POR DAVID PAREDES
COORDINADOR DE COMUNICACIÓN
¿Por qué es importante la ciberseguridad?
La ciberseguridad es un tema muy amplio, sobre todo desde el momento en que la tecnología se volvió parte de nuestra vida. Actualmente, utilizamos todo tipo de tecnología como televisores inteligentes, smartphones, laptops, tablets y, en cada uno de esos dispositivos tenemos algo súper importante e intangible: información. Hoy por hoy, con la información se puede hacer cualquier cosa. Desde inventar nuevas formas de producir dinero hasta optimizar el tiempo, pero también se pueden cometer fraudes y delitos.
Cuando se habla de delitos, ¿a qué te refieres puntualmente?
Ciberdelitos. Se puede afectar tres cosas importantísimas: una, la disponibilidad de esa información. Es decir, que cuando tú quieras usarla no esté disponible. La segunda afecta a la integridad. Es decir, que la información que tú estás revisando en tus dispositivos no sea confiable, esté alterada, modificada o definitivamente no responda a la realidad. Y la última es la privacidad, desinformación o la confidencialidad. Hay cierta información y contenidos que queremos que sean privados y se puede volver públicos de una manera ilegal. Por eso es importantísimo velar por la disponibilidad, la integridad y la confidencialidad de la información.
¿Y cómo lograrlo? Ponerlo en práctica seguramente exige de procesos y estándares especiales, además de una firme decisión corporativa.
Sí, correcto. En UNACEM, el corporativo vio la mejor manera de establecer un sistema de gestión de seguridad de la información. Así como hay sistemas de gestión de calidad, de ambiente (…) también hay sistemas de gestión de seguridad de la información que agrupan el conocimiento de miles de profesionales en seguridad de la información y en ciberseguridad, a nivel mundial. Ellos describieron qué es lo que deberíamos hacer y lo van actualizando constantemente. Existen norma como la ISO 27001 que nos dice qué hacer y la ISO 27002 que nos dice cómo hacer. Nosotros nos apegamos a esos estándares internacionales a través del corporativo para cumplir todos los principios de seguridad que existen hoy por hoy y, con ello, apalancar el desarrollo sostenible de la empresa.
Cuando llegaste a la empresa, ¿con qué te encontraste? ¿Cuál fue el primer diagnóstico que hiciste y cuál fue el siguiente paso?
Llevo en este campo algo más de 11 años y en Ecuador, lamentablemente, el nivel de madurez en seguridad de la información y en ciberseguridad, a pesar de todos los esfuerzos que hay, todavía es bajito. Cuando yo ingresé a UNACEM, a inicios de este año, hice un levantamiento inicial, porque siempre debes conocer en dónde estás, plantearte hacia dónde quieres ir y luego empezar a recorrer ese camino. En ese levantamiento inicial yo tenía la expectativa de ver algo similar a la media de la industria. Es decir, un nivel de madurez bajo o medio bajo, pero estaba muy por encima de la media. Me sorprendió que, a pesar de no tener un área de seguridad de la información formalizada, el equipo de tecnologías y sistemas de información lo estaba haciendo bastante bien.
Eso facilita para dar el primer paso en esta lucha contra la ciberdelincuencia
Por supuesto, el éxito de todo esto es que, a nivel ejecutivo, las altas gerencias comprendan la importancia de asegurar la información y que hay algunas regulaciones bajo las que que pueden sancionarnos si no lo hacemos adecuadamente. Pero ese paso en UNACEM ya estaba dado. El corporativo es súper maduro en el entendimiento de que, sin asegurar los datos y la infraestructura tecnológica, el crecimiento no es sustentable ni sostenible.

Es importante que este mensaje no solo se quede en la alta gerencia, porque a la final todos estamos expuestos a ataques. ¿Cómo hacerles entender a los colaboradores la importancia de la ciberseguridad?
Una de las cosas que el manual nos dice que hay que ejecutar capacitaciones, pero es fácil perder el interés y el hilo durante las charlas. El conocimiento, en muchos casos, nos dura lo que nos dure la capacitación y, de pronto, un par de días después. La mejor forma de aprender ciberseguridad es practicando. El corporativo es consciente de eso y quienes formamos el equipo de oficiales de seguridad de la información y el CISO corporativo, es decir, el director de seguridad de la información de UNACEM, vamos a llevar a la práctica a todos los usuarios tecnológicos y no tecnológicos. Todo el personal administrativo de UNACEM va a ser entrenado en la práctica, vamos a hacer simulaciones de escenarios reales de ataques.
