Ante la alarmante falta de un ente central que regule y supervise los ciberataques en México, directivos de Silent4Business enfatizaron la necesidad urgente de establecer una Ley de Ciberseguridad.
Esta legislación se propone como una medida crucial para frenar el creciente número de incidentes de Compromiso de Correo Electrónico Empresarial (BEC, por sus siglas en inglés), que en 2023 provocaron pérdidas por más de 2 mil 900 millones de dólares.
Héctor Reyes, gerente de Operaciones en Silent4Business, destacó las preocupantes cifras del FBI, que registraron 21 mil 489 casos de ataques BEC en 2023, resultando en pérdidas cercanas a los 3 mil millones de dólares. Además, Reyes señaló que el primer trimestre de 2023 experimentó un alarmante incremento del 464% en robos de datos a través de correos electrónicos mediante phishing. “El compromiso del correo electrónico empresarial ha sido la principal ciberamenaza en los primeros meses de 2024, según datos de Cisco Talos Incident,” afirmó Reyes.
La tendencia al alza de estos ataques no es nueva, por ejemplo, el informe de delitos en internet de Proofpoint reveló que las denuncias por ataques BEC aumentaron un 3% en 2021 y un 9% en 2022. Más del 75% de los encuestados en 2022 admitieron haber sido víctimas de este tipo de ciberataques al menos una vez.
Aunque la Guardia Nacional implementó el Centro de Respuesta a Incidentes Cibernéticos (CERT-MX) para atender incidentes de seguridad de la información, Reyes advirtió que su protocolo es general y carece de indicadores claros sobre su efectividad. “Es esencial delinear una Ley de Ciberseguridad que permita a los sectores público y privado seguir una estrategia nacional unificada, evitando que los esfuerzos se queden en acciones aisladas”, explicó Reyes.
El gerente de operaciones subrayó que las pérdidas causadas por ataques BEC suelen ser más devastadoras que las provocadas por ransomware. Estos ataques se dirigen a defraudar a quienes manejan transferencias de fondos, lo que dificulta la recuperación del dinero y afecta gravemente la reputación y relaciones comerciales de las empresas.
Desde la perspectiva de Silent4Business, Reyes sugirió que la implementación de medidas técnicas de seguridad, como la autenticación, el filtrado de correos, antivirus, segmentación de la red y controles de acceso, debe complementarse con capacitaciones y pruebas constantes para evitar correos maliciosos. También es crucial fomentar una cultura donde los empleados puedan reportar actividades sospechosas sin temor a represalias.
Por último, Reyes recomendó que las empresas, independientemente de su tamaño, consideren contratar a un proveedor externo de ciberseguridad. “Estos proveedores aportan experiencia especializada, tecnología de vanguardia y monitoreo continuo, lo que permite una vigilancia proactiva y asesoramiento en mejores prácticas y políticas de seguridad”, concluyó.
