Giovanni Pichling, gerente de Seguridad Estratégica de la Asociación de Bancos del Perú reforzó la importancia de la seguridad a la hora de operar productos o servicios digitales: “Sin duda, los pagos digitales han creado muchas oportunidades para las empresas y usuarios. Sin embargo, para seguir impulsando la transformación digital hay que también asegurarnos de tener plataformas seguras. En este segundo Congreso de Pagos Digitales, podrán conocer acerca de los nuevos riesgos que pueden afectar la seguridad de los pagos digitales y cómo mitigarlos para asegurar que estemos operando de manera segura y cuidando el bienestar de nuestros clientes”.
El congreso se brindará de forma 100% online mediante la plataforma Zoom. Contará con 8 horas de seminarios divididas en 4 sesiones de 2 horas cada una. Las sesiones se llevarán acabo el 20, 22, 27 y 29 de setiembre de 6:00 p.m a 8:00 p.m. El programa busca promover la interacción de los participantes por lo que habrá oportunidades de realizar preguntas en vivo.
Cabe mencionar que, de acuerdo a un informe de Fortinet, el Perú se ubica entre el Top de los países más atacados por los ciberdelincuentes, alcanzando solo en el 2021 más de 11,5 billones de intentos de ciberataques.
Para gestionar estos riesgos, el 61% de las empresas industriales amplió sus medidas de protección cibernética a las partes de su infraestructuradonde una brecha de seguridad puede causar daños a sus empleados o al ambiente. Más de la mitad (59%) de las organizaciones encuestadas ya ha incluido inquietudes ambientales en sus programas de evaluación de riesgos y el 56% de las empresas tiene un director de sustentabilidad que valida todos los proyectos dedicados a la ciberseguridad.
-Utilizar herramientas de seguridad, que mediante tecnología antiphishing, antispam y de detección de malware, permita proteger los canales de comunicación corporativos. Aunque BEC representa uno de los tipos más sofisticados de compromiso para el correo electrónico, estas herramientas permiten procesar indicadores indirectos y detectar, incluso, los correos electrónicos falsos más convincentes.
El año pasado se visibilizó el pivote digital, es decir, una digitalización temprana que impactó a todos los sectores de la economía mundial, como consecuencia de la pandemia del nuevo coronavirus. Tal movimiento, notado principalmente de forma amplificada en toda América Latina, y responsable de una serie de cambios socioeconómicos y tecnológicos, aún trae consigo un escenario de incertidumbre que afecta las decisiones dentro de las empresas, que necesitan anticiparse cada vez más y hacer de la tecnología una prioridad en sus acciones.
De esta forma, es necesario que las empresas estén atentas a las novedades y tendencias que podrán hacerlas más competitivas y brindar experiencias compatibles con la demanda del mercado. Según Orlando Perea, CEO de Softline Perú, proveedor global líder en servicios de transformación digital, indica que “el impulso de soluciones del tipo de trabajo colaborativo e integración de equipos en entornos seguros y de participación efectiva, serán las más valoradas por las empresas”.
Echa un vistazo a las principales tendencias tecnológicas para 2022:
Tecnología sustentable. Con la sustentabilidad en alza y las acciones ASG (Ambiental, Social y de Gobierno Corporativo) que se están tomando en todas las áreas del sector empresarial, una de las principales tendencias del año es precisamente la tecnología sustentable. Un tema que aún es poco debatido e implementado en el entorno corporativo, la gestión del consumo de TI debe ser evaluada por una consultoría de gestión del consumo. Esta evaluación debe considerar, por ejemplo, cómo minimizar los efectos secundarios de una infraestructura de nube no utilizada en su totalidad, cómo asignar más recursos y liberar espacio no utilizado, así también como crear un ambiente propicio para la gestión del consumo consciente, con un enfoque en la contratación más sensata para cada tipo de negocio.
Inteligencia artificial para la personalización. una de las principales tendencias para 2022 es personalizar los sistemas a través de la inteligencia artificial de lo que se denomina ‘genio digital’. Replica la configuración optimizada para empresas de línea de montaje, por ejemplo, con la unión de Analytics e Inteligencia Artificial.En otras palabras, el genio digital se encarga de optimizar al máximo la inversión empresarial, especialmente en lo que se refiere al seguimiento. Un ejemplo de ello es el aprendizaje personalizado con un enfoque educativo basado en reconocer las necesidades y fortalezas individuales de los estudiantes para moldear su proceso de aprendizaje. Estas aplicaciones de IA identifican materiales y enfoques adaptados al nivel personal, permitiendo hacer recomendaciones, predicciones, y decisiones sobre el avance del proceso de aprendizaje basado en datos individuales. De esta forma, los sistemas de IA ayudan a los alumnos a manejar los temas a su propio ritmo y brinda a los profesores sugerencias sobre cómo ayudarlos.
