Argentina, España o Italia y otros países”, señala.
Zegarra añade: “se necesitan nuevos enfoques para perseguir a los delincuentes. Un ejemplo de innovación es el llevado a cabo como programa piloto de la policía de la Ciudad de Londres -en asociación con bufetes de abogados privados- en donde se utilizan los tribunales civiles para embargar los activos de los delincuentes informáticos”.
En tanto, para facilitar y animar la cooperación puntual y oportuna, la especialista de Microsoft opina que “los gobiernos deberían aclarar las reglas para el intercambio de datos entre las empresas y las fuerzas del orden”. Dicho proceso podría ser fundamental para prevenir o reaccionar ante la ciberdelincuencia.
Asimismo, la Divindat debe enfrentar otra dificultad: la falta de software especializado o la necesidad constante de pagar licencias por estos programas forenses.
“Perú no solamente necesita de leyes, sino de recursos tecnológicos de última generación para poder combatir eficientemente contra estos delitos que son de carácter altamente sofisticado”, agrega Morales.
El viceministerio TIC quiere cambiar este preocupante panorama colocando la ciberseguridad en la agenda peruana. El proyecto de ley llegará pronto al Congreso.
Este 17 y 18 de mayo de 2017 se realizará la TeleExpo, con charlas sobre ciberseguridad, Big Data, ciudades inteligentes e innovaciones tecnológicas. Se realizará en la explanada del coliseo de la Pontificia Universidad Católica del Perú. El debate de esta expo organizada por el Ministerio de Transportes y Comunicaciones (MTC) está centrada en la tendencia Big Data (análisis de datos) y en su aplicación para beneficiar a los peruanos.
Fecha de publicación: 15 de mayo 2017 (Última actualización: 06/11/2017 10:25 a.m.)