La Paz, 27 de diciembre de 2024 (ANF).- El correo electrónico de un antiguo amigo despertó la curiosidad y emoción de José. No sabía nada de Manuel desde hace 15 años, cuando terminaron la secundaria. La expectativa lo invadió más aún al saber que el mensaje incluía una fotografía. “Hola, qué ha sido de tu vida, mira lo que encontré entre mis archivos, una foto del cole”, leyó José en su teléfono celular.
Al hacer clic para descargar la foto, José no consiguió ninguna acción, solo, sin darse cuenta, infectar su dispositivo con un malware que, de manera silenciosa, le robó su número de carnet, contraseñas, hasta dar con sus credenciales bancarias.
José, que por lo general es cauto en sus medidas de ciberseguridad, recordará con pesar este evento desafortunado que le costó varios débitos fantasmas en su cuenta bancaria. La ingeniería social, entendida como una técnica de manipulación psicológica para obtener información confidencial, había dado resultados.
“Desafortunadamente, el terreno fértil para la ciberdelincuencia aún sigue siendo el de las personas”, señala David Pereira, Fundador y CEO de SecPro, una empresa de servicios de ciberseguridad con sede en Colombia. Dice que el banco puede tener todos los mecanismos de seguridad y tecnología, pero “si un delincuente roba tu identidad, el banco no tiene mecanismos para saber que quien dice ser tú, no eres tú”.
Así como José, decenas de personas cada día son víctimas del cibercrimen. En la gestión 2023 Bolivia registró 3.768 casos relacionados con delitos cibernéticos, de acuerdo a datos del Observatorio de Delitos Informáticos (ODIB); sin embargo, esta cantidad solo es una fracción de lo que ocurre en el país debido a que Bolivia no cuenta con una base de datos única y oficial.
Y para el 2025 las predicciones no son alentadoras. De acuerdo con Fortinet, líder en servicios de ciberseguridad, la ciberdelincuencia amenaza con “ataques más grandes, audaces y eficientes”.
Pereira indica que la responsabilidad en la ciberseguridad no puede ser solamente de la entidad financiera, sino que es de dos: el banco y el cliente.
La mayoría de ataques efectivos no son tanto contra la infraestructura bancaria a nivel de tecnologías, sino a los usuarios por su nivel de conciencia sobre los riesgos, dice Pereira, y destaca que las personas deben ser “la primera línea de ciberdefensa de las organizaciones” por lo que es indispensable empoderarlas, capacitarlas y prepararlas.
En los últimos años, las capacitaciones en ciberseguridad en las entidades financieras han ido en aumento, pero Pereira considera que la educación debería incluir también la ciberhigiene, que tiene que ver con crear una mentalidad y hábitos centrados en la seguridad, sobre cómo las personas usan sus celulares, gestionan sus vidas y sus redes sociales.
José reconoce que fue muy incauto al descargar la foto de un correo sin antes verificar la dirección y procedencia. Hoy es más consciente de la seguridad de sus equipos, actualizando el software, cambiando contraseñas y usando redes seguras, pero ello despertó la burla de sus compañeros de trabajo que creen que esas medidas son “para los que tienen dinero en sus cuentas”.
Para el ciberdelincuente “no hay objetivos pequeños, todos son de interés”, afirma Pereira, así sus cuentas estén vacías, porque el robo de datos personales —cuentas bancarias, pasaporte, etc.— se comercian hasta en $us 20 en el mercado negro del ciberespacio para crear documentos de identidad para delincuentes.
Los expertos recomiendan que la ciberseguridad debería ir más allá y no solo enmarcarse en el ámbito financiero. Comenzar por casa porque “los niños están en riesgo en el ciberespacio”. El conocimiento no debería quedarse solo en el usuario financiero, sino, mediante un “proceso de evangelización”, compartirse entre la familia y los amigos. “Los riesgos están en todas partes”.
Pero la lucha contra la ciberdelincuencia presenta debilidades que impiden una acción eficiente. La falta de un marco legal punitivo, una ley de datos personales, la ausencia de coordinación entre instituciones y procesos muy burocráticos impiden conocer en su dimensión el delito para combatirlo y sancionarlo.
“A nivel regional Bolivia tiene una desventaja, no tenemos una ley de protección de datos personales”, dice para este reportaje Américo Ayala, asesor en temas financieros, quien también advierte que el Código Penal boliviano, que no se refiere al cibercrimen, contempla penas insignificantes que ni siquiera tienen detención preventiva.
En tanto, Pereira destaca la necesidad de una legislación regional actualizada debido a que este fenómeno ha crecido en el mundo. “Estando ubicado en Argentina, por ejemplo, puedo cometer un delito en Perú y estoy conectado desde España, entonces ¿qué país me juzga?”, dice, para este reportaje.
