El blog de Andrea Catalano

ESTE ES UN BLOG SOBRE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS TELECOMUNICACIONES. AQUÍ VAS A ENCONTRAR NOTICIAS SOBRE LANZAMIENTOS DE PRODUCTOS Y TAMBIÉN SOBRE EL NEGOCIO DE LAS PRINCIPALES COMPAÑÍAS DE LA INDUSTRIA, AQUELLOS QUE TENDRÁN INFLUENCIA EN SU CONSUMO. PERO DE TANTO EN TANTO PODRÁS SORPRENDERTE CON CUALQUIER OTRO TEMA, DE LA COYUNTURA O DE PURO GUSTO ... PARA NO ABURRIR CON TANTOS BITS Y BYTES.

Tres de cada cuatro empresas argentinas son víctimas del delito informático

Carlos trabajaba en la gerencia de sistemas de una empresa en la provincia de Buenos Aires. Las cosas no iban muy bien y la compañía iba a encarar un proceso de reestructuración, es decir, un ajuste de personal. Por esas cosas que suceden en las organizaciones Carlos se topó un día, sin saber lo que se estaba planificando para tres meses más adelante, con el listado del personal que sería despedido. El estaba en esa lista, justo a otros treinta compañeros. Además del nombre, figuraba el monto de la indemnización que cobraría llegado el momento.

Se asustó, se desesperó. Pero rápidamente activó sus mecanismos de defensa y encaró una estrategia: modificaría ciertos datos del sistema de la empresa a fin de hacerse de unos millones adicionales dada la eventual situación de despido a la que sería sometido en tres meses. El plan le llevó unas semanas hasta que lo puso en marcha: había que ir a un cajero automático determinado a un día  y una hora prefijadas. El momento llegó. Cuando Carlos introdujo la tarjeta en la máquina, el sonido del cuentabilletes no paraba: lejos de darle el límite de dinero preestablecido por ley, el cajero comenzó a escupir dinero como si de repente hubieran acertado las tres manzanas en una tragamonedas del Casino. El muchacho esperó que el aparato terminara de lanzar billetes, que sumaban mucho más que los $1.000 diarios establecidos por ley. Salió munido de un enorme fajo. La cámara del cajero filmó todo.

No pasaron muchos días hasta que lo llamaron a declarar, sospechado de haber robado un cajero. Cuando le hicieron las preguntas de rigor, admitió que había ido ese día a esa hora a ese lugar, tal como lo había filmado la cámara. Y que había advertido que la máquina le había dado algo así como ... $2 millones. Le pidieron, entonces, que devolviera el dinero. Dijo que no lo tenía. Y justificó: "Salí del cajero con el fajo de dinero. En ese momento pasaba un patrullero por la puerta del banco y, entonces, lo llamé, les conté a los oficiales que pararon lo que había pasado y les entregué el dinero, como corresponde, para que ellos tomaran las acciones pertinentes. Yo no lo tengo".

Carlos está libre y seguramente disfruta de las mieles de esa "doble indemnización" de la que se hizo con un poco de ingenio y paciencia, pese a que cometió un delito. Pese a que todas las sospechas recaían sobre él porque, además, había un video que así lo demostraba nunca fue posible encarcelarlo. En ese momento había un enorme vacío legal sobre los delitos informáticos, ley que se sancionó a mitad de año en el país y que apunta a dar un marco para sancionar a los responsables de estas ilegalidades. 

Si bien el nombre del protagonista de la historia es ficticio, el relato es verídico,  y con otros matices, se repite constantemente en muchas compañías que operan en la Argentina, sin importar su tamaño. Sucede que el 73% de las empresas fue víctima de un delito digital en este año, prácticamente el doble del promedio regional. El acceso ilegítimo a las bases de datos e información crítica, tal como lo hizo Carlos, representa la mayor cantidad de ciberdelitos, con el 29% de los casos. Le siguen el robo de dispositivos móviles, desde notebooks hasta celulares, con el 24%; luego las defraudaciones por manipulación de datos con el 19%; los delitos extorsivos o de índole similar con el 10%, daños contra el correo electrónico en un 8%; y contra la propiedad intelectual un 4%, entre otros.

Los datos corresponden al primer informe sobre delito informático en la Argentina, luego de la sanción de la ley, elaborado por la consultora Ernst & Young. Y pese a que todavía no hay mucha conciencia en las empresas sobre lo que es el cibercrimen en sus distintas modalidades como tampoco sobre los alcances de la ley, en cuatro de cada cinco casos los delitos tienen vinculación con los empleados.

