Home Entrevistas Belisario Contreras, Gerente del programa de Ciberseguridad de la OEA: “El cibercrimen...

Belisario Contreras, Gerente del programa de Ciberseguridad de la OEA: “El cibercrimen es cada vez más sofisticado”

Por Jorge González.

El gerente del Programa de Ciberseguridad de la Organización de los Estados Americanos (OEA), el colombiano Belisario Contreras, dijo que “el cibercrimen es cada vez más sofisticado y no requiere de grandes presupuestos”, e instó a los gobiernos a implementar acciones “que permitan adaptarse a esta realidad”.

“La ciberseguridad es un fenómeno global que va más allá de las naciones y que cada vez se enfrenta a amenazas más sofisticadas, por lo tanto los desafíos a los que se enfrenta la OEA son los mismos a los que se enfrenta la región”, dijo Contreras en diálogo exclusivo con Ciberseguridad LATAM.

Nacido en Cúcuta, la ciudad fronteriza con Venezuela, Contreras obtuvo una licenciatura en Administración de Empresas de la Universidad Francisco de Paula, y posee una amplia experiencia en las iniciativas gubernamentales en América Latina y el Caribe.

Hincha del Deportivo Cúcuta, reveló que los pasteles de garbanzo y “chuzo pan” de su tierra natal son sus comidas preferidas, y a la hora de elegir una ciudad fuera del Norte de Santander se quedó con Dubrovnik, la apacible ciudad del sur de Croacia, frente al mar Adriático.

¿Cuáles son los pilares de la Estrategia Interamericana Integral para Combatir las Amenazas a la seguridad cibernética aprobada en 2004?

La Estrategia Interamericana Integral de Seguridad Cibernética reconoce la necesidad de que todos los participantes en las redes y sistemas de información sean conscientes de sus funciones y responsabilidades con respecto a la seguridad, a fin de crear una cultura de seguridad cibernética. También, que para la existencia de un marco eficaz de protección de las redes y sistemas de información que integran Internet y para la respuesta y recuperación de incidentes es necesaria la concurrencia de dos factores: En primer lugar, que se proporcione información a los usuarios y operadores para ayudarles a asegurar sus computadoras y redes contra amenazas y vulnerabilidades, y a responder ante incidentes y a recuperarse de los mismos. Y en segundo lugar, que se fomenten asociaciones públicas y privadas con el objetivo de incrementar la educación y la concientización, y se trabaje con el sector privado –el cual posee y opera la mayoría de las infraestructuras de información de las que dependen las naciones—para asegurar esas infraestructuras.

“Los delincuentes cibernéticos a menudo buscan acceso a información sensible de los gobiernos”.

Para llevar a cabo estos esfuerzos, el Comité Interamericano contra el Terrorismo (CICTE), la Comisión Interamericana de Telecomunicaciones (CITEL), y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA) trabajan con los Estados Miembros para fomentar un ciberespacio más seguro.

¿Qué rol cumple el Comité Interamericano contra el Terrorismo (CICTE) en esta estrategia?

El CICTE, a través del programa de Ciberseguridad, trabaja tres pilares activamente: el desarrollo de políticas, ayudando a los Estados Miembros a desarrollar estrategias de ciberseguridad nacionales o regionales con una amplia participación de todos los actores del país; el desarrollo de capacidades, ayudando al establecimiento de equipos nacionales de respuesta a incidentes de seguridad cibernética (CSIRTs) y brindando asistencia técnica y práctica (ciberejercicios) para el fortalecimiento de las capacidades; y por ultimo con actividades de investigación y divulgación, desde la generación de conocimiento hasta herramientas y reportes para ciudadanos, empresas y gobiernos.

