El mundo está superconectado, pues tenemos acceso a todo tipo de información y utilizamos la tecnologí­a digital como herramienta diaria de nuestras operaciones. Esto trae consigo diversas oportunidades y, a su vez, amenazas, exponiendo el acceso de quienes hacen mal uso de esta herramienta y cometen delitos informáticos.

Solo en el 2022, la División de Investigación de Delitos de Alta Tecnologí­a (DIVINDAT) de la Policí­a Nacional del Perú (PNP) detuvo a más de 229 personas implicadas en ciberdelitos, evidenciando un incremento del 70% con respecto al año 2021. Frente a ello, FORTINET develó en su informe que Perú sufrió más de 15 mil 400 millones de intentos de ciberataques (casi 500 ataques por segundo) durante el 2022, es decir, un 34% más que en el 2021, año en el que se registró 11,5 mil millones de ataques.

Las modalidades más utilizadas:

• PHISHING: Técnica que utiliza la suplantación de identidad para obtener información confidencial de forma fraudulenta y así­ apropiarse de la identidad de los usuarios. De forma recurrente, utilizan como método la clonación de sitios webs, correos electrónicos, entre otros.
• MALWARE: Software malicioso que busca dañar sistemas y extraer datos que pueden ser utilizados como chantaje a cambio de ganancias financieras.
• CARDING: Modalidad de fraude que utiliza la información de tarjetas robadas, que luego son usadas para compras online. Perú registró, a la fecha, más de 470 denuncias de robos de tarjetas que son usadas para realizar compras online.
• SIM SWAPPING: Método malicioso utilizado por los ciberdelincuentes para suplantar la identidad de las ví­ctimas, con el objetivo de obtener el chip de sus celulares para cometer actos fraudulentos.
• VISHING: Modalidad de estafa que se produce a través de una llamada telefónica o mensaje de voz y busca engañar a las ví­ctimas para robar información. Solo el año pasado, Perú registró más de 180 denuncias por este tipo de modalidad.

¿QUí‰ BUENAS PRíCTICAS PODEMOS ADOPTAR COMO EMPRESA BASC?

• Establecer y difundir una polí­tica de seguridad informática: Esta información deberá incluir criterios para salvaguardar la confidencialidad, la integridad y la disponibilidad de la información.
• Identificar sus partes interesadas con base al nivel de criticidad en la infraestructura informática: De esta forma, se limitará el acceso a información sensible y se generarán permisos de acuerdo con las funciones y tareas asignadas, revisándolos periódicamente.
• Utilizar redes confiables: Las conexiones de WIFI públicas son redes poco seguras que facilita el acceso a los hackers para cometer actos ilí­citos. En estos casos, se recomienda emplear una red VPN, es decir, una red privada donde se aí­slan diversos intentos de ciberataques.
• Manejar claves fortalecidas: La empresa deberá contar con un criterio de creación de contraseñas, la cual debe incluir signos, caracteres o sí­mbolos e intercalar minúsculas y mayúsculas. Además de ello, se recomienda no repetir las contraseñas para accesos en redes sociales, cuentas bancarias u otras plataformas personales y/o corporativas. Es recomendable cambiarlas cada tres (03) meses.
• Optar por múltiples opciones de validación: Recordemos que muchas cuentas de acceso permiten la verificación mediante huellas dactilares, aprobación directa al celular, mensajes de texto o códigos dictados por llamada telefónica. Al respecto, es recomendable que se utilicen sitios o programas informáticos que permitan implementar la autenticación multifactor para el acceso seguro de los colaboradores.
• Instalar un antivirus en todos los dispositivos: Con el objetivo de poder identificar oportunamente los softwares maliciosos que utilizan los hackers. Para ello, debemos hacer un análisis continuo de los archivos e instalar antivirus en computadoras y celulares.
• Comunicar oportunamente las amenazas de ciberseguridad identificadas a las partes interesadas correspondientes: Esta buena práctica permitirá que las partes interesadas internas y externas (clientes y proveedores) puedan tomar sus precauciones con la información.
• Complementar las buenas prácticas con certificaciones que fortalezcan la seguridad de la información: Actualmente, las iniciativas de seguridad reconocidas, entre ellas BASC, promueven buenas prácticas relacionadas a la seguridad de la información con base en la gestión del riesgo y su rol en la cadena de suministro. Sin embargo, existen normas internacionales complementarias, como la ISO/IEC 27001, que permiten el aseguramiento, la confidencialidad y la integridad de la información, estableciendo controles más rigurosos a nivel de usuario y acceso.