IFX Networks, una empresa proveedora de servicios de conectividad y data center, sufrió un ataque cibernético tipo ransomware llamado también malware o software malicioso que bloquea los datos y los dispositivos (redes, PC, tabletas y móviles) y además extorsiona con mantenerlo bloqueado, a menos que la víctima pague un rescate al atacante.
Aún no se ha aclarado si hubo acceso ilegal o robo masivo de datos personales o institucionales. El ataque comprometió los sistemas informáticos de más de 50 organizaciones públicas y privadas de Colombia, quienes han manifestado su afectación. La empresa proveedora de servicio se comprometió con las entidades públicas afectadas a definir una fecha estimada para la restauración de los servicios y los tiempos de respuesta para el acceso a las copias de respaldo, una vez se compruebe que no existe ninguna vulnerabilidad.
El gobierno reaccionó rápidamente activando un “Puesto de Mando Unificado Ciber (PM) Ciber” para conocer los daños y solucionar las afectaciones generadas por el incidente. La Fiscalía ordenó la investigación de los hechos a través de un equipo especializado para recabar elementos probatorios y las denuncias formales. Colombia Compra Eficiente decidido suspender su contrato con IFX Networks para servicios de conectividad y data center. Fortinet una empresa de Estados Unidos, orientada a la seguridad en redes e informática, ha estimado que América Latina y el Caribe sufrió 137 mil millones de intentos de ciberataques y Colombia 6,3 mil millones en el primer semestre de 2022. Se detectaron aproximadamente 384 mil intentos de ransomware en todo el mundo.
De estos, 52 mil tenían como destino a América Latina. “Estamos viendo un crecimiento en las variantes de ransomware, con diferentes actores maliciosos y grupos de ciberdelincuentes internacionales que afectan a empresas de todas las industrias, gobiernos e incluso economías enteras” afirmó Fortinet.
Ante estas circunstancias, la palabra mágica es “ciberseguridad”. Consiste en las tecnologías de la información (TI) para proteger los sistemas y la información confidencial ante ataques digitales tanto desde dentro como desde fuera de una organización, ya que una vulnerabilidad de seguridad se puede presentar en cualquier punto del proceso de almacenamiento e intercambio de datos. Acá es donde es donde dentro de un marco de confusión aparece la pregunta que muchos se hacen ¿Quién es IFX? Con que medios de seguridad contaba IFX? Qué responsabilidad tiene frente a los daños causados y cómo va a responder?
En Colombia el gobierno y algunos agentes del sector ante este ataque voltearon a mirar como solución de defensa a los dos proyectos de ley que hacen tránsito en el Congreso, uno del gobierno y otro de la oposición, sobre creación de una Agencia Nacional de Seguridad Digital, una entidad burocrática, que será politizada e incapaz de prevenir estos casos y entretanto los ciberataques en Colombia seguirán en aumento y en la impunidad.
Francamente no veo necesario la creación de una un organismo de carácter técnico, especializado, que tendría como objeto planificar, articular y gestionar los riesgos de seguridad digital en Colombia, con el objetivo de prevenir amenazas internas o externas contra el ecosistema, cuando tenemos la ley 1978 de 2019 donde se define en forma general las tecnologías de la información y las comunicaciones -TIC- como el conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios que permiten la compilación, procesamiento, almacenamiento, transmisión de información, que simplifica y modernizar el marco institucional del sector TIC, para garantizar a los colombianos el ejercicio y goce efectivo de los derechos constitucionales a las tecnologías de la información. La ley también encargó a la Comisión de Regulación de Comunicaciones (CRC) regular los mercados de las redes y los servicios informáticos y garantizar la protección de los derechos de los usuarios.
Las organizaciones pueden reducir los ciberataques con un sistema de ciberseguridad efectivo que los prevenga, detecte y notifique oportunamente c usando las mejores prácticas y las tecnologías de ciberseguridad. En este caso, a pesar de la eminencia de los peligros, IFX al parecer no contaba con suficientes elementos tecnológicos de protección.
*El autor es doctor en Derecho, experto en regulación de informática.
douglasvelasquezabogados.com