Lo más cercano en ciberjurisprudencia, refiere, es el convenio de Budapest, pero no todos los países están adheridos.
La Unidad Cibercrimen de la Policía (Felcc) de La Paz resalta la necesidad de contar con un sistema integral que permita centralizar todas las denuncias en coordinación con el ente regulador del sistema financiero (ASFI), la Autoridad de Fiscalización de Telecomunicaciones (ATT) y el Viceministerio de Defensa del Consumidor.
Williams Roldan, jefe de la Unidad, afirma que también hace falta canales de comunicación directa entre Policía, telefónicas y bancos para romper la pesada burocracia y reaccionar de forma inmediata ante la ciberdelincuencia.
El avance en la digitalización del sistema financiero, sobre todo desde la pandemia del Covid-19, ha traído consigo una revolución en la inclusión, con mayor tecnología y participación de la población, sobre todo en transacciones en línea, lo que también ha abierto oportunidades para los cibercriminales. “Interactuar con la tecnología trae consigo riesgos”, advierte Pereira, quien además participó en octubre de 2024 del 3er Foro de Banca Digital, Ciberseguridad y Regulación organizado por la Asociación de Bancos Privados de Bolivia (Asoban).
Según los especialistas de Logicalis, proveedor global de servicios tecnológicos, el sector financiero destina al menos un 10% de su presupuesto tecnológico para este propósito, con una tendencia a ir en aumento debido al incremento de los ciberataques. De acuerdo a Kaspersky, líder tecnológico en el desarrollo de software, Bolivia tuvo un aumento del 10% en ataques respecto a la gestión pasada.
“La banca es la industria más regulada con mayor cantidad de normas a nivel de seguridad y de ciberseguridad en el mundo, porque los ciberdelincuentes la atacan permanentemente”, explica Pereira, sin embargo, pese a ello, existen flancos que aprovechan los hackers se sombrero negro. Dos debilidades importantes son la cadena de suministros y los “insiders” —personas con acceso a información privilegiada en la empresa—.
Indica que el banco puede tener una muy buena seguridad a nivel interno, pero su proveedor de servicios en la nube, en almacenamiento o de SOC (Centro de Operaciones de Seguridad) podría llegar a tener fallos.
Mientras que los ataques de insiders casi siempre son efectivos porque “el enemigo está dentro de la organización y sabe cómo funciona”. “Descubrirlos es muy difícil”.
Asoban realiza esfuerzos y eventos para estar al día con las normativas, con el objetivo de mantener su industria vigente para interactuar en mercados internacionales. En 2019 organizó por primera vez el “Foro sobre banca digital, ciberseguridad y regulación”. Las entidades financieras ya han empezado a tramitar la ISO 27001, norma internacional de seguridad informática en base a las recomendaciones del Comité de Basilea.
La ASFI informó, en respuesta a un cuestionario, que en los últimos cinco años el sistema financiero nacional enfrentó ataques que incluyeron intentos de acceso no autorizado, phishing u otros, sin embargo, las entidades financieras “han implantado protocolos robustos de ciberseguridad y medidas de prevención y han trabajado continuamente para mitigar riesgos y fortalecer sus sistemas”.
Indicó que en el último año se registró una afectación de al menos Bs 3 millones en transacciones no reconocidas por los clientes, que equivale al 0,001% del total de depósitos en el sistema, “lo que muestra que la realización de transacciones financieras en el país es segura”.
Hugo Miranda, oficial de Economía Digital de la Fundación Internet Bolivia, afirma que estos incidentes son pequeños, ocurren como en toda Sudamérica, y “aún no hay incidentes realmente graves” a la banca nacional. Aclaró que son las instituciones del Estado las que vienen sufriendo todo tipo de ataques con “una seria amenaza a la seguridad de la información gubernamental”.
Pese a los esfuerzos, los ciberdelincuentes “nos llevan uno o dos pasos adelante”, advierte Pereira, porque desde el área defensiva “nosotros tenemos que proteger cientos, sino miles de puertas, mientras que el delincuente requiere una sola para poder comprometer toda una entidad. Se trata de una lucha totalmente desigual, no es fácil, se da la batalla, no siempre vamos a ganar”.
Los especialistas coinciden en que, si bien la banca tiene un nivel de responsabilidad importante porque resguarda el dinero de las personas y debe asumir las medidas necesarias, los usuarios también tienen que concientizarse e informarse, además de “evangelizar” a sus allegados, así como ahora lo hace José, para abordar el tema de manera conjunta.
Por Luis Fernando Cantoral
/LFC-AU/
Articulo sin comentarios