 

Falta de cultura

"El acceso ilegítimo está vinculado con el hecho de que no existe una cultura de seguridad en la Argentina. Esto implica el acceso a datos, a programas, a sistemas, y se trata de delitos que hasta la sanción de la ley no lo eran", explicó Gabriel Zurdo, socio de Ernst & Young

"Se advierte que hay algunas empresas que invierten grandes sumas de dinero en soluciones de seguridad. Pero resulta que, cuando a uno lo llaman porque ocurrió un incidente, se advierte que el sistema tiene más permisos que restricciones. Entonces no se entiende para qué se invierte en seguridad si después no se van a respetar los filtros que existen para cada caso", indicó Rubén Bareiro, consultor de Ernst & Young, y ex jefe de la División de Delitos Tecnológicos de la Policía Federal.

En todos los casos, la posibilidad de acceder a una fuente de datos restringida, ya sea porque hay un permiso, porque se violó la restricción o porque hubo una falla que abrió puertas que debían estar cerradas, el riesgo que se corre es el mismo: el de perder información crítica, que caiga en manos de terceros que trafiquen con ella o que vulneren su integridad. En cualquier caso, la pérdida es importante para cualquier empresa, sin importar su tamaño.

Este riesgo se ve incrementado aún cuando se advierte que el robo de dispositivos móviles, desde laptops hasta celulares, pasando por agendas digitales (PDAs), memorias pen drive o cualquier otro dispositivo capaz de almacenar datos es el segundo ciberdelito más importante dentro de la nueva categorización, contemplada en el Código Penal. El hecho de no resguardar los datos que se almacenan en estos dispositivos también supone la pérdida de información sensible, sin dejar de lado la pérdida de tiempo que significa en lo estrictamente laboral.

 

Fraudes cotidianos

La defraudación cometida valiéndose de los sistemas informáticos también está categorizado como nuevo delito. Y según los especialistas, hasta la sanción de la ley, era muy fácil cometer pequeñas estafas de manera constante, pero que al sumar cada una de ellas, se terminan traduciendo en cifras importantes. En ciertos casos, tan grandes que han llevado a la quiebra a determinado tipo de organizaciones. 

Zurdo indicó que la defraudación se produce dentro del acceso ilegítimo a datos y se refirió a una técnica conocida como mail relay que permite desviar pagos a terceros sin mayores inconvenientes. "En una oportunidad nos llamó una empresa que sospechaba que se le estaba filtrando dinero pero no podía detectar por dónde. Cuando empezamos a penetrar el sistema, descubrimos la falla, y dentro de la obtención de pruebas que buscábamos para explicarle a la empresa qué era lo que estaba faltando, logramos cobrar un cheque por ventanilla a nombre de una de las personas que llevaba adelante la práctica y nadie nos preguntó nada. Esto, antes no podía sancionarse porque quedaba a la libre interpretación del juez. Ahora es delito y debe demostrarse que para cometer esa estafa, ese desvío de un pago, se usaron recursos tecnológicos", detalló Zurdo.

En la encuesta de Ernst & Young fueron consultadas 115 empresas del país de diferentes industrias, la mitad de las cuales factura hasta $1.000 millones al año. La mitad de esas firmas admitieron que los ciberdelitos les causan pérdidas de hasta un 20% de la facturación anual mientras un 40% no es capaz de calcular qué nivel de pérdidas tuvieron por este motivo. A esto se suma que, en el país del INDEK, no hay estadísticas sobre éste y tantos otros problemas. Sin embargo, a mitad de este año trascendió que el robo de identidad habría generado pérdidas por unos $500 millones en el país, según datos obtenidos por Identidad online, de parte de quienes denunciaron este delito. Es decir, que la cifra puede ser mucho mayor aún.

Pese a que más de la mitad de las empresas investigó los delitos digitales cometidos, sólo en el 25% de los casos se logró identificar a los responsables quienes, a partir de ahora, sí serán sancionados por la justicia. Sin embargo, es tan poca la conciencia que sobre el tema existe en las empresas que el 61% de los consultados aseguró que no dispuso de una búsqueda y resguardo formal de los indicios que llevaron a sospechar de un empleado o de un tercero para asegurar su valor probatorio en un eventual proceso judicial. Para empeorar las cosas, un 42% no realizó la denuncia policial porque, en ciertas oportunidades, "las compañías prefieren llegar a un arreglo con el empleado infiel antes que exponerse públicamente a reconocer que sus sistemas y sus datos fueron violados, con la consiguiente pérdida de confianza que eso puede significar para sus clientes, como bien podría ser el caso de un banco", comentó Zurdo.

Por esa razón, los especialistas coincidieron en que las organizaciones deben pensar en la seguridad como un sistema integral en el que se contemple la seguridad física y la informática como un todo. Especialmente porque siempre aparecen la electrónica como la herramienta empleada para cometer un delito.

0 comentarios: