José ZegarraEntrevista a Rubén Gutiérrez, Lead Product Manager en Cirion Perú
Lima, Perú, 12 de febrero de 2025.— Conforme avanza vertiginosa la expansión del acceso al Internet, empoderado por el masivo acceso a los smartphones, la ciberdelincuencia no descansa y se lanza al ataque con ciber engaños, cada vez más sofisticados y hasta utilizando poderosas herramientas de Ingeniería Social como la Inteligencia Artificial. En esta entrevista con el especialista Rubén Gutiérrez, de Cirion Perú abordamos este crucial tema. A continuación les ofrecemos sus declaraciones:
IT/USERS: En Perú siempre fuimos atacados y recordamos que el año pasado o este año, a principios de año, se atacó nada menos que al Ejército Peruano, entonces como el Ejército Peruano obviamente es un organismo que es de Gobierno y es un sistema cerrado, no afectó al ciudadano de a pie, pero en realidad sí, deberíamos preocuparnos, ¿no?, si comienza a ser atacado el Ejército del Perú se supone que ellos tienen una «buena» defensa cibernética; inclusive se emite una ley (30999) de ciberdefensa, promulgada en el gobierno de Martín Vizcarra, y en el actual gobierno se ha generado la Ley de Inteligencia Artificial (31814)…
R.G.: Efectivamente, como usted indica, hemos tenido primero ataques a entidades de Gobierno, pero ya nos encontramos en la última oleada de ataques, ya están atacando objetivos más comerciales y de uso público y que nos afectan a todos.
IT/USERS: Ante este preocupante panorama, ¿Que propone Cirion?
R.G.: Ante este escenario, lo que nosotros estamos encontrando en el mercado, es que en realidad las instituciones financieras y en general, de los distintos rubros de negocios, tienen un nivel de seguridad, pero lo que más vemos es que hay una seguridad que se está trabajada por silos. O sea, está en silos y no está totalmente integrada y falta esta parte. Ese gap que se observa donde falta mayor conciencia de que la seguridad realmente es algo que se debe evaluar, analizar y buscar afrontarla de manera integral. Hay una serie de capas que te permiten ir cubriendo las brechas o los gaps de seguridad que puedan tener en su organización.
Esto se ha notado en los últimos ataques que hemos percibido, por ejemplo, puede haber organizaciones que ya tengan sistemas que están alertando las intrusiones, sin embargo, al no tener un equipo que realmente esté monitoreando conscientemente estas alertas y, por lo tanto, luego de muchas alertas, pues reciben efectivamente el golpe de la intrusión. Entonces se requiere un equipo especializado para estar monitoreando, correlacionando eventos y teniendo respuestas frente a estas intrusiones, frente a estas violaciones de seguridad.
Ahí hay un punto importante que tienen que abordar las organizaciones locales, que se pueda acompañarlas efectivamente para ver estos gaps y poder resolverlos. También un tema muy relevante es el análisis de vulnerabilidades del sistema, que va a implicar que nosotros tengamos que estar constantemente parchando nuestros equipos para ir superando estas vulnerabilidades que se van conociendo en el mercado.
IT/USERS: Justo me acaba de hacer recordar la famosa caída de Windows con Crowdstrike, que es una importante firma de ciberseguridad, pero que aparentemente la culpa no fue de ellos, sino se trataba de una actualización de Windows…
R.G.: Correcto, y todo partió de una actualización, lo que no queda tan claro, es desde dónde vino la falla. La indicación de la compañía fue que en realidad se trató de un error humano, en una programación no detectada, de una actualización del sistema operativo.
IT/USERS: Obviamente resulta el eslabón más débil de la cadena de ciberseguridad, ¿no? El «factor humano»…
R.G.: Correcto, ahí la indicación será evidentemente que los fabricantes tienen que poner más énfasis en las pruebas antes de pasar a producción alguna nueva actualización; en pruebas controladas, en ambientes separados, para poder evitar que ocurran estas fallas masivas que fueron básicamente por una actualización. Ahí se entiende un poco más, porque siempre hablan conceptualmente de lo que es la seguridad de la cadena de suministro, esto es un ejemplo de cadena de suministro, porque hay organizaciones tipo aeropuertos, universidades, que utilizaban esta información, utilizan el sistema y esta actualización hizo que sus sistemas colapsan y cayeran.
Hubo interrupciones por horas de servicio, tuvieron que cancelar transacciones hasta que pudieran recuperar su sistema. Una buena práctica de seguridad es tener la cadena de suministro con los fabricantes apropiados para evitar que nos afecte.
IT/USERS: Una actualización que todo el mundo la ignoró y provocó una tremenda caída de los sistemas y lo sorprendente porque eso no se debió a un ataque sofisticado, con herramientas de inteligencia artificial, de la que ahora sea habla tanto de que la IA va a ser utilizada, entonces vienen los ataques sofisticados, creemos que ya se está hablando inclusive de criptografía a nivel cuántico, entonces ya la computación cuántica, digamos no es una escenario que esté muy alejado, bueno de momento, está obviamente en el primer mundo, ¿no? Acá no hay computación cuántica todavía en el Perú no, pero los hackers también van a utilizar eso, o sea, en algún momento se van a hacer ellos también de cuando esto sea comercial y va a venir a ataques de ofuscación de código, de denegación de servicio; tantas pesadillas, ¿qué pasará con la Ciberseguridad, siempre será así de sombrío el panorama?
R.G.: Realmente, para cada posible ataque puede haber un remedio. Cuando habla usted del incremento de la IA y la computación cuántica, se espera que aumente significativamente la capacidad de procesamiento en menor tiempo. Esto implica que será más fácil desencriptar información o contraseñas.
Hoy en día, ya existen políticas para la creación de contraseñas seguras, como el uso de cadenas largas de hasta 32 bytes. Contar con un programa adecuado puede facilitar la generación de contraseñas altamente seguras y difíciles de descifrar mediante ataques de fuerza bruta. Además, existen sistemas de autenticación multifactor que permiten no solo doble, sino triple factor de autenticación. Este tipo de medidas hacen más difícil la ejecución de ataques de fuerza bruta para vulnerar sistemas.
Evidentemente, conforme avancen la inteligencia artificial y la velocidad de procesamiento de las CPU, surgirán nuevas formas de intentar acceder a los sistemas. Sin embargo, los primeros en ser atacados serán aquellos con contraseñas débiles o con políticas de seguridad desactualizadas. Por ello, es fundamental actualizar los procesos de autenticación, especialmente en sistemas críticos. Cada negocio debe evaluar el nivel de criticidad y sensibilidad de sus sistemas y, en función de ello, implementar autenticación de doble o triple factor como medida de protección. Esto dificultará el acceso de atacantes y reducirá el riesgo de robo de información, datos o incluso la interrupción del servicio.
Por otro lado, Perú ya es un destino de ataques de denegación de servicio (DDoS), los cuales pueden clasificarse en dos tipos principales: volumétricos y de saturación de solicitudes. Los ataques volumétricos buscan colapsar el ancho de banda hacia el servidor, mientras que los de saturación generan un gran número de peticiones para sobrecargar la capacidad de respuesta del servidor.
Actualmente, estos ataques pueden ejecutarse mediante bots y el uso de inteligencia artificial. No obstante, existen soluciones avanzadas para mitigar los efectos de la denegación de servicio, tanto a nivel de transporte como de aplicación, y Cirion puede proporcionar dichas soluciones para proteger la infraestructura tecnológica de las empresas.
IT/USERS: Haciendo un émulo con el networking, donde se habla de la famosa «última milla” en este caso, la ciberseguridad que propone Cirion ¿sería como la última capa?
R.G.: Haciendo un símil con el networking, así es como hablamos de seguridad en redes. Podemos establecer un paralelo con el modelo OSI de siete capas. Hoy en día, existen ataques que pueden dirigirse a la Capa 3 o la Capa 4, así como otros que buscan vulnerar la Capa 7.
