Esta mañana estuve en la presentación del Eset Security Report Latinoamérica 2016, un reporte anual emitido por Eset – una de las compañías líderes en seguridad informática en el mundo – con el que se puede hacer uno a la idea de cómo estamos en materia de Ciber-Seguridad en la región, especialmente a nivel corporativo.
Y debo confesar que me sorprendieron los resultados no tanto por las cifras mostradas – de las que haré un resumen más abajo y las cuales son similares a las que vimos hace un año – sino porque me di cuenta que las compañías y sus directivos tienen el foco mal puesto y que gran parte de los ciber-ataques que sufren las compañías del sector son precisamente el resultado de este craso error.
Permítanme les explico con estas dos gráficas:
En la primera están las preocupaciones de las empresas en materia de seguridad informática. En la segunda están los incidentes más comunes. Notan algo?
A pesar de que las amenazas más reales para la seguridad de las empresas en la región – los ataques que más han recibido – son los ataques informáticos vía Malware y Phishing (las 2 barras más grandes en la segunda gráfica) el foco de los administradores de TI y Seguridad Informática en las empresas sigue siendo protegerse de las vulnerabilidades de las aplicaciones y los sistemas (que está en el cuarto lugar leeeejos del #1).
Helloooo!!! Sí, el hardware y el software son importantes cuando hablamos de ciber-seguridad (nadie negaría eso). Pero cada día es más importante enfocarse en la gestión de esos activos (de nada sirve tener un antivirus si las definiciones del mismo están desactualizadas) y en la educación de los usuarios (que siguen siendo el eslabón más débil de la cadena).
Y por eso, por esa falta de educación y por no concientizarlos y entrenarlos, es que todavía la gente abre los correos sin importar de quienes vengan y descargan los archivos adjuntos (que están llenos de virus y malware y ransomware infectando toda la red corporativa) o sigue el link a donde le preguntan sus credenciales de acceso a los sistemas internos de la compañía o al banco, a pesar de las millones de advertencias que existen al respecto.
Sume los incidentes por Phishing y por Ingeniería Social (que al fin y al cabo son parecidos) y verá que 1 de cada 3 empresas “grandes” de la región fue víctima de estos delitos durante el año.
Preocupantemente sólo el 22% de las empresas encuestadas reportaron “no haber tenido incidentes” de seguridad informática durante el año lo que nos deja con un total de cerca de 8 por cada 10 que sí fueron víctimas del ciber-crimen.
El reporte es muy completo y lo pueden ver de manera gratuita siguiendo este link. Pero si quieren mi resumen de las cifras más espeluznantes helo aquí:
- Los países más afectados por el malware son Nicaragua, Guatemala y Ecuador (coincidencialmente son también 3 los países donde más piratería de software hay en la región)
- En Nicaragua, por ejemplo, cerca del 58% de las empresas fueron víctimas de ataques por medio de esta práctica
- Chile, Argentina y México tienen los índices más bajos de ataques vía malware (excluyo los resultados de Venezuela porque creo que pueden estar sesgados por razones externas al análisis realizado por Eset)
- A pesar de una leve reducción desde el 2010 las infecciones por Malware en la región aún afectan al 40% de las empresas y están por encima de los reportados en los años anteriores
- El phishing sigue creciendo y es cada vez más representativo (lo sumaría a los ataques de tipo ingeniería social sólo para mirar el impacto verdadero de “engañar a los usuarios”) y hoy por hoy es el segundo tipo de incidente más común en materia de ciber-seguridad en la región
- Ecuador, Perú y Guatemala son los países más afectados por esta práctica
- Tan sólo el 51% de las empresas realiza campañas de concientización y educación en ciber-seguridad para sus empleados y sólo el 16% lo hace “periódicamente”
- Menos del 15% de las empresas en la región tienen una persona exclusivamente destinada al tema de ciber-seguridad. La mayoría (51%) asignan esta responsabilidad al Gerente de TI
