“Tiene que pagar un rescate para ingresar a su dispositivo”.

Ese es el letrero que les está apareciendo en las pantallas de sus PC o celulares a altos ejecutivos de cientos de empresas en Estados Unidos, Canadá y América Latina.



Es la notificación oficial de que se acaban de convertir en nuevas víctimas de una modalidad de ciberataque que está dejando millonarias pérdidas en varios sectores de la economía.

Estas son las tres más grandes amenazas interconectadas con la pandemia. Foto: KPMG

Una encuesta realizada a 642 directivos de igual número de industrias de la región –sector energético, servicios financieros, productos de consumo y retail, telecomunicaciones y energía– muestra que ellos señalaron a este tipo de ciberataques como una de las tres más grandes amenazas interconectadas con la pandemia.



Así lo señala el estudio que acaba de culminar KPMG –red global de firmas que brindan servicios de auditoría, consultoría, impuestos y servicios legales– al que EL TIEMPO tuvo acceso.



Según la muestra, un 83 por ciento de los encuestados admiten haber sido afectados por algún tipo de ciberataque en los últimos 12 meses.



Y aunque cada caso es particular, expertos calculan que las pérdidas son millonarias tanto para los que acceden a pagar como para los que se resisten a caer en las redes de estas mafias y pierden datos por meses e incluso de manera definitiva.

El fraude interno y externo

Oficina del Departamento Administrativo Nacional de Estadística. Foto: Archivo particular

En tan solo uno de los casos que se han registrado en Colombia y que llegaron a la Fiscalía, al Dane le estaban exigiendo 25.000 dólares, unos cien millones de pesos, por desbloquearle 20 teras de información. Pero muchos casos no se denuncian por implicar información íntima (en casos de personas) o por afectar reputacionalmente a las empresas.



Después de los ciberataques, el fraude interno o externo es la segunda gran amenaza.



El 71 por ciento de los encuestados ha tenido que afrontar este tipo de ataques y la mitad afirma que trabajar desde casa ha impactado negativamente la capacidad de sus empresas para responder al fraude. De hecho, para el 86 por ciento de los encuestados, el trabajo a distancia ha afectado negativamente al menos un elemento de los programas de prevención de fraude, cumplimiento y ciberseguridad en su compañía.



El estudio también permitió establecer las clases de individuos detrás de los fraudes o malos comportamientos de los que son víctimas las empresas.

Este es el índice de fraude en Norteamérica y Latinoamérica. Foto: KPMG

Más de un 26 por ciento se los atribuyó a asociaciones criminales organizadas o grupos de cibercriminales.



Pero también aparecen vendedores o proveedores, clientes, colaboradores del nivel operativo, miembros de la gerencia media y reguladores (miembros de entidades oficiales).



Un menor porcentaje (el 10 por ciento de los encuestados) señaló a miembros de la alta dirección (vea el gráfico). Y la triple amenaza la completan las pérdidas derivadas de multas regulatorias o fallas en el cumplimiento.

Las pérdidas económicas

Andrés Jiménez, socio de servicios forenses de KPMG. Foto: KPMG

Este punto es igual de grave al del fraude. De hecho, los directivos encuestados reportan que sus firmas tienen una pérdida combinada promedio por fraude, temas de cumplimiento y multas por aspectos regulatorios, equivalente al uno por ciento de sus ganancias.



“Esta triple amenaza no ha sido la excepción en Colombia. En el último año, han tenido un notable incremento de solicitudes de empresas nacionales e internacionales que buscan asesoría en estos frentes”, le señaló a EL TIEMPO Andrés Jiménez, socio de servicios forenses de KPMG.



Y aunque el 24 por ciento de los encuestados no encuentra relación alguna entre el aumento de ataques de este tipo y la pandemia, el 61 por ciento dijo otra cosa. Para la mayoría, el cambio al trabajo remoto, generado por la pandemia del covid, ha aumentado el riesgo de fraude.

Nexo con el trabajo remoto

El trabajo desde casa ha afectado negativamente la capacidad para brindar la respuesta oportuna. Foto: iStock

El principal motivo es la capacidad reducida para monitorear y controlar el comportamiento fraudulento.



El 50 por ciento de los 642 directivos le dijo a KPMG que el trabajo desde casa ha afectado negativamente su capacidad para brindar la respuesta oportuna y adecuada a los fraudes en sus negocios. Un 38 por ciento está en desacuerdo con ese diagnóstico y un 13 por ciento no está ni de acuerdo ni en desacuerdo.



