Los 'hackers' a menudo pueden utilizar herramientas para escanear el Internet a fin de identificar las redes que son vulnerables.

(CNNExpansión) — Sin importar el tamaño de la empresa, actualmente, si una firma es víctima de robo de información a través de un hackeo, deberá invertir tiempo y dinero en investigar de dónde vino el ataque y evaluar la magnitud de los daños causados, tanto a nivel económico como en la reputación de la empresa.

A nivel mundial, ser víctima de un robo de esta naturaleza le cuesta a un corporativo 3,8 millones de dólares; sin embargo, el costo final depende del sector, el tamaño de la operación, la profundidad del ataque y el tiempo que tarde la organización en darse cuenta que ha sido vulnerado. El tiempo promedio de reacción tras un ataque es de 256 días, a nivel mundial, según datos del Instituto Ponemon e IBM.

De acuerdo con el vicepresidente de seguridad de AMIPCI, Roberto Massa, en México, el costo de los ataques se ve dependiendo del caso particular, aunque los mayores impactos, se dan en cuanto a reputación.

“Es complejo saber el costo de un ataque. Quizá para una Pyme, un ataque de ransomware, tenga un valor de dos o tres millones de pesos, pero esa pérdida puede hacer que la empresa cierre sus puertas. Por otra parte las prestadoras de servicios, que se basan en la credibilidad, cuando tienen un ataque, solo impacta en la economía sino en la reputación y el prestigio de la institución”, dijo Massa durante la conferencia Security Summit 2015 de IBM.

En México, por ejemplo, poco a poco las empresas –desde Pymes hasta grandes corporativos– se han comenzado a ocupar de sus necesidades de ciberseguridad, pero la mayoría invierte sólo el mínimo requerido por las regulaciones para proteger sus sistemas. Aunado a esto, la alta dirección de las empresas muestra aún muy poco interés por involucrarse en la creación de una estrategia de ciberseguridad.

“La regulación lleva forzosamente a las empresas a invertir en seguridad. Hoy México tiene aún mucho por andar en el terreno de ciberseguridad, se van cubriendo sólo lo que las regulaciones establecen. Todavía tenemos desafortunadamente ese chip cultural de “no me va a pasar” y por lo tanto la alta dirección de la empresas normalmente no está involucrada en estos temas”, dijo.

La desconexión de la alta dirección con las necesidades cibernéticas de la empresa implica también que la inversión en este rubro sea mínimo. No obstante, este problema, no es exclusivo de México. El promedio de inversión en ciberseguridad actualmente en el mundo es de siete millones de dólares; sin embargo, datos del Instituto Ponemon, sugieren que la inversión debería ser de al menos el doble.

El director de seguridad de IBM México, Javier Luna, estimó que el involucramiento, la inversión y conocimiento de los altos ejecutivos en temas de ciberseguridad es crucial para que sus empresas no se vean afectadas por este tema, pues es innegable que los ataques cada vez son más frecuentes y sencillos de perpetrar. Además, el potencial de ganancias que generan los ciberataques en el mundo advierten un atractivo negocio que impulsa a los atacantes a mantenerse.

Las ganancias generadas por el cibercrimen en 2014 fueron por 440 millones de dólares según datos del Instituto Ponemon.

Sin ley no hay inversión

El directivo de AMIPCI advierte que las empresas en México se guían por los requerimientos mínimos que les exige la ley en materia de ciberseguridad, para atacar el problema.

Las micro, pequeñas y medianas firmas, en su mayoría, sólo instalan seguridad perimetral y antivirus mientras que los corporativos más grandes un poco más, pero aún, el esfuerzo es insuficiente para realmente atacar el problema.

Si bien, Massa afirma que esta falta de compromiso para resolver el problema es parte fundamental de un cuantioso impacto, la falta de regulación en seguridad cibernética en México, también lo es.

“Está muy bien que en la ley de protección de datos personales esté catalogado el fraude digital y la suplantación de identidad como delito, pero el sistema penal no tipifica como delito el ingreso no autorizado al sistema computacional privado de una red, por lo que el sujeto que sea acusado de este puede quedar libre a las dos horas ”, dijo.

“No hay ministerios públicos especializados tampoco y todo esto hace más complejo la administración de la ciberseguridad en México. (…) Hacen falta soluciones innovadoras y compromiso a largo plazo”, dijo.

Actualmente, la AMIPCI lleva a cabo esfuerzos para promover que la legislación en ciberseguridad sea más amplia y el hackeo se tipifique como delito grave dentro del código penal. A la fecha, no existen avances concretos en el impulso de esta iniciativa.