En este contexto, también hay soluciones disponibles. En Cirion contamos con tecnologías que permiten proteger tanto la Capa 3 y la Capa 4, como la capacidad de respuesta y seguridad en la Capa 7.
IT/USERS: ¿Esas soluciones que tienen un retorno de inversión asegurado obviamente sí, sí deberían porque el público no se vería afectado, ¿no?
R.G.: Aquí tenemos temas importantes que debemos considerar para comprender cada tipo de ataque y su propósito. Por ejemplo, un ataque de denegación de servicio (DDoS) busca dejar fuera de línea un servidor, ya sea atacando la capa de transporte o la capa de aplicación. En este sentido, el atacante puede utilizar métodos extorsivos contra la entidad, amenazando con continuar el ataque hasta que se pague un rescate: «Si no pagas, sigo atacando y te borro de la web», por ejemplo.
Ante esta situación, es fundamental evaluar el impacto de un ataque de este tipo. Si un negocio queda fuera de línea durante un día completo, ¿cuánto deja de percibir? ¿Cuál es el impacto económico? Con base en este análisis, se debe determinar qué servicios críticos requieren una protección robusta contra ataques distribuidos de denegación de servicio (DDoS). La decisión debe considerar la relación costo-beneficio. Si la inversión en un servicio de mitigación es menor en comparación con las pérdidas potenciales de un ataque, resulta evidente que proteger el sistema es una medida esencial y rentable.
IT/USERS: Definitivamente estoy de acuerdo con usted, continúe, por favor…
R.G.: Este es un punto clave, ya que nuestro servicio requiere alta disponibilidad para que los clientes puedan acceder a nuestra plataforma sin interrupciones. La retención de clientes es fundamental; si un usuario intenta realizar una transacción en nuestro sistema y no lo logra tras uno, dos o tres intentos, es probable que decida cambiar de proveedor. En muchos casos, simplemente concluirá: «Este sistema nunca me funciona, necesito otro proveedor de este servicio».
Por ello, es crucial asegurar y garantizar la disponibilidad del sistema. Los ataques de denegación de servicio (DDoS) buscan precisamente alterar esa disponibilidad. Un ejemplo reciente es el caso de un banco local, que sigue enfrentando dificultades. Lamentablemente, esto representa un retroceso para la inclusión financiera. Antes, la comunicación y operación entre plataformas como las billeteras digitales eran mucho más fluidas.
IT/USERS: a raíz de esta caída del banco, ayer yo, por ejemplo, hice un doble PLIN porque me salió un mensaje de error en el celular. Felizmente que la persona a la que le pagué doblemente vía PLIN, sí reconoció que yo le había pagado dos veces y me devolvió el dinero, ¿no?, pero imagínense en un taxi o imagínense, una persona X que se niega a devolver; el banco no reconoce esa esa doble operación y era un error del aplicativo, entonces algo anda mal, ¿qué está pasando? ¿Por qué? las entidades no están corrigiendo esto?
R.G.: Como usted bien indicaba, este problema probablemente se deba a la implementación de un nuevo control de seguridad en el flujo de trabajo. Esto es parte del compromiso de los sistemas de seguridad: cuando implementamos una medida para garantizar la disponibilidad del servicio, también debemos procurar que el flujo de trabajo sea lo más transparente posible para el usuario final.
Si un sistema solicita una, dos, tres o incluso cinco validaciones antes de permitir una acción, lo más probable es que el usuario termine abandonándolo por considerarlo demasiado engorroso. Por ello, es fundamental encontrar un equilibrio en el diseño del sistema, asegurando los controles imprescindibles sin agregar procesos innecesarios que puedan afectar la experiencia del usuario.
Además, es importante reconocer que un flujo de trabajo puede fallar en cualquier momento, interpretando una transacción como válida sin que esta se haya completado correctamente. Por ello, la seguridad y la usabilidad deben ir de la mano para evitar fricciones que afecten la operatividad del sistema.
