El “secuestro de datos” (ransomware) ha proliferado. De hecho, se ha transformado en un mercado donde diferentes grupos clandestinos como DarkSide, Nobelium y REvil, mencionados en medios internacionales y nacionales, “secuestran datos” sobre pedido, también conocido como “Ransomware-as-a-Service” (RaaS). Los hackers encriptan los datos a cambio de una participación en el rescate que piden a la entidad atacada.

El alcance e importancia de las víctimas de tales ciberilícitos ha dado lugar a ubicar dichas actividades como una forma inédita de una guerra fría digital, dados los presuntos nexos de esos grupos con Rusia, una modalidad de financiamiento al terrorismo, a países con sanciones comerciales como Corea del Norte e Irán para la adquisición de armas, evadiendo el efecto que en el flujo de fondos tienen por tales sanciones en forma de bloqueos comerciales impuestos por parte de Estados Unidos o en conjunto con otros países de la comunidad internacional.[1]

Tales actividades ilícitas encuentran en las cibermonedas (v. gr. Bitcoin) un complemento para monetizar sus ganancias. Han dado lugar al ciberlavado para evadir la detección de los flujos de cibermonedas mediante sitios de apuestas que aceptan ciberdinero o la existencia de cajeros automáticos que cambian tales monedas virtuales por efectivo circulante.

Se estima que en 2020 el ransomware se incrementó 311% respecto de 2019, producto de las vulnerabilidades de las empresas expuestas por el trabajo en casa.[2]

Recordemos el caso de Pemex en noviembre de 2019, cuando se demandaron 5 millones de dólares por exhibir las vulnerabilidades que pudieron afectar el suministro de hidrocarburos, pero cuyo ataque sólo se limitó a los sistemas informáticos de pagos de la paraestatal.[3]

“La austeridad en ciberseguridad es un facilitador a que tales incidentes se incrementen en magnitud y daño potencial.”

— Ramiro Tovar Landa —

Los casos recientes conocidos hasta ahora son los de la Lotería Nacional (Lotenal) y el de Colonial Pipeline (que comprometió el abastecimiento de hidrocarburos en la mitad de los estados de la costa atlántica de Estados Unidos y presionó al alza en forma transitoria el precio de la gasolina en los estados afectados; según declaraciones, se realizó un pago de 4.4 millones de dólares o 75 bitcoins).[4]

También llamaron la atención los casos contra servicios de salud en plena pandemia, como el sufrido por el National Health Service del Reino Unido y a dos hospitales, uno de la Universidad de Rouen en Francia y otro en Alemania.[5]

Los daños que causa un evento de ransomware no sólo son la amenaza de pérdida de datos, difusión de información privada y/o “la caída” de los sistemas que causan ingresos perdidos, daños a terceros, la imposición de sanciones por retraso en plazos y cumplimiento de transacciones y, por lo tanto, costos por las responsabilidades legales incurridas y demás sanciones que sucedan a causa de la “caída de sistemas”.

El costo no se limita al pago del “rescate”. Incluso puede comprometer la confiabilidad del público a las entidades atacadas, su calidad crediticia y su valor en el mercado.

Tales son los costos por incurrir en el riesgo de no invertir en ciberseguridad. Incluso los ataques a las empresas con valor centrado en su propiedad intelectual, como aquellas que investigan y desarrollan vacunas, han estado expuestas a este tipo de ataques.

El advenimiento de 5G, el Internet de las cosas (IoT), el crecimiento exponencial del almacenamiento y generación de datos “en la nube”, la digitalización y virtualización de actividades económicas y los flujos de datos en tiempo real enfrentarán riesgos que es necesario anticipar. Requieren de inversión a la par de la inversión en la conectividad masiva de la economía.

Una economía y una vida social totalmente conectada estarán cada vez más expuestas a ciberataques en forma persistente.

Ante un aumento de los dispositivos cotidianos y sistemas informáticos críticos al universo online, es de esperar un crecimiento y mayor sofisticación en los ataques asociados a las actividades del crimen digital.

Estaremos ante un tipo de amenaza no experimentada anteriormente, tanto por su alcance como por los costos económicos que pueden causar. Nuestros países, que buscan alcanzar y hacer realidad la promesa de la transformación digital, deben reconocer que los crímenes digitales o cibernéticos son uno de los muchos riesgos que se deben reconocer y adoptar en las políticas públicas de cobertura y penetración.[6]

Las entidades públicas y privadas tratan de ocultar ex post sus incidentes de ciberataques (Pemex y Lotenal). La ausencia de transparencia en estos casos resulta en una subestimación de los riesgos y en la negación del reconocimiento de las deficiencias que dan lugar a tales vulnerabilidades.

La coordinación del sector público y privado en una política de abatimiento de los ciberriesgos se encuentra ausente. Es crucial la coordinación para enfrentar lo que será una “carrera” tecnológica entre hackers y el desarrollo de defensas para evitar tales ataques.

La austeridad en ciberseguridad es un facilitador a que tales incidentes se incrementen en magnitud y daño potencial. Es necesaria la intervención de los reguladores para que incorporen en su agenda la protección de los activos digitales públicos y privados e incentiven la inversión en la evolución de sus niveles de ciberseguridad.

¿Por qué deben intervenir los reguladores? La razón es que los costos sociales de los crímenes digitales, como el ransomware, son mayores que los costos privados. Es decir, la inversión en ciberseguridad tiene mayores beneficios sociales que sólo los beneficios para una entidad en lo particular. Por lo tanto, la inversión óptima social es menor que la inversión que se realiza a nivel privado sin intervención regulatoria.

