“La calle encuentra sus propios usos para las cosas”, escribió el autor de ciencia ficción y creador del término “ciberespacio”, William Gibson, en su relato de 1982 Burning Chrome. En una época en la que las redes informáticas se utilizaban principalmente para fines militares y de investigación, la imaginación de Gibson presentó a los hackers Bobby y Jack, dos jóvenes que intentaban impresionar a una chica llamada Rikki hackeando un sistema de seguridad para robar una fortuna de un criminal conocido como Chrome. Lo que en su momento parecía pura ficción, cuatro décadas después, se ha convertido en una cruda realidad: con el 67 % de la población mundial conectada a internet, incluidos innumerables “Bobbys” y “Jacks” malintencionados, la fantasía de Gibson ha adquirido un nuevo significado, especialmente en América Latina y el Caribe (ALC).
El recientemente publicado libro Economía de la Ciberseguridad para los Mercados Emergentes destaca cómo la rápida digitalización postpandemia de ALC ha superado la capacidad de la región para fortalecer su ciberseguridad. Para 2024, América Latina y el Caribe es la región de más rápido crecimiento en incidentes cibernéticos divulgados, con una tasa promedio de crecimiento anual del 25 % en la última década. Además, es la región menos protegida, con un puntaje promedio de ciberseguridad de 10.2 sobre 20 (Figuras 1 y 2).
Figura 1: Efectos de la Digitalización en América Latina y el Caribe
Figura 2: Brechas de ciberseguridad en América Latina y el Caribe
Fuente: Reporte Economía de la Ciberseguridad para los Mercados Emergentes (2024). Banco Mundial
Ciberataques en el foco
En la era de Burning Chrome, Bobby y Jack buscaban fortuna en las sombras del ciberespacio. Hoy, sin embargo, los hackers han evolucionado más allá de los objetivos puramente financieros, especialmente en los países en desarrollo, donde el 59 % de los incidentes cibernéticos tienen motivaciones políticas.
América Latina ha sido testigo directo de este cambio hacia incidentes "híbridos". Ejemplos destacados incluyen un ataque de ransomware a instituciones gubernamentales que provocó pérdidas económicas equivalentes al 2.4 % del PIB (Costa Rica, 2022), masivas filtraciones de datos de agencias públicas que expusieron registros confidenciales de casi toda la población (Ecuador, 2019; Argentina, 2022), un ataque de malware que forzó el cierre de todas las sucursales de bancos públicos (Chile, 2020), un incidente cibernético que impidió a ciudadanos en el extranjero emitir su voto durante las elecciones presidenciales (Ecuador, 2023), entre otros.
Figura 3: Distribución de incidentes cibernéticos divulgados por sectores, 2013-2024
Fuente: Reporte Economía de la Ciberseguridad para los Mercados Emergentes (2024). Banco Mundial
Como se muestra en la figura 3, la administración pública y las finanzas son los dos sectores con más ataques cibernéticos en toda América Latina y el Caribe (ALC). Sin embargo, los objetivos específicos y las motivaciones detrás de estos incidentes varían significativamente, reflejando los desafíos únicos de cada país. Por ejemplo, en ningún lugar la dimensión política es más evidente que en Venezuela, donde el 73 % de los incidentes tienen motivaciones políticas. En contraste, menos del 15 % de los incidentes cibernéticos en Argentina tienen un motivo político. No obstante, a pesar de las diferencias en motivaciones, ambos países enfrentan niveles de exposición superiores al promedio y niveles de protección inferiores al promedio, ubicándolos, junto con otros países de ALC, dentro de una "zona prioritaria" para las inversiones en ciberseguridad (Figura 4).
Figura 4: Evaluación Relativa de Riesgo en Ciberseguridad por Países, 2024
Fuente: Reporte Economía de la Ciberseguridad para los Mercados Emergentes (2024). Banco Mundial
Transformando desafíos en oportunidades
Invertir en ciberseguridad es fundamental. El nuevo informe revela que, entre 2014 y 2023, los incidentes cibernéticos aumentaron 3.1 veces en países con débiles sistemas de ciberseguridad nacional, en comparación con un aumento de 2 veces en aquellos con ciberseguridad más sólida.
Además, invertir en ciberseguridad puede tener efectos positivos en la economía. Nuestro estudio revela que si un país en desarrollo fortalece sus protecciones cibernéticas y reduce los incidentes cibernéticos graves del cuartil más alto al más bajo (de aproximadamente 50 a 7 incidentes importantes), podría lograr un aumento del PIB per cápita de alrededor del 1.5 %. Este impacto es particularmente significativo en las industrias altamente digitalizadas, que tienden a desempeñarse mejor en países con medidas de ciberseguridad robustas, manteniendo constantes otros factores.
Asimismo, con una brecha global de más de 4 millones de profesionales en el sector y una industria de ciberseguridad proyectada para crecer un 14 % entre 2023 y 2024 (casi el doble de la tasa de crecimiento del sector de TI y cuatro veces la de la economía global), existe un potencial significativo para la creación de empleo mediante inversiones dirigidas en educación y formación en ciberseguridad.
Sin embargo, alcanzar estos beneficios requiere más que simplemente destinar recursos; exige enfoques eficientes, como:
1. Priorizar objetivos mediante la identificación de riesgos: aprovechando datos abiertos, nuevos estudios revelan la probabilidad de que las instituciones sean objetivo de ciberataques (Harry et al., 2023). Este conocimiento puede ayudar a priorizar las inversiones en diversos sectores. Por ejemplo, el gráfico a continuación muestra condados de los Estados Unidos codificados por colores, de verde a rojo, indicando la probabilidad de escenarios de ataque en sus infraestructuras.
Figura 5: Mapa de la vulnerabilidad de gobiernos municipales de Estados Unidos ante escenarios de ataque
Fuente: Harry et al (2023).
2. Fomentar soluciones de mercado: América del Norte concentra más del 50 % del mercado global de ciberseguridad, con una demanda 16 veces mayor que la de todos los países de ALC combinados, lo que lleva a que el mercado ofrezca soluciones diseñadas principalmente para países de altos ingresos. Para contrarrestar esto, ALC debe impulsar la demanda del mercado a través de la concienciación pública sobre ciberseguridad y apoyar a la industria regional.
3. Promover la inversión corporativa: los países de altos ingresos, como Estados Unidos, están fomentando la divulgación de incidentes cibernéticos para mejorar la ciberseguridad corporativa. Aunque existen preocupaciones sobre el posible impacto negativo en las víctimas, investigaciones recientes sugieren que la divulgación de los incidentes cibernéticos de manera oportuna puede, de hecho, ser una señal de responsabilidad y aumentar la confianza de los inversores (Gordon et al., 2024).
4. Promover la adopción de un marco económico racional para orientar a los actores del sector privado en la toma de decisiones informadas de inversión para mitigar los riesgos cibernéticos.
En un panorama tecnológico que evoluciona rápidamente, el camino de la región desde la vulnerabilidad hacia la resiliencia sigue en marcha. Con inversiones estratégicas, ALC puede convertir los desafíos de la ciberseguridad en una base para el crecimiento sostenible.
El ataque contra Chrome es un éxito, pero ninguno de los chicos logra conquistar a Rikki. Al final, ambos aceptan la necesidad de dejar atrás su vida de piratería y buscar una fuente de ingresos diferente. Un recordatorio de que la verdadera resiliencia radica en adaptarse al cambio.
Únase a la conversación