Más

    Estrategias de ciberseguridad, requisito para triunfar en la economía online

    Las empresas pierden cerca de 24 millones de pesos por ataques cibernéticos

    En México, durante el año 2015, el valor estimado del comercio electrónico fue de 257 billones de pesos, de acuerdo con la Asociación Mexicana de Internet (AMIPCI), quien también señala que de 2014 a 2015, éste tuvo un crecimiento del 59% y que durante 2016, tres de cada cinco compradores adquirieron productos de un minorista internacional por esta vía.
    Pensando en esta oportunidad, muchas empresas han decidido incluir sus productos y procesos en el mundo de la economía digital; sin embargo, con el avance de la tecnología, también han crecido los riesgos. De acuerdo con la encuesta Global de Seguridad de la Información 2015, el 36% de las empresas encuestadas no podrían detectar un ataque cibernético sofisticado, del cual ningún sector está exento.
    Las amenazas pueden venir desde muy diversos frentes, por ello el especialista en Ciberseguridad de la consultora Ernst & Young, John Dix, comenta en entrevista exclusiva para Inmobiliare: “el cibercriminal ha ido evolucionando; antes eran los virus, los hackers solitarios, pero ahora hay bandas completas de criminales cibernéticos que están atacado sistemáticamente a las empresas –las 24 horas, los siete días de la semana- y a eso se dedican”.
    Entre los resultados de la Encuesta Global de Seguridad de la Información, elaborada por la consultora E&Y, se destaca que las empresas se han sentido más expuestas ante empleados descuidados o inconscientes, phishing -software malicioso-, ciberataques para robar información financiera, para dañar a la empresa, para robar propiedad intelectual o datos, entre otros.

    John Dix explicó que las amenazas y vulnerabilidades pueden ser perimetrales, es decir, “provenientes de gente que viola el perímetro de la organización, se mete al sistema y consigue acceso indebido a la información que está almacenada en las aplicaciones, en las bases de datos de la compañía o en las transacciones, y puede alterar la información de los procesos. También pueden ser internas, cuando los empleados por error o por omisión comprometen los activos digitales de las organizaciones, descargando archivos de una página de internet con virus o cuando no respete el proceso de la empresa, cambiando o alterando la información. Pero también las hay externas, provenientes de los hackers o cibercriminales que quieren meterse para robar información, detener operaciones, sacar datos de propiedad intelectual, costos, información de los clientes, etcétera. Y cabe otra diferencia, los cibercriminales son bandas que atacan con fines de lucro, mientras los hacktivistas son aquéllos que roban información con el único propósito de dañar el prestigio de la empresa y de filtrar información, como el caso de los Panamapapers”, comentó.
    Entre los casos más comunes de ciberataques se encuentran el robo de contratos a las empresas, el robo de información o propiedad intelectual, robo de identidad, ciberextorsión y fraude online, entre otros.
    blank
    De acuerdo con John Dix, la ciberextorsión es uno de los delitos más frecuentes, y explicó que consiste en que los atacantes toman control del sistema operativo, aplicaciones o información de la empresa, pidiendo un monto de dinero a cambio de su liberación. Comentó que durante 2015, empresas en Estados Unidos pagaron más de un billón de dólares en rescates; sin embargo, no se tiene una cifra exacta de los ataques, porque las empresas nosiempre llevan sus casos ante las autoridades, por temas reputacionales. Dix afirma que son ataques comunes y que los criminales no suelen exigir sumas muy elevadas, sin embargo se realizan con frecuencia.

    las empresas no siempre llevan sus casos ante las autoridades, por temas reputacionales