IT/USERS: Sí la experiencia de usuario se ve afectada es eso, yo lo veo como un retroceso. Esperamos que sea algo temporal porque ya no me da confianza, ¿no? Entonces este voy a tener que recurrir (ya estaba dejando de utilizar el efectivo), vamos a tener que regresar al efectivo.
R.G.: Sí, claramente. Lo que sucede es que, cuando hablamos de seguridad, solemos enfocarnos en la seguridad preventiva: instalar un firewall, un antivirus o una VPN de acceso remoto. Sin embargo, hoy en día, estas tecnologías han evolucionado, pasando de las VPN tradicionales a MPLS y de los antivirus convencionales a soluciones como EDR (Endpoint Detection and Response). Estas medidas forman parte de la denominada seguridad preventiva.
Pero, ¿qué sucede cuando el ataque ya ha ocurrido y hay un intruso dentro del sistema? En ese escenario, ya no estamos hablando de prevención, sino de respuesta ante incidentes. Si el atacante ha logrado infiltrarse y está copiando, robando o incluso secuestrando información mediante cifrado para bloquear el acceso, ¿cómo debemos reaccionar?
Una posible respuesta, como usted menciona, es aumentar los controles de seguridad en el aplicativo. Sin embargo, esto puede afectar negativamente la experiencia del usuario. Es posible que en el banco al que hace referencia hayan aplicado este enfoque de forma temporal para contener un incidente, pero siempre debe buscarse un equilibrio entre seguridad y usabilidad.
IT/USERS: Digamos el encontrar el nivel de proceso que está fallando, ¿no? Entonces pareciera que el proceso no era tan simple y ahora que el sistema del banco ha sido vulnerado de repente, se ha comprometido, no sabemos hasta cuándo va a durar esto porque es la primera vez que nos pasa. Nosotros también como clientes sufrimos la caída (el tristemente famoso «miércoles negro», del pasado 30 de octubre del 2024), felizmente que no teníamos que hacer operaciones, pero de manera particular, tengo la costumbre, como todos, de andar con el celular y revisar y estar atentos porque hay pagos recurrentes que revisar, hay cosas que hacer, verificar transacciones. Entonces están conteniendo de alguna manera en ese tema, pero lo interesante es que escuchen a los expertos, ¿no? Y de eso se trata esta conversación ustedes son expertos…
R.G.: Justamente esa es la idea que identificábamos, ¿no? En este punto, en la fase de respuesta al ataque, es probable que hayan reforzado la seguridad del dispositivo o la aplicación. En este escenario, como usted menciona, estas medidas pueden ser temporales, mientras se analiza en qué parte del flujo de procesos existe mayor riesgo de ataque y cuáles son los puntos débiles del sistema, para luego ir ajustándolo progresivamente.
La ciberseguridad es un trabajo dinámico y continuo, que nunca termina, porque constantemente surgen nuevas vulnerabilidades. Es fundamental mantener un análisis permanente, mejorar el sistema de forma constante y detectar posibles brechas de seguridad. El atacante siempre buscará el punto más débil, ya sea una falla en el sistema operativo, en una aplicación o incluso mediante el método más sencillo: la ingeniería social.
En este sentido, la ingeniería social sigue siendo una de las estrategias más utilizadas por los ciberdelincuentes. Una de sus formas más comunes es el phishing, donde los atacantes envían mensajes fraudulentos no solo por correo electrónico, sino también por SMS o WhatsApp. Estos mensajes suelen generar un sentido de urgencia para inducir a la víctima a responder o ingresar información confidencial.
Si bien es posible que con una sola interacción no logren vulnerar el sistema, los atacantes construyen progresivamente un perfil de la organización que desean infiltrarse. A través de la recopilación de datos, obtienen información valiosa que eventualmente les permite alcanzar su objetivo en el largo plazo.
