Deysi Pari
El millonario robo que días atrás realizaron ciberdelincuentes a las cuentas de la Municipalidad Distrital de Yura, de la UGEL Caylloma y del Gobierno Regional de Arequipa, revela vulnerabilidades críticas en la seguridad informática del país.
En conjunto, los delincuentes sustrajeron más de 2.5 millones de soles de las cuentas que estas entidades estatales tienen en el Banco de la Nación.
Julio Santisteban, docente de la carrera de Ciencia de la Computación de la Universidad Católica San Pablo (UCSP), señala que estos ataques tienen su base en una serie de tácticas que aplican los ciberdelincuentes, como el social engineering, el spear phishing y otras técnicas empleadas para concretar el acto ilícito.
“Se dice que es social engineering porque el 70 % del ataque no es técnico, sino que se basa en manipular y engañar a las personas. Esto se complementa con el spear phishing, una técnica de ‘pesca con lanza’ donde los atacantes se enfocan en un objetivo específico, como un empleado particular de una municipalidad, buscando al más ‘inocente o descuidado’”, afirmó Santisteban.
EL DATO
El robo cibernético dejó pérdidas de S/ 1.7 millones en la Municipalidad Distrital de Yura; de S/ 738 000 en el Gobierno Regional de Arequipa; y de S/ 130 800 en la UGEL Caylloma.
Hackeo para enmascarar llamadas
De acuerdo a la denuncia en el caso de Yura, la llamada telefónica provino supuestamente de un número del Banco de la Nación, lo que generó confianza en las personas que recibieron la comunicación.
Al respecto, el docente explicó que se trataría de un ataque a la red de telefonía, conocido como “SS7 hacking”, donde pueden tener control al 100 % de la línea telefónica o celular. Lo único que necesitan es el número telefónico.
Otra probabilidad es que los teléfonos hayan sido hackeados, lo que les permitió enmascarar cualquier llamada por un número en particular.
El docente de Ciberseguridad en el Departamento de Computación de la UCSP, remarca que en el Perú no existe política alguna para implementar niveles de seguridad, ya sea en las redes o en la construcción de los distintos softwares. Por ello, considera que es urgente que se desarrollen sistemas de seguridad y que el Estado destine recursos para proteger la información pública.
Actualmente, ya existen medidas que se pueden aplicar para prevenir estos robos cibernéticos. Santisteban explicó que el uso de tokens bancarios es una de las principales formas.
Para las transacciones bancarias, especialmente aquellas de alto valor, se debería exigir el uso de tokens, que son códigos generados para cada transacción. Los tokens físicos o aquellos generados en el celular, que no se comunican por internet ni por telefonía son los más seguros, ya que un token enviado por mensaje de texto sí puede ser interceptado por un hacker. Los bancos ya utilizan estos tokens, por lo que el docente cuestiona que no se usen para el manejo de cuentas institucionales.
Medidas cruciales para las entidades
La protección contra estos ataques requiere una estrategia integral, con especial énfasis en la capacitación del personal y la implementación de políticas claras. Entre ellas, destaca la garantía de la información, que incluye normas estrictas sobre la divulgación de datos confidenciales, como contraseñas y credenciales, a terceros.
Santisteban remarcó que es fundamental capacitar al personal para que nunca entregue claves ni información sensible a nadie. Este refuerzo debería hacerse de manera regular, por ejemplo, cada mes o cada trimestre.
También recomienda invertir en herramientas de ciberseguridad. Por ejemplo, la implementación de antivirus en todas las computadoras y celulares provistos por las instituciones estatales es una medida esencial y relativamente económica, con licencias que rondan los 8 a 10 dólares por año.
Toda entidad pública, como cualquier empresa, debe contratar personal capacitado en ciberseguridad para que realice el análisis de riesgos y diseñe e implemente los mecanismos de protección. La ausencia de este personal es una grave omisión.
Los titulares de estas dependencias deben considerar la ciberseguridad como una inversión esencial para la protección de activos, y no como un simple gasto, señaló Santisteban.
Devolución de dinero
En el caso de la Municipalidad Distrital de Yura, en la quincena de agosto se informó que la alcaldesa Mirtha Ruelas viajó a Lima, donde se reunió con funcionarios del Banco de la Nación para gestionar una solución. El compromiso formal es la devolución de más de 500 mil soles a sus cuentas.