No obstante, el 59 por ciento de quienes respondieron la encuesta coincide en que los controles para prevenir el fraude que se tenían antes de la pandemia no se han actualizado de manera efectiva para reflejar la nueva realidad laboral en las organizaciones.



Por eso, para los expertos de KPMG, si bien es cierto que previo a la pandemia el fraude, el incumplimiento y los ciberataques ya eran una costosa amenaza para las empresas en las Américas, ahora son más extensos, complejos y tienden a aumentar.



Para contrarrestar estas amenazas, los directivos dijeron que, en el corto plazo (5 años) esperan nuevas regulaciones sobre privacidad de datos y en el ámbito laboral, así como la aplicación estricta de las regulaciones existentes.

Controles insuficientes

El estudio deja claro que las empresas cuentan con pocos instrumentos de defensa para este tipo de ataques, principalmente las de América Latina.



Y ante el aumento de casos, hicieron una lista de cinco medidas que se deben tomar para blindar las compañías.



Estas son: establecer el tono correcto que deben usar los líderes para fomentar conductas éticas en la empresa, llevar a cabo una revisión de los riesgos empresariales existentes, comunicarse de manera efectiva, reforzar la detección de casos de fraude alentando a los trabajadores a denunciar conductas irregulares y crear una cultura de cumplimiento y de rendición de cuentas.

Entes privados y estatales atacados en Colombia

Instalaciones de la Aeronáutica Civil en Bogotá. Foto: Aerocivil

Los expertos de KPMG y recientes hechos demuestran que Colombia no ha estado al margen de este tipo de ciberataques.



Entre los casos más cuantiosos e impactantes a nivel mundial está el de Colonial Pipeline, la firma que opera una red de oleoductos. Pagó un rescate de unos cinco millones de dólares a los piratas informáticos que la atacaron en mayo del 2021.



De hecho, un alto funcionario de la administración Biden aseguró que el Gobierno chino y el ruso protegen a los autores de los ciberataques.



En Colombia, el caso más reciente fue contra Empresas Municipales de Cali (Emcali). El 16 de octubre de 2021, la empresa fue víctima de un ataque de un ransomware, que encripta la información de los computadores e infecta el sistema comercial.



Según Jaime Osorio, gerente de las Tecnologías de Información de Emcali, el virus malicioso entró por un equipo que hace parte de una red interconectada que tiene carpetas compartidas, por lo que resultaron encriptados con contraseña todos los archivos, y a cambio de liberarlos, los responsables del virus pidieron entre 50.000 y 100.000 dólares.

Otro caso sonado fue el de la Aeronáutica Civil (Aerocivil). El martes, 31 de agosto de 2021, en horas de la noche, se presentó un ataque a la ciberseguridad de la entidad con la finalidad de vulnerar sus servidores internos. La entidad activó el plan de contingencia previsto para este tipo de eventos, y todos los servicios internos, que incluyen el correo electrónico y la intranet, al igual que la página web de la entidad, fueron suspendidos como medida de precaución.



“En ningún momento la seguridad aérea nacional, así como la seguridad de las operaciones aéreas, han estado comprometidas, porque sus sistemas no están relacionados con los servidores internos de la Aeronáutica Civil”, aseguró la entidad en su momento.



Sin embargo, tras el ataque, tuvieron que entrar a apoyar a la Aerocivil expertos en seguridad informática del Ministerio de Defensa, la Fuerza Aérea Colombiana, el Ministerio de Transporte y el Ministerio de las TIC, como parte del protocolo establecido en caso de presentarse este tipo de eventos.

La Pontificia Universidad Javeriana también fue víctima de un ciberataque que consistió en fallas en su sistema. Foto: Universidad Javeriana

La Pontificia Universidad Javeriana también fue víctima de un ciberataque que consistió en fallas en su sistema.



El hecho se registró en sus sedes de Bogotá y Cali, y, según la institución, no hubo fuga de información. El ataque cibernético fue 15 días después del que registró en sus bases de datos el Departamento Administrativo Nacional de Estadística (Dane).



Investigadores le dijeron a EL TIEMPO que hay un subregistro de denuncias y varios pagos, debido al tipo de información que se captura y que los dueños no están interesados en que se divulgue.