IT/USERS: A favor de la entidad bancaria que acabamos de mencionar yo recuerdo (y eso que yo soy veterano en el periodismo de alta tecnología, voy a cumplir 27 años escribiendo sobre ciberseguridad) que es uno de los verticales de la alta tecnología. Debo reconocer que caí víctima también de un ataque de phishing, me llegó un mensaje de texto (SMS) que me decía «Reclama tus Puntos de tal operador» y efectivamente tengo un problema, con mi operador de telefonía celular, que su App no me reconoce los puntos de su programa de fidelidad; entonces me dije «al fin me van a reconocer mis puntos y seguí la corriente, pensando que el SMS era del operador, entonces felizmente para mí el banco, en mi tarjeta de crédito no aceptó la transacción porque yo tenía que comprar no sé o pagar algo, para recuperar los puntos, o sea, caí víctima del engaño, o sea, al mejor cazador se le puede escapar, digamos la presa, ¿no? Entonces imagínense el ciudadano común y corriente…
R.G.: Realmente, esto es algo que le puede pasar a cualquiera. Justamente, este tipo de ataques encaja perfectamente con la estrategia del phishing por SMS. Estos mensajes no se envían de manera individual, sino a un gran número de personas con la esperanza de que alguien se encuentre en el contexto adecuado y caiga en la trampa. Aprovechan cualquier descuido para engañar a sus víctimas.
Recuerdo un caso personal: estaba buscando comprar algunas cosas para mi bebé, que nacería este año. De repente, recibí un mensaje con una «súper oferta» que decía: «Ingresa aquí, tenemos increíbles descuentos en productos para tu bebé…». Los precios eran sorprendentemente bajos, prácticamente a la mitad del valor normal, y estuve a punto de realizar la transacción. Sin embargo, algo me hizo dudar. Me detuve un momento y pensé: «No, aquí hay algo que no está bien».
IT/USERS: Yo caí redondito, le diré porque todo el ataque fue por celular, no fue por la PC y ahora en los celulares, eso también hay que subrayarlo, son objeto de constante asedio por parte de los ciberdelincuentes ¿no? y de la «ingeniería social» que se vale de los SMS precisamente ¿por qué? ¿Porque no hay una capa de que proteja los SMS todavía? entonces debería haberla. Debería haberla por qué, Porque abrir un SMS que parece sospechoso, ya debería a alguien encender una alerta, ¿no?, pero no te la dan… ¿Tiene algo más que agregar, quizás una reflexión final?
R.G.: Hemos hablado sobre la seguridad defensiva, que es lo que más demanda el mercado. También mencionamos el análisis de GAP y el análisis de vulnerabilidades, herramientas clave para identificar riesgos.
Sin embargo, hay otro aspecto fundamental que no debe quedar en segundo plano: la concientización. Es crucial que en todas las conexiones y accesos exista una capa de concientización del personal para evitar que caigan en ataques de phishing, ya que este tipo de engaño puede convertirse en una puerta de entrada para amenazas más sofisticadas.
Otro punto importante es la integración de la seguridad. No solo se trata de protegerse, sino también de anticiparse. Aquí entra en juego la seguridad ofensiva, que, aunque es un mercado poco explorado, puede ser clave. Existen herramientas diseñadas para distraer al atacante y desviar su atención, dificultando sus intentos de infiltración.
Además, la correlación de eventos y la supervisión mediante un CyberSOC (Centro de Operaciones de Seguridad Cibernética) son esenciales. Por ejemplo, si se está llevando a cabo un ataque de fuerza bruta contra un servidor, podríamos tener dispositivos de red que detecten la anomalía, pero si nadie está monitoreando y correlacionando los eventos, el ataque seguirá ocurriendo hasta que el atacante encuentre las credenciales necesarias para acceder al sistema.