5G para priorizar inversiones en seguridad de la información. Es bueno celebrar la llegada de 5G, pero para que todos los dispositivos estén conectados e integrados, es necesario aumentar las inversiones en seguridad de la información. Esto se debe a que tantos dispositivos conectados, sin la protección adecuada, pueden ser una fuente fácil de filtraciones y robos de datos causados por piratas informáticos. Por lo tanto, los sistemas deben estar fragmentados, compartimentados por ubicación, para evitar que todos los datos se almacenen en una sola nube. Por ello, el ejecutivo de Softline enfatiza que la seguridad debe ser considerada una inversión y no un gasto, ya que una entidad puede verse impactada en pérdidas que pueden ir desde información, hasta daño en su reputación.
Optimizar aplicaciones para grandes comercios electrónicos. Con el crecimiento de los grandes comercios electrónicos, es necesario optimizar aplicaciones tecnológicas como sistemas relacionados con IoT, mantenimiento predictivo, monitoreo mecanizado, entre otros, para que la experiencia del cliente sea la mejor y más segura. Lo ideal es abordar aplicaciones orientadas al comercio electrónico y datos, así como aquellas que impactan catálogos de oferta, anunciantes, Marketplace, medios de pago y logística. Después de todo, cuantas más aplicaciones, menos repeticiones. Y menos posibilidades de cometer errores.
Ciberseguridad: El constante crecimiento de las nuevas tecnologías, el trabajo segmentado por la pandemia, y el aumento de ataques cibernéticos gracias a las vulnerabilidades en equipos de cómputo, redes híbridas e infraestructuras; hace pensar que se aproximan grandes retos para la ciberseguridad. La clave para evitar riesgos es tener un conjunto de políticas, herramientas y procesos para prevenir los ataques exitosos y anticipar los posibles ataques a futuro gracias al monitoreo y a la respuesta continua.
Para incrementar la seguridad de una compañía se deben implementar 4 modelos fundamentales de protección: prevención, predicción, detección y respuesta.
Los peruanos confían cada vez más en los medios digitales para hacer compras. Según la Cámara Peruana de Comercio Electrónico, la penetración de compradores online en el Perú pasó del 18.6% en el 2019, es decir 6 millones de personas conectadas, a 36.1% al cierre del 2020. Al cierre del 2021 se estima que la cifra de peruanos que compran por internet es de unos 11.8 millones. La tendencia para el 2022, seguirá en aumento.
“El comprador de hoy se atreve a registrar sus datos en las plataformas tecnológicas, pues aprendió a identificar señales de enlaces seguros y a proteger su información”, explica Rosario Villalta, decana de la Facultad de Ingeniería de la UPC. Esto se debe a las nuevas soluciones tecnológicas que las empresas están implementando y que buscan reducir costos sin perder estándares de calidad.
Al diversificarse y ser cada vez más sencillos los procesos de e-commerce, las micro y pequeñas empresas también pueden virar hacia la transformación digital para hacer de la experiencia de compra de sus clientes, un momento satisfactorio. Además, pueden implementar nuevos esquemas de trabajo enfatizando en los controles, regulaciones y estructuras de ciberseguridad para una mayor tranquilidad de los clientes.
Cambios en el mundo digital
Nos acercamos al segundo año de la llegada de la pandemia, y es importante reconocer cuáles son los principales cambios impulsados por esa coyuntura respecto de los sistemas de información. Rosario Villalta explica que el primer cambio está en la digitalización de los negocios, ante la necesidad de impulsar la virtualización de los procesos para continuar adelante.
“En segundo lugar, encontramos a la ciberseguridad, al realizarse las actividades virtuales surge la necesidad de proteger la información de posibles ataques cibernéticos”, detalla Villalta. Un tercer cambio sería el surgimiento de las “nuevas soluciones tecnológicas’’, que apoyan al desarrollo de procesos empresariales, y que ahora se encuentran al alcance de todo tipo de empresas, incluso Mypes.
