no quiere agresores (ni siquiera a los "sanos")

CUADRO DE RIESGO PAÍS EN CIBERSEGURIDAD LATINOAMERICA

Perú, país en mayor riesgo a ciberataques en Latinoamérica. Parte 2

Cuadrante de países en mayor riesgo en la región

Publicado: 2017-10-02

Licencia de autor: Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

En la primera parte se pudo recopilar bastante información sobre el estado de las vulnerabilidades y amenazas que sufre el Perú y los diferentes países de la región. En esta segunda parte realizaremos una evaluación de riesgos para los países que usualmente se encuentran reportados en los informes de seguridad. Con ello se podrá concluir al final del documento el alto nivel de riesgo que posee el país.

Antes de ir al análisis debemos explorar primero varios conceptos básicos en seguridad de la información. Veremos más información sobre riesgo, vulnerabilidad y amenaza.

Vulnerabilidad, Amenaza y Riesgo 

Amenaza:  Una inundación 
Vulnerabilidad: Vivir a orillas del río 
Riesgo: Posibilidad de la afectación de una inundación (daños) 

Según varias lecturas de diferentes autores todos concluyen en las mismas características:

- La vulnerabilidad : FACTOR INTERNO del riesgo

- La amenaza : FACTOR EXTERNO del riesgo

Por lo tanto, una persona, lugar o país, puede ser muy vulnerable debido a sus malas prácticas, falta de conciencia o por la deficiencia en sus políticas internas. Pero hasta que el evento, ya catalogado como una amenaza latente, no se manifieste no verán el impacto que este podría generar, que es medido por el riesgo.

El riesgo, por lo tanto, incluye todos los demás factores: analiza la vulnerabilidad del objeto de estudio, las amenazas que rondan el objeto, la probabilidad y el impacto en daños que causaría que ocurra el evento.


Análisis comparativo entre los  países de mayor riesgo de la región


En esta sección comienzo a sumarizar en un solo cuadro las principales vulnerabilidades en ciberseguridad de los diferentes países, entre ellos, el nivel de exposición de Rapid7, los incidentes de phishing según ESET e la infección con servidores Command and Control o CnC de FireEye. 

Luego de ello le asigno una nota  en la columna nivel, estos valores están en el rango del 1 al 5, siendo el 5 la nota máxima. Este valor es directamente proporcional según el ranking de exposición o al porcentaje de infección según el informe que corresponda.


Cuadro: Análisis de Países más vulnerables

JAIME M. TAN NOZAWA

* Según diferentes fuentes alternativas se ha identificado que Brasil provee la mayor cantidad de Phishing de la región, por alguna razón en el informe de ESET no ha sido considerado este país. 

Propuesta de ponderación o fórmula de vulnerabilidad:

Nivel final vulnerabilidad = (Exposición*2) + (Phishing + CnC) / 4


Cuadro: Análisis de países más amenazados

De forma muy similar al cuadro de vulnerabilidades, en este cuadro de amenazas se asignan diferentes valores según la posición o porcentaje de infección del informe que corresponda. Aquí se utiliza el análisis de FireEye, Digiware y Kaspersky.

Después de diferentes ejercicios y de probar ingresar inclusive los datos de Panda Labs que no se encuentran en procesados en los cuadros anteriores, el resultado final no varía considerablemente. Por tal motivo ya no era necesario ingresar mas datos de informes de otras marcas y consultoras.

Propuesta de  fórmula de amenaza: promedio


Resultados de países más vulnerables y más amenazados


Cuadro final: Resultados de países más vulnerables y amenazados

AUTOR: JAIME M. TAN NOZAWA



Figura: Cuadrante de países en mayor riesgo en Latinoamérica

AUTOR: JAIME M. TAN NOZAWa



Según el análisis realizado anteriormente en el cual se utiliza diferentes fuentes de datos, el país más amenazado sería Brasil, México y Perú. Por otro lado, el país más vulnerable de toda la región según la ponderación propuesta sería el Perú, seguido por El Salvador, México y Guatemala. 

Por lo tanto, en el cuadro final de riesgos evaluando ambas variables, el país de mayor riesgo sería indudablemente el Perú. Adicionalmente, los países del cuadrante rojo de alto riesgo se encontrarían además del Perú: Brasil, México, Colombia, Guatemala y El Salvador.


Conclusiones finales

Con todo lo expuesto en este documento, se concluye que el Perú en ciberseguridad es uno países más vulnerables y con ello también el de mayor riesgo en toda América Latina. También además es uno de los países más amenazados y es el segundo de mayor exposición frente ataques cibernéticos en toda la región. 

Se concluye además que los países que se encuentran en el cuadrante rojo de mayor riesgo serían los siguientes: Perú, Brasil, Colombia, México, Guatemala y El Salvador.

A pesar que en los últimos gobiernos han tomado mayor interés en ciberseguridad, su capacidad de acción y de respuesta es mínima. Las entidades encargadas de controlar, mitigar y mejorar la ciberseguridad en el Perú tienen capacidades muy limitadas y además no se encuentran articuladas o por lo menos comunicadas ante eventos que pongan el riesgo al país frente ataques de esta índole. 

Es preocupante y alarmante que a pesar del crecimiento económico sostenido que el Perú ha tenido esta última década, y su crecimiento en penetración digital y del Internet en el país, aún la opinión pública, los medios o el gobierno no hayan tomado alguna acción que permita reducir en algo nuestra vulnerabilidad a nivel país.


Bibliografía:

BBC (2016) “12 ataques por segundo: cuáles son los países de América Latina más amenazados por malware" [en línea], recuperado en setiembre del 2017 de

http://www.bbc.com/mundo/noticias-37286420

BID (2016): “Ciberseguridad ¿Estamos preparados en América Latina y el Caribe? ” , OEA – BID, USA

ESET (2017a): “Glosario WeLiveSecurity en español” [en línea], ESET recuperado en setiembre del 2017 de https://www.welivesecurity.com/la-es/glosario/

ESET (2017b): “Eset Security Report Latinoamérica 2017”, ESET Latinoamérica, Argentina.

FIREEYE (2015): “REGIONAL ADVANCED THREAT REPORT, LatinAmerica 1H 2015”, FireEye Inc, USA

GESTION (2016) : “¿Qué deberían hacer las empresas para reducir riesgo de ciberdelitos?” recuperado en setiembre del 2017 de http://gestion.pe/tecnologia/que-deberian-hacer-empresas-reducir-riesgo-ciberdelitos-2171647

GOBIERNO DE ESPAÑA (2013): “ESTRATEGIA DE CIBERSEGURIDAD NACIONAL”, Gobierno de España, España.

PANDA (2017): “Glosario de Panda Security” [En línea], recuperado en setiembre del 2017 de https://www.pandasecurity.com/peru/homeusers/security-info/glossary/

RAPID7 (2017): “NATIONAL EXPOSURE INDEX, 2017”, Rapid7 Labs , USA


Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 2017 Jaime Tan Nozawa. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna si el usuario o lector, hace mal uso de éstos. Esta licencia deberá aparecer como primer texto del documento distribuido.



Escrito por

Jaime M. Tan Nozawa

Apasionado por la informática y ciberseguridad. Doctorando D.Sc IT - Master's Degree Dirección TI (UEMC) y egresado de sistemas de la UPC


Publicado en

Ciberseguridad en el Perú

Perú país en mayor riesgo a ataques informáticos en América Latina