En conclusión, la ciberseguridad es un tema complejo y dinámico. Desde nuestra experiencia, en Cirion creemos que podemos acompañar a las organizaciones en el fortalecimiento de sus sistemas de seguridad, ayudándolas a comprender mejor dónde pueden mejorar y en qué aspectos ya están bien protegidas. Nos hemos encontrado con organizaciones que tienen una estructura de seguridad bastante sólida, pero siempre existen oportunidades de mejora. Podemos aportar nuestra experiencia y recomendaciones para cerrar brechas, completar esquemas de seguridad y ayudar a las empresas a entender su GAP de seguridad: es decir, identificar dónde están hoy y qué necesitan para elevar su nivel de protección.
IT/USERS: Le agradecemos mucho. Seguramente a lo largo del 2025 iremos abordando siempre estos temas de ciberseguridad. Bueno es uno de los temas centrales que nosotros trabajamos en IT/USERS, ¿no? Y la ciberseguridad yo creo que debería ser el «pan de cada día» de la gente, de los usuarios, que no solamente se preocupen de ella cuando se hace notar, ¿no?… haciendo émulo también con el ajedrez, «la mejor de defensa es el ataque». Estamos siendo atacados, entonces ataquemos nosotros, ¿cómo atacamos? teniendo socios expertos como Cirion, en nuestras organizaciones que están vigilando las 24 horas del día, los 365 días del año nunca está de más hacerlo, ¿no? ese sería también el tema, recurrir a los expertos.
R.G.: Este es un tema en constante evolución. A medida que las capacidades de inteligencia artificial continúan desarrollándose a nivel global, también surgirán nuevas formas de vulnerar las defensas de red. Por ello, es fundamental construir respuestas dinámicas y adaptativas frente a estos desafíos.
Hoy en día, existe un conjunto de servicios de seguridad que pueden mitigar el riesgo de ser atacado, aunque nunca eliminarlo por completo, ya que la ciberseguridad es un entorno dinámico y en constante cambio. Cada año, la situación se vuelve más compleja.
De hecho, basta con observar la evolución del mercado. Hemos visto cómo el uso del efectivo ha disminuido significativamente con la adopción masiva de aplicaciones como billeteras digitales. Actualmente, el efectivo está siendo reemplazado por pagos digitales, y los teléfonos móviles ya funcionan como tarjetas de crédito, permitiendo transacciones rápidas y sin contacto.
IT/USERS: Ese también va a ser otro otro problema porque ya se está utilizando sobre todo con el NFC (Near Field Communication) o sea, solamente pones el celular y pagas ¿qué pasa si tienes activado eso? y alguien se te acerca y coloca inadvertidamente otro terminal, ¿no? Y te puede realizar un cargo así es, ¿no? Entonces un cargo a tu tarjeta, entonces yo, por ejemplo, no tengo activada esa función. Entonces lo hago por seguridad como voy a pagar así solamente. Prefiero, todavía pagar con tarjeta de crédito, ¿no? O sea, con la misma tarjeta de crédito con colocarla inclusive, hay que tener mucho cuidado también, con el tema de los delivery…
R.G.: Sí, es innegable que el mercado está evolucionando en esa dirección. Por ello, es fundamental desarrollar métodos, procesos y procedimientos que garanticen una validación segura de cada transacción. Es clave asegurarse de que fue realmente el usuario final quien la realizó y no un tercero mediante un robo de credenciales o una intervención externa.
Acerca de Cirion Perú
Cirion es una empresa proveedora líder pan regional de infraestructura digital y tecnología, que ofrece un conjunto integral de soluciones de colocación, infraestructura en la nube y de servicios de redes de fibra terrestre y submarina. Cirion atiende a más de 5.500 clientes latinoamericanos y a multinacionales, incluidas empresas, agencias gubernamentales, proveedores de servicios en la nube, operadores, ISPs y otras empresas líderes. Cirion posee y opera un portafolio de redes y data centers propios, con una amplia cobertura en toda la región de América Latina.
Conozca más acerca de Cirion en www.ciriontechnologies.com
Síganos en nuestras Redes Sociales:
LinkedIn | Twitter | Facebook | Instagram | YouTube | Blog
Apoya al Periodismo Independiente
¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro PLIN 943-438-457