Los frutos de este trabajo se traducen, por poner algunos ejemplos, en que sólo en 2017, 4 países de la región adoptaron una Estrategia Nacional de Ciberseguridad, y este año se han sumado dos más para un total de 10 (Colombia, Chile, Costa Rica, Jamaica, México, Panamá, Paraguay, Trinidad y Tobago, República Dominicana y Guatemala). Otros países ya se encuentran en proceso de formulación. De igual forma, el número de Equipos de Respuesta a Incidentes de Seguridad Cibernética (CSIRTs) ha aumentado desde 5 hasta 21 desde el inicio del programa. A todo esto hay que sumar 40 capacitaciones anuales, que nos han permitido llegar a más de 10.000 profesionales. Y en el área de conocimiento, a lo largo de este ejercicio, hemos presentado 4 publicaciones con el sector privado y en unas semanas lanzaremos un reporte sobre la ciberseguridad del sector bancario en América Latina y el Caribe.

¿Cuáles considera que son los mayores desafíos que enfrenta la OEA en materia de seguridad cibernética?

La ciberseguridad es un fenómeno global que va más allá de las naciones y que cada vez se enfrenta a amenazas más sofisticadas, por lo tanto los desafíos a los que se enfrenta la OEA son los mismos que a los que se enfrenta la región. Destacaría cinco:

  1. Asegurar que los derechos de los ciudadanos sean respetados en el ciberespacio.
  2. Entender que el cibercrimen es cada vez más sofisticado y no requiere de grandes presupuestos, y por tanto los gobiernos, empresas privadas y comunidad deben implementar acciones que permitan adaptarse a esta realidad
  3. Fomentar un cambio de mentalidad para hacer entender que del mismo modo que nuestra integridad física es importante, también lo es nuestra integridad digital.
  4. Entender que concientizar a cerca de que la ciberseguridad es una responsabilidad compartida y requiere la colaboración y coordinación entre los distintos actores. Por lo tanto uno de los grandes desafíos es establecer un mecanismo de colaboración y coordinación confiable y efectivo.
  5. La necesidad de incrementar el presupuesto y los recursos humanos para la implementación de medidas y políticas de ciberseguridad. A pesar de los esfuerzos realizados, tanto el sector público como el privado deben comprender que las inversiones en tecnología deben ir acompañadas de inversión en seguridad.

¿Cómo está Latinoamérica en el tema de Ciberseguridad o Seguridad cibernética?

La OEA en colaboración con el Banco InterAmericano de Desarrollo, siguiendo un modelo de madurez de la Universidad de Oxford, publicó un estudio en 2016 sobre el estado de madurez de ciberseguridad en Latinoamérica que se puede visitar en la web http://observatoriociberseguridad.org, y que analizaba 5 dimensiones: política y estrategia; cultura y sociedad; educación; marcos legales; y estándares, tecnologías y organización. En este estudio se puede observar que aún queda mucho por hacer a nivel regional. Vemos avances en algunos países, y en algunas áreas específicas, pero en general, incluso nuestros Estados Miembros han reconocido que aún hay que redoblar esfuerzos.

“Los países ven el valor que la cooperación internacional aporta y cada vez esa integración es mayor”.

¿Cuáles son los países más seguros en esta materia?

Es importante tener en cuenta que todos los países tienen características completamente diferentes: Realidades políticas, sociales y económicas que los hacen únicos. También es distinta la magnitud de los incidentes, en que infraestructuras críticas se presentan más, qué impacto tienen en la seguridad nacional, etc. Lo que si sabemos es que en este momento la tecnología y las amenazas están evolucionando constantemente y se están sofisticando, por lo que ningún país, institución o ciudadano está completamente blindado ante los ciberataques. Con el incremento de la conectividad y el despliegue de la Internet de las cosas, los países estarán más expuestos. De ahí la importancia de implementar medidas de seguridad desde el comienzo del despliegue de cualquier tecnología digital.

¿Cuán lejos estamos en América Latina de los estándares europeos y estadounidenses?

Existen bastantes esfuerzos e interés de varios países por adoptar estándares europeos y estadounidenses. La naturaleza transfronteriza del ciberespacio, así como la dinámica global de la economía, requiere que las empresas implementen marcos comunes de ciberseguridad y de gestión del riesgo, y aprovechen estándares existentes, como ISO y NIST. Asimismo, observamos que la Directiva NIS de la Unión Europea para la seguridad de redes y sistemas de información y el Reglamento General de Protección de Datos (GDPR) están siendo utilizados como referencia en la región para el desarrollo de marcos legales y regulatorios en seguridad, privacidad y protección de datos. Sin embargo, muchos países no cuentan aun con un instituto nacional que defina la calidad y los estándares técnicos. Por otro lado, existe un incremento de países que crearon agencias para protección de datos.

