La encrucijada de América Latina en la protección contra la ciberdelincuencia
A finales de 2012, los hackers latinoamericanos conocieron una nueva herramienta, PiceBOT, que traía un malware que los hackers podían usar para robar informaciones financieras de usuarios inocentes poniendo en riesgo su cuenta bancaria. PiceBOT cuesta sólo US$ 140 y los hackers pueden encontrarlo con relativa facilidad. Pero más importante que su bajo coste fue el hecho de que había sido desarrollado en América Latina, probablemente en Perú, México o Guatemala. Los analistas dicen que PiceBOT es la prueba de que los ataques al ciberespacio de la región han llegado a un nuevo nivel de sofisticación. "Con mayor frecuencia, la creación de malwares tendrá lugar en la propia América Latina y serán usados contra los gobiernos, el sector privado y los ciudadanos", señalaba un informe de 2013 de la Organización de los Estados Americanos sobre ciberseguridad en América Latina y el Caribe.
Las semanas posteriores a la introducción de PiceBOT, los especialistas en seguridad registraron ataques a clientes en Chile, Perú, Panamá, Costa Rica, México, Colombia, Uruguay, Venezuela y Argentina. Aunque el tamaño de las pérdidas financieras causadas no esté claro, los ataques de PiceBOT fueron interpretados como otra señal de crecimiento de los ciberataques en la región en años recientes, dijeron los analistas.
Para los especialistas, América Latina es terreno fértil de ataques porque coordinar fraudes por Internet en la región es mucho más barato que en Europa o en EEUU. Además, los fraudes son exitosos debido a la defensa normalmente frágil empleada por los gobiernos y empresas de la región. Una larga investigación hecha por ESET Security Report constató que la mitad de las empresas de América Latina y del Caribe habían sufrido un ciberataque en 2012, causado principalmente por malware, phishing y por la interrupción de servicios.
Los ciberataques fueron dirigidos contra gobiernos y políticos, cuyas webs cayeron o fueron inutilizadas con una frecuencia cada vez mayor. Los hacktivistas — neologismo que combina hackers con activistas— atacaron webs del Gobierno de Argentina a México, atacaron webs dedicadas a la campaña de reelección en Nicaragua y deshabilitaron la web del Congreso de Guatemala, entre otros ataques. El informe de mayo de la Organización de los Estados Americanos informó que los gobiernos de la región tuvieron un aumento de ataques del 8% al 12% de 2011 a 2012. Por lo menos dos países tuvieron un aumento del 40% en el número de ataques, señaló el informe.
Ahora, gobiernos y empresas comienzan a hacer frente a la amenaza con mayor urgencia. "Está claro que los gobiernos latinoamericanos comenzaron a prestar mayor atención a las prácticas de los hackers y a los ciberataques de motivación política", observa Andrea M. Matwyshyn, profesora de Estudios jurídicos y de Ética en los negocios de Wharton y miembro del Center for Technology, Innovation and Competitionde la Facultad de Derecho de la Universidad de Pensilvania. El aumento del número de ataques provocó un "cambio en la conciencia pública. Los países necesitan darse cuenta de la importancia de la cuestión".
Un problema global
La ciberdelincuencia afecta desde hace años a empresas y gobiernos. Pero los ataques más comúnmente empleados hoy día tienen menos de diez años. Se cree que el primer ataque caracterizado por el no suministro de servicio (DoS), una táctica comúnmente usada que inunda las redes de computadores con datos deshabilitando las webs, tuvo lugar en 2000. Desde entonces, buena parte de la atención dada a la ciberseguridad ocurre en América del Norte y Europa, porque los países de esos continentes estuvieron entre los primeros en permitir acceso amplio a Internet y a impulsar el comercio electrónico. Pero a medida que el acceso a Internet se extiende a los países en desarrollo, entre ellos países de América Latina y del Caribe, los problemas de hacking deberían aumentar.
"La verdad es que los ciberataques están aumentando en América Central y Caribe", observa Alonso Ramírez, gerente de ciberseguridad para América Central y Caribe de Deloitte & Touche, empresa con sede en EEUU que presta servicios principalmente en el área de auditoría, asesoramiento fiscal, impuestos y consultoría. "Deloitte Cyber-Lab [que monitoriza actividades del ciberespacio] concluyó que los servicios de protección contra ciberataques aumentaron en torno a un 70% en el transcurso del año pasado. Ese aumento muestra dos cosas: en primer lugar, los hackers encontraron un espacio nuevo para hacer funcionar su código malicioso; en segundo lugar, las ciberamenazas son más sofisticadas que las practicadas hace cinco años". Los países de América del Sur informaron también de un aumento en el número de incidencias. Según informaciones, Brasil, México y Argentina están entre los países más comúnmente afectados.
