Pese a la falta de estadísticas que reflejen un panorama certero de los ciberataques en Puerto Rico, expertos en ciberseguridad reportaron que, en el primer semestre de 2023, el archipiélago recibió más de 1,000 millones de ciberataques. Sin embargo, se desconoce la cifra concreta porque hay incidentes de ataques que no son reportados, por temor a demandas de usuarios o consumidores.
El evento “XII Cyber Forum: From Clicks to Cybersecurity Risks”, organizado por el Colegio de Contadores Públicos Autorizados, reunió decenas de expertos en la industria de la ciberseguridad para exponer cómo se atienden los ciberataques y actualizar el panorama regulador acerca del tema.
PUBLICIDAD
Una ponencia, de la que participó la pasada directora interina del PRITS, Nannette Martínez Ortiz, junto a directores de seguridad de información, destacaron como riesgo la tecnología cuántica, que podría descifrar una contraseña en segundos; la creciente dificultad en diferenciar identidades reales o falsas; y credenciales comprometidas por administración inadecuada de contraseñas e información sensible.
Entre las técnicas implementadas, Martínez Ortiz mencionó la respuesta de detección de punto final (EDR, en inglés), que se introdujo a los dispositivos gubernamentales para alertar y bloquear el sistema de la agencia en un intento de ciberataque. No obstante, el comisionado de Seguros, Alexander Adams Vega, quien también participó como panelista, sostuvo que “no hay regulación que obligue a compañías a tener estándares de ciberseguridad en sus operaciones”.
Por otro lado, hay regulaciones para reportar datos personales comprometidos al Departamento de Asuntos del Consumidor (DACO) mediante la Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información y la Ley de Notificación Pública de Privacidad. Según la secretaria interina del DACO, la licenciada Lisoannette González Ruiz, la multa por no reportar la brecha de datos asciende a $5,000.
Adams Vega amplió que los datos de compañías y agencias gubernamentales son vulnerables y pueden ser comprometidos a través de los proveedores de servicios contratados, por lo que enfatizó en la necesidad de que empresas terciarias también implementen tácticas de ciberseguridad.
Mencionó, además, que en Estados Unidos casi 50 millones de personas enfrentaron una brecha de información personal de salud, que son datos altamente valiosos con los que se pueden presentar reclamaciones fraudulentas a Medicare y provoca grandes pérdidas a nivel federal. “El crimen cibernético no tiene fronteras”, dijo el panelista Christian Nieves, agente especial del Buró Federal de Investigaciones, especialista en ciberseguridad.
PUBLICIDAD
Mientras, para aumentar la regulación a nivel local, la comisión del Gobierno del Senado de Puerto Rico, el 8 de noviembre, aprobó el proyecto de la Cámara 1530, que busca crear la Ley de Ciberseguridad para proveer seguridad a datos gubernamentales. De ser firmada, la ley prohibiría pagos por “ransomware” — cuando el atacante solicita dinero a cambio de datos obtenidos por un ciberataque — y permitiría la implementación de arquitectura de cero confianza, mejor coordinación con el PRITS y sanciones por incidentes de ataques o negligencia al reportarlos.
Los oficiales de seguridad de información recomendaron, además de reportar diligentemente a las autoridades pertinentes las brechas de información, ampliar entrenamiento a equipos de información tecnológica y correr simulaciones de ataques para identificar cómo se pueden comprometer los sistemas organizacionales y atacar activos críticos.
Joaquín A. Rosado Lebrón cubre salud para Metro Puerto Rico a través de Report for America.