Respecto de la ciberseguridad, Jimmy Armas, director de la Maestría de Ciberseguridad y Gestión de la Información en la Escuela de Postgrado de la UPC, explica que el gobierno ha impulsado el reglamento del sistema nacional de transformación digital con el fin de fortalecer la gobernanza digital, garantizar el desarrollo de la economía digital y la innovación.
Armas agrega que el Estado debe seguir impulsando las reglamentaciones para tener normativas de seguridad de la información. “Lamentablemente aún existe una brecha entre el nivel de madurez digital del sector público versus el sector privado ya que la complejidad del gobierno ralentiza los procesos de digitalización y sus integraciones”, indica.
El trabajo remotoreduce la probabilidad de infección por virus, pero, al mismo tiempo, conlleva muchos riesgos de ciberseguridad. Perú, por ejemplo, es el tercer país con mayor cantidad de ciberataques, superando los 4 mil 700 durante este primer semestre.
Solo en marzo de este año, a nivel mundial hubo 20 millones de archivos violados, y aún con la baja en efectividad, el correo electrónico es responsable de aproximadamente el 94% de todo el malware. Cada 39 segundos, hay un nuevo ataque en algún lugar de la web. Un promedio de alrededor de 24,000 aplicaciones móviles maliciosas se bloquea diariamente en Internet.
De acuerdo con el Banco Mundialel costo promedio de una violación de datos en 2020 para las grandes empresas fue de más de $150 millones de dólares vs $3.92 millones en 2019, según los expertos de IBM Corporation. Un aumento muy significativo.
En ese sentido, Sebastián Sack, vicepresidente de Softline Latinoamérica, señala que “no es posible aplicar un conjunto completo de características de seguridad corporativa a las redes domésticas de los empleados, pero existen muchas soluciones que protegen a los trabajadores remotos”. A continuación, se detallan algunas recomendaciones del ejecutivo de Softline, tanto para proteger los dispositivos personales como para los corporativos:
Asegurar los dispositivos personales de los trabajadores. La opción más conveniente es una aplicación móvil que genere un entorno controlado y que deje de forma privada, pero protegida, la información personal del usuario. Esto complicará significativamente cualquier intento de piratear un entorno corporativo que de otro modo sería vulnerable a ataques dirigidos.
Utilizar cápsulas o contenedores de seguridad en los dispositivos personales. Antes de la pandemia, la gran mayoría de los usuarios ya tenían acceso al correo electrónico y otros recursos corporativos importantes desde sus dispositivos móviles. Esta solución permite aislar aplicaciones corporativas en un contenedor cifrado especial en la memoria de su teléfono inteligente y proteger la información sin afectar los procesos comerciales existentes. Si es necesario, también se puede utilizar en dispositivos corporativos.
Monitorear el cumplimiento de los requisitos y políticas de seguridad en los dispositivos corporativos, ya que a diferencia de los dispositivos personales, siempre están protegidos por antivirus u otras herramientas de seguridad. Para este propósito, se puede utilizar la funcionalidad de cumplimiento que ofrecen muchos agentes de firewall. ¿Como funciona? Cuando un usuario intenta conectarse a través de VPN, el agente revisa su estación de trabajo: es la última versión del sistema operativo utilizada, las firmas antivirus están actualizadas, hay aplicaciones en lista negra o aplicaciones prohibidas por las políticas corporativas.
Ciberseguridad y las PYMES
El Vicepresidente de Softline Latinoamérica, afirma que a medida que las pequeñas y medianas empresas se integren a las cadenas de suministro globales, ofrecen a los ciberdelincuentes una puerta discreta para infiltrarse en socios más grandes, ya que sus presupuestos son menores y la cultura de seguridad tiende a estar menos desarrollada.
Está claro que las Pymes deben mantener en orden sus entornos digitales, sin importar dónde se encuentren. Pero no existe una solución única para todos. Las empresas deben considerar sus necesidades e identificar soluciones accesibles tanto en tecnología como en presupuesto junto con expertos internos o un proveedor de servicios de seguridad administrada (MSSP).
La lección que nos queda es clara: la ciberseguridad es fundamental, sin importar el tamaño de la organización.
Augusto Trelles Velásquez (43) tuvo un septiembre horrible. El comunicador social arrancó el mes con la sorpresa de que su línea de celular, una que tiene hace más de 10 años, no funcionaba. “Entre los días 8 y 11 de septiembre no tuve línea. Cuando llamé a Movistar, me dijeron que todo estaba perfecto, pero que tal vez el chip estaba malogrado y debía renovarlo”, explica. Por temas laborales, Trelles recién pudo acudir a una agencia el 12. Recién era el inicio de la pesadilla.