Aunque los ataques de interrupción de servicios continúen siendo el arma más empleada, los hackers están usando cada vez más técnicas como pharming, un término que mezcla las prácticas de técnicas de hacking conocidas como farming y phishing. Con el pharming, los hackers consiguen redirigir el tráfico de una web verdadera a otra falsa, y así robar informaciones importantes, como nombres de usuarios y contraseñas. La técnica interesa principalmente a los bancos. Los bancos mexicanos, por ejemplo, estiman pérdidas del orden de US$ 93 millones todos los años debido a ese tipo de sistema.
Al mismo tiempo, los gobiernos han tardado en alcanzar el nivel de sofisticación de los hackers. Un informe de 2013 sobre ciberdelincuencia publicada por la Oficina de las Naciones Unidas sobre Drogas y Crímenes constató que un 90% de los países ya comenzaron a introducir "estructuras para la investigación de ciberdelincuencia y crímenes de evidencias electrónicas". Pero los países en desarrollo "no están suficientemente equipados y sufren debido a la escasez de capacidad".
En el enfrentamiento con los hackers, los gobiernos están apropiándose de una red global. "Para actuar, los hackers necesitan acceso a la conectividad global de Internet, por lo tanto concluimos que los hackers son globales", dice Ramírez.
Esa coordinación globalizada es especialmente visible en el caso de hackers que representan un desafío único, porque se sienten con frecuencia atraídos a tal práctica como forma de oponerse a leyes, decisiones de los gobiernos o políticas corporativas. Los hacktivistas se convierten en miembros de forma aleatoria de organizaciones globales —por ejemplo, Anonymous, grupo conocido por la máscara de Guy Fawkes, que se convirtió en su símbolo— dificultando su seguimiento. Las cuentas de Facebook y de Twitter permiten que un único país tenga numerosos grupos de Anonymous activos, cada cual con un número cambiante de miembros. Grupos como Anonymous "son como una hidra que cambia de una operación a otra y de un objetivo a otro", observa Matwyshyn.
Según Ramírez, para algunos es atractivo ser hacktivista. "Esas personas se ven como 'ciber Robin Hoods' [...] Esos grupos dan prioridad a las organizaciones estatales y las instituciones privadas; es decir, prácticamente todas las organizaciones que, desde la perspectiva del hacktivista, amenazan la libertad de expresión, la seguridad social y el planeta en general", añade. En América Latina, los hacktivistas derrumbaron webs del Gobierno en Argentina, Brasil, Colombia, Nicaragua, Guatemala, Chile y otros países, casi siempre amenazando a los gobiernos también con ataques. En casi todos los casos, los grupos de hackers apoyan una causa concreta en sus ataques.
En Chile, por ejemplo, el grupo Anonymous reivindicó haber deshabilitado la web del Ministerio de Educación en apoyo a las protestas estudiantiles que se extendieron por el país. En Nicaragua, Anonymous invirtió contra la polémica campaña de reelección del presidente Daniel Ortega después de que él pasara por alto una prohibición constitucional de reelección consecutiva a la presidencia de 2011.
"Los ataques de hackers con motivación política recibieron atención generalizada por parte de los medios en 2012. Según informaciones suministradas por los países, esa forma de ciberincidentes está aumentando en la región", según datos del informe divulgado por la Organización de los Estados Americanos. "Dos países informaron de campañas coordinadas de ciberataques en respuesta a las iniciativas del legislativo de fortalecer el cumplimiento de la ley de copyright y la reforma del código tributario. En ambos casos, los foros de hackers se llenaron de planes que preveían lanzar ciberataques a gran escala a la infraestructura del Gobierno, a menos que los proyectos de ley fueran vetados".
En mensajes enviados a webs de medios sociales, como YouTube, los grupos mencionan con frecuencia el hecho de que no están afiliados a partidos políticos o a la agenda de partidos. Lo que los une, sin embargo, parece ser la falta de confianza en los gobiernos, empresas y religiones organizadas, además de la creencia de que Internet debe continuar siendo libre.
Los ataques pueden salir caros. Dos hackers, por ejemplo, afiliados a Anonymous en Reino Unido, fueron sentenciados a prisión a principios de año por ataques contra PayPal y Mastercard después de que esas empresas interrumpieran los pagos hechos al grupo WikiLeaks. Los ataques costaron a esas empresas US$ 5,6 millones.