Al amenazar sistemas de infraestructura como los financieros, telecomunicaciones, transporte, energía, salud, entre muchos otros, la ciberseguridad es un tema de interés público. Por lo tanto, debe de incorporarse en una eventual agenda digital hasta ahora inexistente en México, como en el resto de los países, porque es una amenaza global.

El Foro Económico Mundial (WEF), en su evaluación de riesgos globales, ubica las deficiencias o fallas en ciberseguridad como un riesgo en el corto plazo sólo superado por los riesgos de pandemias, crisis sociales y cambio climático.

Es mayor el costo social y el riesgo de tales amenazas que el riesgo del uso de algoritmos basados en Machine Learning, con objeto o efecto anticompetitivos, o el poder de mercado de las plataformas globales.

Según el sondeo del WEF, es semejante al riesgo global de la persistencia del nivel de la desigualdad digital en las sociedades y del estancamiento económico, pero mayor que los riesgos de ataques terroristas.[7]

La deficiencia o fallas en la ciberseguridad se ubican en el cuadrante de relativamente elevada probabilidad y elevado impacto.

Se ha propuesto que, en forma semejante a la política de Estados Unidos respecto al terrorismo, no se debe negociar con los hackers. Es decir, aplicar la estrategia de no pagar en los casos de ransomware. Sin embargo, lo crítico de los activos digitales y de los flujos de información obligan a que tal estrategia no pueda ser una opción. De hecho, en Estados Unidos en 70 por ciento de los casos existe un pago a los hackers.

El costo preventivo de tener respaldados de datos permanentemente implica crear sistemas informáticos redundantes que requieren las mismas inversiones en seguridad que los sistemas que son respaldados. 

El costo de la redundancia, como un remedio ex post al ataque, puede ser superior a los costos de prevención en la intrusión a los sistemas de ciberseguridad ex ante.

El hecho de que se realice el pago o se niegue el rescate depende del valor de los activos digitales encriptados o en riesgo. No sólo por su valor para una entidad en particular, incluso puede ser por su valor social, dado lo crítico de los datos y de los flujos de información que se requieren en tiempo real. 

Los hackers se aseguran de que el valor de los sistemas encriptados y datos sean de un mayor valor que el pago exigido a la víctima, por lo que el pago será inevitable.

Las políticas cooperativas (privado-público) son fundamentales como estrategias preventivas ex ante, pero un factor no menos importante es la educación en ciberseguridad como la mejor y más eficiente medida de prevención.

El mercado desarrollará mecanismos seguros ante tales ataques que pueden mitigar las pérdidas económicas privadas causadas por tales ilícitos, pero no los costos sociales.

La mayor falla que incentiva la existencia de tales crímenes digitales es el sesgo al “optimismo” de las entidades. Postergar las inversiones en mitigación de riesgos cibernéticos en un entorno de austeridad crea un entorno en el cual siempre se van a subestimar los riesgos de este tipo de eventos. Por lo tanto, siempre existirán otras inversiones que reciban mayor atención.

Las entidades del sector público y privado tienen que compartir información sobre tales incidentes y reconocer que éstos “no ocurren hasta que suceden y es demasiado tarde”. A partir de ahí siempre habrá un costo privado y social que puede ser evitable y evadir una falsa austeridad como una autocomplacencia y en procrastinar en seguridad.

Si aspiramos a una digitalización de la economía, a un aprovechamiento del advenimiento de 5G y de la incorporación masiva de la población a los ecosistemas digitales, tenemos que invertir tanto en infraestructura como en ciberseguridad.

No existirá usuario que no sea vulnerable a los costos de los ilícitos, dado que de una forma u otra su vida económica y social estará inmersa en datos y en múltiples plataformas y sistemas informáticos que no tienen por qué ser vulnerables. 

Con la garantía constitucional de acceso a banda ancha debe estar incluida la preservación de la continuidad de su acceso y la seguridad en su entorno digital.


[1] Anas Baig, “Top 5 Countries Where Cyber Attacks Originate,” Security Today, 3 de marzo de 2017. Disponible en: https://securitytoday.com/Articles/2017/03/03/Top-5-Countries-Where-Cyber-Attacks-Originate.aspx?Page=2 

[2] CNBC, “Overall bitcoin-related crime fell last year, but one type of crypto hack is booming”,  24 de enero de 2021.

[3] OECD et al. (2020), “Latin American Economic Outlook 2020: Digital Transformation for Building Back Better”, OECD Publishing, París.

[4] The Wall Street Journal, “Colonial Pipeline CEO Tells Why He Paid Hackers a $4.4 Million Ransom”, 19 de mayo de 2021.

[5] Disponibles en: https://www.telegraph.co.uk/technology/2018/10/11/wannacry-cyber-attack-cost-nhs-92m-19000-appointments-cancelled/https://www.lemonde.fr/pixels/article/2019/11/18/frappe-par-une-cyberattaque-massive-le-chu-de-rouen-force-de-tourner-sans-ordinateurs_6019650_4408996.html , https://www.zdnet.com/article/first-death-reported-following-a-ransomware-attack-on-a-german-hospital/

[6] Tourpe, H.; “Transformative Technology”, Finance & Development IMF (marzo de 2021).

[7] WEF, The Global Risks Report 2021, 16th Edition, 2021.