“La ciberseguridad se trata de la protección de personas, a través de equipos”

Nadie está exento de ser hackeado. Incluso, una reciente víctima fue el expresidente Danilo Medina, a quien le hackearon su cuenta de Instagram. 

¿Cuál es el propósito de los ciberdelincuentes para hacer esto? Según nos explica Carlos Leonardo, director de Respuesta a Incidentes del CNCS, entrevistado por revista CONTACTO, uno de los objetivos es estafar personas utilizando el nombre del usuario hackeado, o vender esa cuenta por la cantidad de seguidores que tiene.

Precisamente, en República Dominicana, el hackeo de redes sociales encabeza la lista de ataques de los cibercriminales. 

“Los ataques más comunes son robo de identidad con el hackeo de redes sociales, que encabeza la lista en el país; clonación de tarjetas de crédito; fraude financiero; fraudes de ingeniería social; y el consumo, almacenamiento y transmisión de pornografía infantil”, afirma Leonardo.

Estos ataques deben ser denunciados en el Departamento de Investigaciones de Crímenes y Delitos de Alta Tecnología (DICAT), para que estos puedan detener a los responsables y, posteriormente, ser judicializados. Pero, además, estas denuncias le dan una idea a las autoridades de cuáles son las nuevas técnicas utilizadas por los atacantes. 

¿De dónde provienen estos ataques?

Carlo Leonardo. ”La mayoría de los ataques provienen de grupos o mafias internacionales. Muchos de ellos obedecen a intereses geopolíticos o de estados, pero también generan actividades maliciosas para tener beneficios económicos. 

La mayoría son ciberdelincuentes que buscan algún tipo de lucro a través del secuestro de datos, del engaño, del fraude. Hay muchos ataques locales, que son delitos que necesitan de la tecnología para ser ejecutados, como una estafa a través de alguna página de venta, se utiliza la tecnología como medio, no como fin o como objetivo”. 

¿Existe alguna ley que tenga sanciones para los ciberdelincuentes?

Juan Gautreaux: “Nosotros tenemos, dentro de la Estrategia Nacional de Ciberseguridad y de la Agenda Digital 20-30, tres leyes que estamos promoviendo desde el Centro Nacional de Ciberseguridad, y con el lineamiento del Ministerio de la Presidencia, que son: una modificación de la ley de delitos y crímenes de alta tecnología; una ley de gestión de ciberseguridad, y una modificación de la ley de protección de datos personales. Con esas tres leyes, que esperamos que sean promovidas, nosotros estaremos fortaleciendo ese marco normativo en República Dominicana.

Una de las razones por la que estamos modificando la ley, es porque hoy todos los delitos son de instancia privada-acción pública, lo que quiere decir que necesitan de una denuncia, de una parte interesada, afectada, para que se pueda dar inicio y continuar la investigación”. 

¿Se han logrado condenas?

Carlo Leonardo: “El año pasado, el DICAT de la Policía Nacional tenía más de 5,800 sometimientos que han sido judicializados, a través de la ley 53-07, y prácticamente el 100 % de los casos tiene algún tipo de condena. Ahí se encuentran acceso ilícito, los famosos fraudes a productos financieros, como la clonación de tarjeta, la ejecución de phishing, esos correos maliciosos que te llegan; los hackeos a cuentas, los robos de identidad, la pornografía infantil. 

La cantidad de personas que han sido sometidas por transmisión, consumo, almacenamiento, venta y compra de material de abuso infantil en línea es significativo. 

Una de las razones por las que estamos modificando la ley es que, hace 15 años, considerábamos que esos delitos los cometían jóvenes curiosos, niños que jugaban al internet, pero que no dejaba de ser un delito, y tenían penas muy mínimas. Pero, hemos entendido que hoy en día el ciberdelito forma parte de la cadena de ejecución del crimen organizado, que se utiliza también para la venta, a través de internet, de sustancias ilícitas, narcotráfico, venta de armas, tráfico de personas, y hemos visto que esa industria de ciberdelito genera muchos más beneficios económicos para los delincuentes que el mismo narcotráfico. Estamos sometiendo un endurecimiento de las penas. Hoy en día, tenemos delitos que tienen pena máxima de tres a seis meses o un año, y otros que tienen máxima de dos años. 

La modificación a la ley lleva, ahora, a penas de cinco y hasta 10 años, en muchos de los casos”. 

¿Cuáles son esas “banderitas rojas” que debe identificar un usuario al recibir un mensaje malicioso?

Carlo Leonardo: “Primero, los mensajes que tienen una finalidad fraudulenta tienen un sentido de urgencia. Los cibercriminales han aprendido a hackear personas, no equipos. Han aprendido que nosotros respondemos ante la urgencia. Ante algo que puede estar relacionado con nuestro entorno. 

Segundo, que alguien te pida un código de verificación, ¡eso no existe! Los códigos de verificación son personales. En ningún momento una plataforma me va a pedir generar un código de verificación, y que se lo envíe a otra persona, o que le envíe los datos de tu tarjeta de crédito. 

Cualquier mensaje, correo, chat que te pidan información personal, más allá de la que tú entiendes que es necesaria para ese servicio, debe levantarte una alerta. 

Tercero, algo que no estás esperando, alguien desconocido que te diga: ‘necesito que me mandes este código o que me des una foto de tu tarjeta de código bancario’, eso te debe levantar una alerta, porque las entidades financieras, en ningún sentido, te piden esa información. 