Tiempo de actuar
Ramírez dice que este año y el próximo son fundamentales para los gobiernos y empresas que pretenden defenderse mejor de los hackers. "Las empresas necesitan encargarse de su defensa [...] en la medida en que los hackers buscan nuevos artificios para manipular las informaciones".
La Organización de los Estados Americanos concluyó que los países latinoamericanos están yendo en la dirección correcta. "Aún hay mucho trabajo que hacer, sin embargo, para que se esté a la altura de las acciones perpetradas por aquellos que buscan corromper redes importantes y que abusan de las informaciones personales", dice el informe.
Gobiernos y empresas deberían pensar en nuevas leyes que protejan las informaciones de los clientes y proporcionen seguridad a las tarjetas de banco. Las universidades deberían también crear programas específicos para el estudio de la ciberseguridad, dice Ramírez. "Los próximos años, veremos leyes mundiales para combatir el cibercrimen y una inversión mayor en ciberseguridad, prevención y defensa contra ataques, además de una privacidad rigurosa y patrones más elevados de reclutamiento para el personal del área de seguridad, para evitar fugas de informaciones confidenciales", dice.
Johanna Mendelson Forman, académica residente de la School of International Service de la American University en Washington, D.C., dijo en un informe reciente que los países de América Latina necesitan una reforma inmediata en tres áreas: campañas de educación pública sobre ciberdelincuencia, inversión en educación para entrenamiento de profesionales del área de ciberseguridad e infraestructura jurídica para la ejecución de procesos criminales en casos concretos de crímenes.
Muchos países de la región introdujeron estrategias que toman en cuenta la amenaza del cibercrimen. Pero incluso países con esas estructuras han tenido dificultad con la introducción de nuevas leyes y con la capacidad institucional de ejecutarlas. La no ejecución de las leyes y la falta de capacidad jurídica para procesar a los acusados de cibercrimen "complican el trabajo de las fuerzas de seguridad, la policía y los militares no pueden perseguir cibercriminales debido a la falta de reglas y definiciones claras de los crímenes cometidos", escribió Forman en un informe de mayo.
Pero al formular nuevas leyes y estructura jurídica para procesar a los acusados de cibercrímenes, los gobiernos deben tomar en cuenta la idea de libre discurso en Internet. Las leyes enfocadas en regular el uso de Internet siempre suscitan dudas sobre la libre expresión, principalmente en webs de medios sociales como Twitter y Facebook.
En 2009, un joven manifestante guatemalteco envió por Twitter un mensaje en que exhortaba a sus compatriotas a que retiraran su dinero de un banco estatal, que estaría supuestamente involucrado en un sistema de corrupción del Gobierno. El manifestante, Jean Anleu, fue detenido por "incitar el pánico" según la ley del país. El caso, que fue sobreseído por un tribunal de apelación por falta de fundamento, muestra la fina línea que los Gobiernos deben trazar a la hora de formular tales leyes.
Las webs de medios sociales son producto de la exportación de EEUU, dice Matwyshyn, y, como tales, nacieron bajo la comprensión que tiene EEUU de la libre expresión. "La fuerte tradición del libre discurso en EEUU está representada en esas empresas", dice. Cuando esos servicios pasan a ser ampliamente utilizados en países extranjeros, pueden desafiar las normas locales. "Países diferentes tienen definiciones distintas respecto al libre discurso y a la libertad de expresión", añade Matwyshyn. Aunque las leyes sean una verdadera colcha de retales, la falta generalizada de estructura jurídica hace que los hackers y grupos que practican actos ilícitos teman muy poco una posible persecución. "Uno de los principales impedimentos a la represión de la actividad ilícita en 2012 fue la falta de legislación adecuada y de políticas sólidas de ciberseguridad", señaló el informe de la Organización de los Estados Americanos. "La falta de investigadores expertos de cibercrímenes y la escasez de fiscales especializados en crímenes relacionados con la tecnología, hace que muchos países se enfrenten a dificultades a la hora de detener y procesar hackers y otros ciberdelincuentes". Los países investigados para el estudio de la organización dijeron que faltaban profesionales con entrenamiento en ciberseguridad, inclusive para detectar amenazas y preparar redes para frustrar esos ataques.
Aunque la cuestión esté llamando la atención de los gobiernos y los ciudadanos, Forman dijo que América Latina necesita poner en práctica un esfuerzo coordinado para lidiar con la cuestión de la ciberseguridad.
"Los cibercrímenes, así como otras formas de actividad ilícitas, no van a desaparecer", dijo ella en su informe. "Es preciso acciones urgentes si los americanos quieren seguir siendo un motor económico de crecimiento en el siglo XXI". /
Universia Knowledge@Wharton.