En nuestro “White Paper” publicado este año sobre Gestión del Riesgo Cibernético Nacional hemos incluido algunos marcos internacionales de referencia. En todo caso, siempre haremos un llamado a mirar y aplicar las convenciones y compromisos dentro del sistema interamericano.

¿Cómo estamos en comparación con otras regiones del mundo?

Pensamos que la Región aun tiene mucho camino por recorrer en materia de ciberseguridad. Se ha incrementado el nivel de conciencia sobre la importancia de la seguridad cibernética y se han puesto en marcha iniciativas importantes. Fuimos la primera Región en llegar a un consenso acerca de la necesidad de un enfoque integral para la ciberseguridad, lo que demuestra la voluntad política de los países para construir una plataforma política integradora sobre ciberseguridad. Igualmente, en la Asamblea General de la OEA de 2004, los Estados miembros aprobaron la Estrategia Interamericana Integral de Seguridad Cibernética. Y recientemente, en febrero de 2018, se organizó la primera reunión del grupo de trabajo para medidas de fomento de la confianza y cooperación en el ciberespacio. Aunque existen claras diferencias en términos de capacidad entre los países hay una preocupación en compartir buenas prácticas e identificar puntos de contacto nacionales para discutir las implicaciones de las ciberamenazas a nivel hemisférico.

“La ciberseguridad es un fenómeno global que va más allá de las naciones”.

Este consenso político ha posibilitado la implementación de acciones a través del Programa de Ciberseguridad de la OEA. Por ejemplo, hemos trabajado para ayudar a los países en el establecimiento de CSIRTs en la región, que aumentó 4 a 21 desde el año 2004. Se publicó la guía “Buenas prácticas para establecer un CSIRT nacional” en abril de 2016. En octubre del mismo año inauguramos la Red Virtual Hemisférica CSIRTAmericas.org, que permite un mejor intercambio de información y conocimiento entre los CSIRTs nacionales de la región. O como ya he comentado, 10 países han establecido políticas y estrategias de seguridad cibernética nacional.

Por supuesto nos gustaría hacer más, pero los recursos humanos y financieros son finitos. Tenemos una importante lista de necesidades y requerimientos identificados, y esperamos poder contar con el apoyo necesario para llevarlos a término.

¿Hay resquemor de los funcionarios del Estado de intercambiar información con otros países sobre incidentes en la seguridad cibernética?

En este sentido, creo que en las Américas se ha avanzado. Los funcionarios públicos tienen mayor disposición de trabajar mancomunadamente con otros países, y no sólo a nivel gubernamental, sino también con el sector privado y la sociedad civil. Por ejemplo, este año se realizó la Primera Reunión del Grupo de Expertos de Medida de Fomento de Cooperación y Confianza en el Ciberespacio, y una de las medidas que se adoptó fue tomar en cuenta los aportes del sector privado y la sociedad civil para el desarrollo de nuevas medidas de confianza en el ciberespacio. Pero queda mucho por hacer, especialmente en lo que respecta a los recursos y a los conocimientos necesarios para que ese intercambio de información con otros países sea más efectivo.

¿Se realizan esfuerzos de cooperación para mejorar las respuestas ante los ataques informáticos?

Los países ven el valor que la cooperación internacional aporta y cada vez esa integración es mayor. En este sentido hay que destacar la creación de la Red Hemisférica de Equipos de Respuesta a Incidentes de Seguridad Cibernética de las Americas, que ya he mencionado, en la que se comparte información en tiempo real sobre los ataques y tendencias en la región, y de la que actualmente se benefician CSIRTs nacionales de 16 estados miembros de la OEA. El pasado mes de mayo estuvimos en Brasil con todos los miembros de esta Red identificando desafíos y acciones a tomar para poder incrementar los niveles de ciberseguridad a nivel hemisférico.

¿Un ciberataque puede ser mortal? ¿En qué casos se pueden dar?

