Cada vez que utilizamos nuestros teléfonos, tabletas o computadora dejamos una “huella digital” cuya información puede ser manipulada por los ciberdelincuentes. Todos somos vulnerables a los ataques cibernéticos, junto a las dos terceras partes de la población mundial que está conectada a dispositivos móviles.
Los casos de hacking abundan. Tras la captura en abril de Julián Assange, el fundador de WikiLeaks, Ecuador reportó 40 millones de ataques a sus plataformas. En 2018, la cadena hotelera Marriott fue víctima del robo de los datos de 500 millones de clientes, incluyendo los números de tarjetas de crédito. JP Morgan Chase, eBay y Yahoo!, para mencionar algunos, han sido víctimas de devastadores ciberataques.
Los gobiernos no están exentos. Países de la Unión Europea, Estados Unidos, Israel, Canadá y Japón, entre otros, han establecido protocolos para combatir el cibercrimen y garantizar la continuidad de los servicios públicos. Pero estos deben estar en constante actualización, como lo hizo España en abril al aprobar la nueva estrategia nacional de ciberseguridad que modifica la hecha en 2013.
En América Latina y el Caribe (ALC), según un informe del BID, cuatro de cada cinco países no tienen estrategias de ciberseguridad o planes de protección de infraestructura crítica. Este tipo de delitos le cuestan a nuestra región unos US$90.000 millones al año, de acuerdo con el estudio. Para contrarrestar, algunos países como Colombia y Argentina han establecido normativas y políticas públicas sobre el comportamiento en el ciberespacio. Uruguay es el país más avanzado de ALC en establecer e invertir en estrategias de ciberseguridad.
Ciberseguridad para la Plataforma Digital del Comercio Centroamericana
Ante este escenario, toda plataforma digital de comercio debe tomar medidas efectivas para proteger la integridad de los datos y mitigar los riesgos de la actividad delictiva en el ciberespacio. Esto es particularmente relevante en proyectos complejos y centrales para mejorar vidas en nuestros países, como la Plataforma Digital del Comercio Centroamericana (PDCC).
La PDCC, financiada por la Unión Europea, coordinada por el Banco Interamericano de Desarrollo (BID) y ejecutada por la Secretaría de Integración Económica Centroamericana (SIECA), es un proyecto multianual (2015-2020) que busca facilitar el comercio regional, reducir costos empresariales y aumentar la competitividad de los países participantes: Guatemala, El Salvador, Honduras, Nicaragua, Costa Rica y Panamá.
La plataforma permitirá a esos países integrar la información de las transacciones de las importaciones, exportaciones y tránsitos internacionales, y los datos asociados a aspectos aduaneros, migratorios, de control sanitario y de las Ventanillas Únicas de Comercio Exterior (VUCE). En el corto plazo, debe interoperar con sistemas como la plataforma de la Alianza del Pacifico (Chile, Colombia, México y Perú).
Su objetivo final es reducir la incertidumbre sobre los tiempos, costos y trámites oficiales para importar, exportar o transitar en la región centroamericana, así como poder seleccionar como proveedores de servicios logísticos únicamente a los operadores debidamente legalizados en los países e incluidos en la plataforma.
Cómo protegerse contra ataques cibernéticos
Una plataforma de comercio como la PDCC debería incluir además de los módulos de gestión y de análisis de riesgos, información de acuerdos comerciales, estadísticas, normativa regional y nacional, y monitoreo de unidades de transporte. Además, debe proporcionar inteligencia para la toma de decisiones de política comercial basada en el análisis de big data.
Un referente importante es el informe de ciberseguridad publicado por el BID y la OEA en el 2016, el cual analiza el nivel cibernético de cada país a través del Modelo de Madurez de Capacidad de Seguridad Cibernética. Este modelo está basado en cinco dimensiones –política, cultural, educación, tecnología y legal- y 49 indicadores.
En el BID consideramos que para que una plataforma de comercio sea exitosa, debe ser diseñada tomando en cuenta políticas y normativas de ciberseguridad para minimizar el riesgo de extracción o modificación de datos de comercio exterior.
Recomendamos, para comprobar la robustez en la seguridad de las plataformas, aplicar las mejores prácticas: pruebas de vulnerabilidad en los códigos fuente y la arquitectura de las redes, así mismo aplicar hacking ético (auditoría de seguridad) y penetration testing (ciberataques controlados) a los sistemas.
También sugerimos que la sostenibilidad financiera de estas plataformas garantice la mejora y el mantenimiento continuo, así como protocolos de reacción inmediata contra ciberataques, con estándares y pautas internacionalmente aceptadas, como el ISO/IEC 27000 y el Marco de Seguridad Cibernética (CSF) del Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos.
La seguridad cibernética no es el único desafío que enfrenta la plataforma PDCC. Debe enlazar a más de 175 representantes a nivel técnico, legal, tecnológico y político de los seis países; así como incorporar al sector privado para que actualice sus obligaciones de registro de usuarios y unidades de transporte.
Proyectos como la PDCC representan una excelente oportunidad para aprovechar la Cuarta Revolución Industrial en pro del desarrollo y crecimiento de nuestros países. Para que esto ocurra hace falta crear una infraestructura digital segura y robusta. Proteger a nuestros ciudadanos y a las instituciones del cibercrimen no es una opción: es un elemento clave para nuestro desarrollo.
Excelente y muy util informacion.
Que buen artículo. Me quedo claro que es todo un reto reducir vulnerabilidades el garantizar la seguridad de la información. Y es un trabajo que debe hacerse con personal no sólo experto, sino dispuesto a mejorar constantemente los protocolos de seguridad. Los ciber delincuentes no descansan, así que contrarrestarlos tiene que ser la constante también!!
en el informe del 2016, se plasmas una serie de deficiencias que a la fecha no se han logrado subsanar, aun cuando se han logrado ciertas acciones que se han realizado simplemente por dar cumplimiento a las recomendaciones no existe una implementacion real.
Yo como experto en ciberseguridad lo veo critico a diario se dan eventos en mi pais donde se trata de ocultar el impacto de dichos incidentes a fin de no dañar la imagen.
Seria buena abrir estas plataformas a algun tipo de bugbounty antes de ponerlas en produccion,