Cuando se acercó ese día al módulo de Movistar en Real Plaza de Salaverry, nada lo alarmó. La persona que lo atendió le entregó un chip y le repuso el mismo número celular. ¿Pero qué había pasado entre el 8 y 11 de setiembre? Trelles se enteraría más adelante.
En esos días, una persona utilizó otro chip con su número, suplantó su identidad y realizó transferencias desde sus aplicaciones bancarias.
Suplantado por partida doble
El 14 de setiembre, Movistar envío al correo electrónico de Trelles un contrato por la adquisición de un chip. No era el que acababa de reponer, sino otro. La compra, señala el correo, había ocurrido el 7, un día antes de que advirtiera que su línea no funcionaba. Una gestión aprobada sin su firma, ni control biométrico ni presentación de su verdadero DNI.
El comunicador acababa de ser víctima de “SIM swapping”, una modalidad de fraude cibernético que consiste en acceder a información sensible a partir del uso del chip de celular de otra persona.
Y aunque el nombre suene refinado, no es una técnica compleja: alguien se hace pasar por ti y adquiere un chip con tu línea. “Es un fraude basado en la suplantación de identidad frente al operador. No es un tema muy tecnológico. Simplemente alguien va a la empresa telefónica y aprovecha los pobres procesos para darle de baja a un chip usando un DNI falso y saca un duplicado”, explica Mauricio Urizar, fundador de Deep Security, empresa que se encarga de evaluar la ciberseguridad en -entre otras compañías- bancos.
Precisamente el Organismo Supervisor de Inversión Privada en Telecomunicaciones (Osiptel) advirtió de la llegada de esta modalidad al país a finales de agosto. La descripción que hace la entidad calza al detalle con el caso de Trelles. “Mientras [el robo de información] ocurre, los usuarios titulares reales de la línea telefónica experimentan la pérdida de la señal y del servicio móvil. Luego, cuando consultan a su empresa operadora, descubren que el servicio está activado en un chip que se encuentra en posesión de un tercero”, se lee en el documento publicado por la institución.
Pero eso no es lo peor. El chip puede facilitar el ingreso no solo a cuentas bancarias, sino también a correos electrónicos y otros datos almacenados en la nube. No es difícil para los delincuentes reponer las contraseñas de estas aplicaciones. Precisamente, durante esa semana, en los mismos días que Augusto Trelles no tuvo señal telefónica, se realizaron 10 pagos de servicios, cinco retiros de Rappicash (un aplicativo de Rappi) y dos compras internacionales. Todo sumaba un gasto de S/20.284,95 desde sus tarjetas de crédito y débito del Banco Falabella.
Parte de los desembolsos que el delincuente que suplantó a Trelles hizo desde sus cuentas bancarias en el Banco Falabella.
Esto es posible gracias a la dependencia de diversos aplicativos al número de celular para la recuperación de contraseñas. Casi todos los códigos de confirmación para cambiar una clave son envíados como mensaje de texto al celular. “El SIM [el chip] es el número, pero lo que lo hace poderoso es que la mayoría de transacciones que se realizan a través de Internet son por móvil, debido a sus facilidades. Normalmente cuando haces una gestión de la banca digital, por ejemplo, te piden, además de tu contraseña, que estés en un equipo específico asociado a tu número de teléfono”, sostiene Carlos Guerrero, abogado especialista en ciberseguridad.
Para Urizar, casos como el de Trelles se podrían evitar si los bancos u otras entidades mejoraran sus procesos de seguridad. Por ejemplo, si le llegaba a una alerta a su dispositivo que, a pesar de no tener línea, estaba conectado a una red de Wi-Fi. “Ahora te suplantan el SIM, solicitan la contraseña al banco e ingresan a tu cuenta. Suena fácil. Podrían implementar lo que hace Google: cuando entras a una nueva computadora, te piden reconocerla con tu teléfono. Ahí ves todos los dispositivos con tus cuentas abiertas. Los bancos tendrían que dar esa posibilidad”, sugiere.
Pero Trelles no solo tiene que lidiar con el robo de su dinero. Una persona –él sospecha que la misma que pidió un chip con su número el 7 de septiembre– ahora quiere hacerse pasar por él. El 22 de ese mes, el comunicador recibió otro correo de Movistar donde, como la primera vez, le enviaban un contrato. Esta vez era por una línea prepago con el número 978 186 884, distinto a cualquiera que haya usado antes. El documento no llevaba la firma de Trelles.