Imaginemos por un momento que ocurre un incidente contra una planta de energía, de la cual dependen hospitales y los pacientes no pueden ser atendidos. O que una planta o estación de tratamiento de agua potable logra ser intervenida por una grupo ciberterrorista. O que a causa de un proceso de reclutamiento o presiones a través de internet, se lleva a cabo un crimen. El cibercrimen tiene las mismas implicaciones que los delitos en el mundo “físico” que conocemos, e igualmente la respuesta para combatirlo puede organizarse para proteger a los ciudadanos.

La delincuencia en el ciberespacio es real, ¿cuáles son sus límites?

Un reciente estudio del think tank Thiber cuantificaba en 400 mil millones de euros el dinero que mueve el cibercrimen en todo el mundo, lo que significa que es una actividad ilícita más rentable que el narcotráfico. Y al mismo tiempo, el ciberespacio no tiene límites ni fronteras, por lo que es más seguro para los criminales, dado a que su integridad física se ve menos expuesta. A esto hay que sumar que la legislación y la capacidad de investigación en varios países aún es baja. Por eso es importante destinar recursos a combatir el cibercrimen y fortalecer la cooperación internacional para asegurar una respuesta transnacional a este desafío global

¿Cuáles son los ataques más comunes que se manifiestan en la red?

En primer lugar es importante entender que el cibercrimen evoluciona y se sofistica al mismo tiempo que la tecnología se desarrolla. Las amenazas a las que nos enfrentaremos mañana pueden no existir hoy, y es preciso tener la capacidad normativa e instrumental para adaptarse con rapidez a las nuevas circunstancias. Pero si hablamos de los ataques que hoy son más comunes podríamos decir que la suplantación de identidad, o phishing, sigue siendo el más común en la región.

Los delincuentes cibernéticos a menudo buscan acceso a información sensible de los gobiernos, de empresa privadas y de los datos bancarios de usuarios. También se encuentran numerosos ataques y actos de vandalismo sobre sitios gubernamentales llevados a cabo por grupos de hacktivistas, dirigidos a afectar la credibilidad de los gobiernos frente a sus ciudadanos.

¿Cómo se frena la delincuencia informática? ¿Qué rol tiene la concientización del ciudadano común en esta tarea?

Es muy importante fomentar un cambio de mentalidad respecto a este tema. Nuevamente, así como cuidamos nuestra integridad física es importante cuidar nuestra integridad digital. La concientización no debe ser responsabilidad sólo del gobierno. Esto debe ser una responsabilidad compartida de gobierno, empresas, academia y ciudadanos.



Más allá de la ciberseguridad

Usted obtuvo una licenciatura en Administración de Empresas de la Universidad Francisco de Paula Santander. ¿Qué recuerdos tiene de su paso por esa casa de estudios?

Tengo muy buenos recuerdos de mi época en la universidad. Soy de los que piensan que todos los días aprendemos algo nuevo, y lo mejor es cuando estás en un claustro universitario absorbiendo conocimiento, bien sea de tus profesores o compañeros. Mi preparación en Administración de Empresas ha sido muy importante para llevar a cabo iniciativas de envergadura en la región. Posteriormente mis estudios de Posgrado, me llevaron a profundizar mis conocimientos, especialmente sobre la situación de Seguridad y Gobierno en América Latina y el Caribe.

¿Le gustan los deportes? ¿Es simpatizante del Deportivo Cúcuta? Recuerda algún jugador del Cúcuta que le haya llamado la atención? ¿O le gustan otros deportes?

Como buen latino me gusta el fútbol pero no soy un gran practicante, desafortunadamente! Como buen Norte Santandereano, siempre llevaremos al “doblemente glorioso” en el corazón y esperamos pueda ascender nuevamente a la “A.

¿Que comida le recuerda a Cúcuta? ¿Que ciudad del mundo le gustaría conocer y por qué?

De comida, pasteles de garbanzo y “chuzo pan”.
He tenido la oportunidad de conocer muchas ciudades y sus gentes, pero posiblemente erigiría Dubrovnik, mejor conocida como “King´s Landing”.