    La Asociación Mexicana de Ciberseguridad estima que en 2016, las empresas mexicanas perdieron alrededor de 24 millones de dólares por ataques cibernéticos de diversas índoles, aunque según comentó en entrevista para Inmobiliare, Ignacio Sotelo, titular de la Asociación, no se deben considerar sólo los daños tangibles sino los incontables como el daño moral o de prestigio para las empresas, o en el caso de la ciberextorsión, las pérdidas por sistemas detenidos”.
    “Otro de los riesgos más frecuentes son los fraudes online o las pérdidas por contracargos, que consisten en el desconocimiento de un cargo realizado hacia el negocio por parte de un tarjetahabiente”, aclaró para la revista, Jorge Alva Romero, Director de marketing de la empresa Rappid. Según sus estimaciones, las empresas pierden por este concepto 1.9% de las ventas totales. “Por ejemplo, el margen de venta de un producto que cuesta 100 pesos es del 15%, vendiéndose en 150 pesos más el costo por envío. Cuando llega un contracargo, el banco retira el dinero depositado, perdiendo la empresa ese dinero más el costo del producto”, de acuerdo con cifras de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros –CONDUSEF-, 9 de cada 10 casos de reclamos se resuelven en favor de los usuarios.
    blankPor otro lado, se debe considerar el factor humano. Jonh Dix considera que es uno de los riesgos más grandes que tienen las organizaciones en temas de seguridad “sin importar cuánta tecnología, procesos o controles integre uno en el negocio, un usuario mal informado o desprevenido puede ser presa fácil de un ciberatacante. Hay que entrenar y educar a todos los empleados y a las personas con las que interactuamos, para que sean más conscientes de los temas de seguridad, protejan la información como es debido y sigan las recomendaciones”.
    ¿Cómo planear las estrategias de seguridad? ¿Qué se debe proteger?
    Los especialistas coinciden en que uno de los principales problemas es que las empresas no actúan ni prevén hasta que son atacadas. El fundador de la AMECI comentó que “el efecto de la seguridad de la información es muy parecido a tomar medidas de seguridad en el día a día; es decir, no tomamos medidas hasta que nos roban un auto o nuestra casa, hasta entonces ponemos una alarma, cerraduras seguras, etcétera. Un ataque cibernético puede perpetrarse por un empleado lentamente y a lo largo de mucho tiempo, sin que los encargados de los sistemas tengan conocimiento de ello”.
    El especialista de E&Y comentó que para comenzar a planear estrategias de ciberseguridad, lo primero es identificar dónde están “las joyas de la corona”, los activos digitales de más valor. Una vez identificados, es preciso que la empresa determine su nivel de riesgo, definiendo qué tan inmersos desean estar en la economía digital. “Cuando se está en un ecosistema, no sólo tienes que cuidar la información de tu empresa y de empleados, también interactúas con proveedores y terceros: contratistas, clientes, socios comerciales, etcétera. El nivel de riesgo dependerá de la participación de la empresa en esa economía digital y qué tan atacada pudiera ser en función de esa participación; es decir, qué tan comprometidos estarán los activos digitales y la información; identificando la posición de la empresa en ese ecosistema, ésta tiene que determinar su apetito de riesgo; es decir, cuánto riesgo quiere asumir a cambio de aprovechar las tecnologías para hacer negocios”, explica Dix.
    El experto indicó que para planear una estrategia de ciberseguridad recomienda a las empresas considerar tres fases:
    1) Ser consciente de cuáles pueden ser las vulnerabilidades
    2) Resistir los ataques, implementando medidas para proteger las vulnerabilidades de las amenazas
    3) Reaccionar: qué hacer cuando ya te atacaron, y saber cómo documentar la evidencia, para llevar los casos a instancias legales.
    “Las empresas deben establecer mecanismos que les permitan seguir operando en caso de situaciones graves, ya sea por temas de terrorismo, desastres naturales o por mal funcionamiento de alguna tecnología. El tema debe ser abordado de manera integral como parte de una dimensión de riesgo de negocios, no solamente como un tema de tecnología”, agrega Dix.blank
    Para el caso del fraude online, Jorge Alva recomienda a las empresas identificar su nivel de fraude, cuáles son los productos de mayor riesgo, tener acercamiento con algún proveedor de servicios de pago que además provea servicios de seguridad, así como la creación de listas blancas y listas negras. “Esto ayuda muchísimo a la empresa, ya que a los clientes recurrentes no se les molesta con procesos de validación, enfocándose únicamente en los nuevos, y tener los indicadores más importantes permanentemente monitoreados como el porcentaje de aprobación bancaria, porcentaje de fraude, rechazo de fraude y el porcentaje de revisiones manuales.
    El ejecutivo de Rappid comentó que una tarea útil es el cruce de información y la identificación de alertas: “realizar constantes revisiones sobre los lugares y zonas en las que la empresa está detectando la compra de sus productos, validando si las transacciones son genuinas o no, sobretodo cuando la empresa comienza a experimentar incremento en los volúmenes de venta. Una alerta de fraude puede encenderse cuando el cliente es muy insistente con entregas urgentes y altos volúmenes, así como cuando los correos electrónicos vienen con nombres extraños, seguidos de números con signos o cuando las direcciones de entrega tienen ubicaciones alejadas de las grandes urbes”.
    blank
    Héctor Contreras, CEO de Conekta, empresa proveedora de servicios de  pago online, comentó en entrevista para Inmobiliare que, “la economía digital tiene impacto en diversos sectores ya que la tendencia de los consumidores es estar cada vez más en línea. Es de esperarse que en el futuro la economía digital pueda ser el mayor generador de ingresos”. Explicó que a pesar de los riesgos, él observa empresas deseosas de participar en este mercado digital. “Hemos visto incrementos de ventas superiores al 60% cada año, en los comercios más relevantes en la industria. Sin duda, esto va de la mano del esfuerzo de las empresas y del buen uso de una herramienta como Conekta, bajo la asesoría de nuestros expertos. Integrarse a la economía digital en la actualidad es obligatorio para que las empresas sigan creciendo. La incursión en el comercio electrónico, contar con sistemas de pago efectivos y seguros para los consumidores, desarrollar sitios web eficaces y sencillos son algunas de las cosas necesarias para que las empresas se integren a esta nueva modalidad de la economía”.
    En el mismo sentido, el experto de E&Y opina que “la economía digital llegó para quedarse, no va a cambiar. La gente tiene que aprender a vivir en el mundo digital; quien no conviva y aproveche las nuevas tecnologías para salir al mercado con modelos de negocio diferentes, innovadores y retadores, se va a quedar afuera.
    La realidad es que el crimen ha avanzado mucho más rápido que la prevención del mismo, por lo que todavía hay mucho camino a recorrer en México, Latinoamérica y el mundo; pues hay industrias donde las empresas aún no cuentan con estrategia para detectar y reaccionar ante los crímenes cibernéticos”.
    El Licenciado Sotelo, titular de la AMECI, comentó que, “el asunto de la ciberseguridad y ataques a las empresas ya no es un juego de adolescentes, hoy existen empresas dedicadas a desarrollar sistemas para secuestro de información, ataques automatizados, sistemas de espionaje y pueden ser realizados desde cualquier rincón del mundo. Lo que nos queda hacer es trabajar en la prevención, información y acciones técnicas”.
    Por Liz Areli Cervantes
    liz.cervantes@inmobiliare.com
    También lee

    blank
    Hospedaje a través de aplicaciones digitales en México: crecimiento acelerado y regulación pendiente

    blank
    La importancia del diseño en el e-Commerce

    Descarga la revista

    Recomendaciones

    También te puede interesar