La persona que adquirió esa línea a nombre del comunicador no solo lo hizo sin su autorización, sino que también colocó la foto de Trelles en el WhatsApp de ese número. “El dinero no me preocupa tanto. Me importa más el tema de esta línea nueva que sacaron a mi nombre. Eso sí me podría generar problemas legales porque me podrían vincular con delincuentes. Yo nunca he tenido una denuncia”, lamenta el agraviado cliente de Movistar.
La cuenta de WhatsApp del número suplantado utiliza una foto de Trelles para suplantar su identidad.
Movistar, la más sancionada, se lava las manos
En Indecopi, Movistar es caserito. Trelles le pone rostro a los cientos de casos de clientes insatisfechos con Telefónica del Perú, el nombre legal de Movistar. La empresa española acumula 462 sanciones firmes impuestas por la entidad que defiende a los consumidores, desde finales del 2017 hasta la fecha, de acuerdo al portal de la institución.
En ese periodo Telefónica ha recibido 772.95 UIT como multa, unos S/3.5 millones. Con esas cifras, es el sexto proveedor más sancionado entre todos los sectores económicos y el primero en telecomunicaciones, por encima de Entel y Claro.
De ese total, el 66.2% son sanciones por “falta de idoneidad” en la venta de equipos telefónicos o derivados. Eso significa, según el Código de Protección y Defensa del Consumidor, que no entregó los productos en buen estado, incumplió cláusulas de los contratos con el cliente o que las condiciones y circunstancias de las transacciones respecto a los servicios ofrecidos no fueron las acordadas.
Ahora Trelles se suma a esas cifras de terror y padece, además, la mala atención a sus reclamos. El comunicador ha hecho de todo para que lo ayuden. Durante septiembre, ha presentado denuncias policiales y una infinidad de reclamos ante Osiptel, el mismo Movistar y Banco Falabella. De momento, lo único que ha recibido es una lavada de manos de parte de la empresa de telefonía móvil.
El martes 28 de septiembre recibió una respuesta de la empresa a su reclamo por la línea prepago abierta que nunca autorizó. Le dijeron que habían verificado que no pidió ese servicio y que, por eso, consideraban darle de baja y “anular la deuda” de la línea. Ni una coma sobre qué acciones tomarían por la suplantación de identidad. Tampoco sobre los perjuicios monetarios y personales que ha sufrido Trelles.
La respuesta de Movistar a Trelles a sus reclamos. Lo más importante, en el segundo párrafo.
“Es una respuesta bastante general. El problema va más allá porque hay una persona que se ha hecho pasar por mí y que posiblemente esté haciendo extorsiones. Adoptan una actitud abusiva donde se quieren lavar las manos y no hacen un mea culpa. Podrían decirme que se equivocaron y que lo van a solucionar ya, pero no es así. ¿Cuántas personas más estarán pasando esto y ni se han enterado?”, reclama Trelles.
Sudaca se comunicó con el área de prensa de Movistar y envió sus preguntas respecto a este caso. La empresa señala que se encuentran investigando el origen de lo ocurrido, sin dar mayores alcances de su indagación.
Añade que que sus protocolos para la reposición de tarjetas SIM implican validar la identidad del titular de la línea “a través del control de biometría dactilar”, pero que existen “organizaciones delictivas que clonan las huellas dactilares” para burlar dichos controles. Finalmente, indica que está práctica delictiva no solo afecta a la banca o a ellos, “sino también a todas las empresas de telecomunicaciones”.
Pero la única víctima de esta trama es Trelles. Y por extensión, personas como él. A la fecha, el WhatsApp trucho con su foto sigue activo y la deuda en el Banco Falabella sigue en pie. El comunicador, además de recurrir a Osiptel, evalúa presentar una denuncia penal contra Movistar por daños y perjuicios.
De acuerdo con el abogado Carlos Guerrero, la víctima podría optar por otros caminos. “En Osiptel no le dirán a Movistar que le pague al señor, quien lo puede hacer es Indecopi. Al ser dinero extraído de una cuenta bancaria tiene que reclamar por falta de idoneidad en el servicio y que con ello le devuelvan el dinero. Tiene las herramientas legales, aunque puede demorar uno o dos años”, recomienda el abogado especializado en ciberseguridad. Como ya hemos visto, el Indecopi conoce bien a la empresa de telecomunicaciones.