De hecho, hicimos ya un primer escenario y vimos qué usuarios pueden ser engañados a través de un fraude y con ellos vamos a trabajar más fuerte. Con todos los usuarios vamos a trabajar, pero con aquellos que son susceptibles al engaño y al fraude vamos a trabajar aún más. Vamos a tratar de socializar lo que estamos realizando para que todos los proyectos que UNACEM implemente vayan con la revisión de los oficiales de seguridad de la información de cada una de las unidades de negocio. De esa forma garantizamos que, desde el diseño, todos los proyectos salgan con las mejores prácticas de seguridad y bajemos al mínimo la probabilidad de que tengamos un ataque.
¿Cuáles son esos ataques más comunes a los que estamos expuestos como colaboradores?
Como colaboradores, a temas de fraudes, secuestro digital de información y pérdida de datos.
¿De qué se tratan?
Los fraudes más comunes son cuando te llegan mensajes o correos de alguien que tú no esperabas y tienen enlaces con malware que se instala en los computadores y eso puede afectar a la red. Pueden jugar con tus sentimientos o con tus emociones. Te mandan un mensaje que te incita a hacer algo para que termines entregando dinero o contraseñas.
En UNACEM tenemos aplicaciones web, páginas web para servir mejor a los clientes, hemos colocado en línea algunos servicios. En este caso el riesgo es que el atacante nos robe nuestros datos y con ellos el de los clientes, a quienes pueden empezar a acosar.
Pueden enviarles correos maliciosos o de intimidación para recibir pagos por dejarlos en paz. Eso es lo que nosotros tratamos de evitar.
Hay ataque a empresas que están tomando fuerza en la región y se han vuelto comunes como el secuestro de datos. Es decir, entran a tu computador y encriptan toda tu información y te dicen que, si quieres la llave para desinfectar tu información, tienes que pagarle un rescate.
Ese es el ataque al que más estamos expuestos. Somos conscientes del riesgo y estamos trabajando en implementar, entre el 2023 y el 2025, todos los procesos, herramientas y capacitar a las personas para resistirnos. En UNACEM, como establece el CODEC, no apoyamos a la delincuencia. Nunca realizaremos pago alguno por rescate. La forma más eficiente de protegernos es la prevención.
Ahora estamos expuestos en todo momento. Incluso por WhatsApp han llegado mensajes sospechosos
Con el WhatsApp y con todas las redes sociales. Juegan con la gente. Hay mucha gente ahorita en Ecuador que necesita trabajo y los delincuentes se aprovechan de esta situación de vulnerabilidad. Envían mensajes diciendo, “Soy de una multinacional XYZ y tengo un trabajo para ti. Descarga o instálate esta aplicación o lléname estos datos para que puedas participar por un puesto en esta empresa”. En muchos casos van más allá y piden depósitos.
Queremos que la ciberseguridad llegue a los hogares para proteger a los más susceptibles. En el caso de las empresas son al personal menos tecnológico, pero en casa es a los menores de edad, sobre todo a los niños.
¿Nos puedes dar consejos para aplicarlos en el trabajo y en casa?
El primer consejo es que le demos un respiro a los equipos tecnológicos cuando no los estemos utilizando. Sobre todo, computadores, televisores inteligentes, las Alexas en casa. Cuando no los estamos utilizando, los cibercriminales aprovechan que siguen conectados a Internet para ingresar. Si un computador está apagado, el cibercriminal no puede ingresar.
El segundo consejo que te podría dar es que necesitamos vigilar a los usuarios de riesgo en la empresa, a los usuarios poco tecnológicos. En casa, a los menores. Tenemos que vigilar dónde navegan, con quién conversan. Como padres, ser responsables de la interrelación de los menores en línea, es decir, en la Internet.
Otro consejo es cambiar las contraseñas del Wifi de la casa al menos dos veces al año. Es decir, tienes una red Wifi en tu casa que te pone tu proveedor y normalmente te da una contraseña por defecto y a veces se queda la misma por años. Hay criminales o cibercriminales que visitan los conjuntos habitacionales y empiezan a espiar en las casas, incluso empiezan a espiar las cámaras de seguridad y dan fácilmente con ese tipo de contraseñas porque muchas veces son repetitivas.
El cuarto consejo que podría dar, aparte cambiar las contraseñas del Wifi, es no usar la misma contraseña para temas laborales y para temas personales. Es decir, siempre debemos tener una contraseña diferente.
Finalmente, mantener separada nuestra vida profesional de nuestra vida personal en la parte tecnológica. Es decir, las cosas de casa no hacerlas en el computador del trabajo y las cosas del trabajo no hacerlas en el computador de la casa. De esa forma evitamos que si un cibercriminal entra a la compañía no afecte a nivel personal a los usuarios y viceversa. Esos 5 consejos nos ayudarían muchísimo a mitigar un problema, un incidente y si es que este ocurre a contenerlo en un espacio reducido, mientras tomamos acciones.