Son muchos los métodos que usan, pero lo resumiría que hay que hacer uso del sentido común para entender los riesgos. Y les recomiendo entrar a la página del Centro (www.cncs.gob.do), donde pueden encontrar una serie de medidas de seguridad que pueden seguir”.

Importancia de la ciberseguridad en los países

Todos los países están expuestos a los ataques, y más ahora con el desarrollo de la tecnología y los dispositivos que utilizan Internet de las Cosas (IOT), esos que se conectan a internet que son de uso diario. 

Mientras más posibilidad de conexión, más aumenta la posibilidad de ser atacado, aseguran los expertos del CNCS.

“Los ciberatacantes, lo que tienen son objetivos. Muchos de ellos son dirigidos, son muy específicos, porque tienen una misión muy especial que cumplir; algunos con intenciones geopolíticas, otros con intenciones delictivas, y otros con intenciones puramente de satisfacción personal”, explica Carlos Leonardo. 

¿Qué tan importante es prestarle atención a este tema?

Carlos Leonardo: “Hablamos de ciberseguridad, no porque entendamos que hablamos de aspectos físicos, tecnológicos o de equipos, sino porque hemos entendido los riesgos. 

Hoy, ese tema se ha entendido no solamente a nivel técnico, sino que a nivel de los tomadores de decisiones: se ha entendido que es una amenaza real. 

La ciberdelincuencia atenta no solamente dispositivos electrónicos, sino que personas. Por eso, la política de ciberseguridad se basa en la protección de las personas, a través de la protección de equipos. Por esa razón, es necesario que la ciberseguridad se democratice. 

La ciberseguridad debe ser accesible para todo el mundo, para ser accesible para todo el mundo y estar al alcance de todos. Debe ser una política pública, y para que sea una política pública, tienen que estar en la mente y en el plan estratégico de los jefes de gobierno. Por eso, es que forma parte de la agenda digital, de la estrategia de transformación digital, de la de innovación, de la de inteligencia artificial, transversalmente, de todo esto. 

Yo siempre digo que la pelea no es justa, porque los ciberdelincuentes tienen oportunidades infinitas de equivocarse y de fallar en sus ataques, nosotros no. Con una sola vez que fallemos en la protección, ya estamos corriendo consecuencias significativas”.

El año pasado, hackearon 14 portales gubernamentales. ¿Está bien protegido el gobierno?

Juan Gautreaux: “Es un proceso de madurez que vamos trabajando con ellos. Desde el Centro, apoyamos a las organizaciones para que puedan elevar ese nivel de madurez en ciberseguridad, no solamente comprando cajas o aplicando tecnología, sino también aplicando procesos y procedimientos adecuados. Esto es un juego de tres: procesos, tecnologías y personas. Los tres tienen que trabajar en conjunto para elevar ese nivel de ciberseguridad. 

¿Qué tan preparados estamos? Yo creo que las instituciones han ido adquiriendo el conocimiento sobre los riesgos, y están haciendo el mayor esfuerzo posible por establecer una línea base. Primero, se establece un nivel básico: todo el mundo tiene que tener esto. A partir de ahí vamos a ir avanzando. 

En el caso que mencionas de los 14 portales que fueron afectados, fue afectado un solo servidor que alojaba esos 14 portales. Un solo activo tecnológico. Esto no minimiza el impacto, porque de ahí salen nuevas medidas que se tienen que aplicar. Por ejemplo, ‘no poner todos los huevos en una sola canasta’. Es un análisis interesante que hay que hacer, porque a mayor centralización de data, de servicios, de operaciones, debemos establecer mayores controles”. 

¿El centro cuenta con todos los recursos, la tecnología y el personal humano?

Juan Gautreaux: “Nuestro personal está compuesto por menos de 20 personas. Es un equipo excelente, preparados. Siempre se necesitan más, sobre todo, en un momento donde esa huella se está ampliando”. 

Carlos Leonardo: “En todas las partes del mundo, los recursos son limitados en cuanto a la ciberseguridad, porque ahora es que estamos entendiendo sobre los riesgos. Hace falta todavía crear conciencia en que la inversión en ciberseguridad no es un gasto, sino una inversión para proteger activos, negocios y clientes. Lógicamente, a nivel de Estado, hace falta estructurar aún esas partidas, muy específicas, para temas de ciberseguridad.

Hace falta seguir un plan, que no sea un esfuerzo de una sola vez. De decir: ‘vamos a tener tantos miles de millones para ciberseguridad’, eso tenemos que verlo a largo plazo. 

Hoy en día, los presupuestos de ciberseguridad están muy mezclados con los de tecnología y, sí, es cierto, las instituciones, las empresas, dan prioridad ‘a la productividad’. Entonces, el presupuesto de tecnología se va en eso, en poner a funcio nar, en habilitar, pero tenemos que entender que para poder habilitar, tenemos que habilitar sobre una base segura que requiere de una inversión. 

Y yo creo que los tomadores de decisiones, los altos mandos del Poder Ejecutivo, lo han entendido y han tomado cartas en el asunto. El Centro ha contado con el esfuerzo, con el apoyo a nivel presupuestario, para poder ejecutar su labor, yo te diría que sí… en la medida de lo posible”.