Los ciberdelitos en el Perú aumentan un 70 % por año, en especial los casos de robo de dinero e información, mediante phishing y malware. El cibernauta peruano suele confiarse demasiado al realizar transacciones financieras por internet y solo se vuelve precavido cuando es víctima de un ciberdelito. Debe tener mucho cuidado al navegar por el ciberespacio, ya que los ataques pueden provenir de cualquier parte del mundo. 

Riesgos más frecuentes

El mayor riesgo al que se expone un cibernauta es a la pérdida de su dinero. Las razones son las siguientes:

• Visitar una página falsa de un local comercial, posicionada con un muy similar al original. nombre
• Ser víctima de cobros indebidos por parte del comercio o del banco emisor de su tarjeta.
• Ser víctima de phishing o vishing para que ingrese los datos de su tarjeta.
• Instalar, sin saberlo, un malware que roba los datos de su tarjeta o modifica las cuentas destino de los pagos que reciba. 

Los hackers emplean vectores de ataque orientados al cliente, a la aplicación del comercio o al proveedor de la pasarela de pago. Las principales vulnerabilidades son ausencia de validación de entradas y salidas, autenticación débil, exposición de datos sensibles, las malas configuraciones, criptografía insuficiente, uso de componentes con vulnerabilidades conocidas, registros y monitoreo insuficientes, entre otros.

Es importante que el usuario sea consciente de los peligros en internet y que los proveedores de aplicaciones aseguren mejor los canales de atención digital.

El proveedor de la pasarela de pago puede ser vulnerable, a pesar de tener certificación PCI DSS. Así sucedió con Global Payments, que sufrió un ciberataque donde se expuso más de 1.5 millones de tarjetas de crédito y que le valió el retiro de su certificación. Es importante que los auditores PCI DSS, que otorgan las acreditaciones, tengan la debida diligencia al realizar las auditorías y no hagan de ellas un mero comercio. 

Medidas de seguridad

El tarjetahabiente que realiza transacciones en internet debe seguir algunas medidas de seguridad importantes:

• Tener un antivirus licenciado y actualizado.
• Habilitar la navegación anónima.
• Revisar que la página tenga el candado de seguridad.
• Seleccionar el botón de pago en la misma página del comercio.
• Desconfiar de correos, llamadas de teléfono o mensajes de texto que soliciten datos de la tarjeta de crédito.
• Revisar con frecuencia el estado de cuenta para validar cobros indebidos.
• Conectarse solo a redes confiables.
• Llamar al banco emisor si la página registra un error de autenticación o mientras aprueba una transacción. 

Es importante que el celular también cuente con un antivirus y que no se descarguen aplicaciones de comercios con mala reputación. Es mejor evitar abrir enlaces de correos o mensajes dudosos, deshabilitar aplicaciones de fuentes desconocidas y no ingresar a repositorios de aplicaciones pirata. 

Retos pendientes

El panorama de los ciberdelitos y ciberataques es más sofisticado y emplea mecanismos cada vez más complejos, como el criptojacking, modalidad cuyo número de ataques ha superado a los de ramsonware en solo dos años. Es importante que el usuario sea consciente de los peligros en internet y que los proveedores de aplicaciones aseguren mejor los canales de atención digital. 

Las acciones más urgentes a tomar son las siguientes:

• Concientizar a los altos directivos públicos y privados sobre la importancia de aplicar medidas de ciberseguridad.
• Capacitar a ingenieros en seguridad tecnológica, protocolos, criptografía, desarrollo seguro, infraestructura segura con perfiles definidos y especializados.
• Concientizar al ciudadano sobre los riesgos de navegar por internet.
• Capacitar a las áreas de auditoría y darles herramientas para evaluar de forma técnica la efectividad de las medidas de seguridad.
• Desarrollar o adquirir tecnologías de seguridad adecuadas al nivel de riesgo de cada organización.
• Definir e implementar estrategias de ciberseguridad en las organizaciones, para responder ante ataques más sofisticados como Advanced Persistent Threats (APT).
• Otorgar los recursos necesarios a los oficiales de seguridad para implementar controles.
• Contratar proveedores especializados para investigar los intentos de ataque Threat Hunting y realizar evaluaciones de seguridad Ethical Hacking. 

La Ley de Ciberseguridad, firmada por el Congreso de la República del Perú en agosto del presente año, fomentará resguardar la información de los ciudadanos peruanos. Este es solo es el primer paso en la lucha gubernamental contra la ciberdelincuencia. ¿Qué otras medidas hacen falta? Déjanos tu opinión.