En el marco del III Congreso Internacional de Ciberseguridad organizado por la ABV, Karina Bierkamp, Gerente de Ciberseguridad en Setrys, ofreció la ponencia «Ciberseguridad en Venezuela: Blindaje Estratégico y la Evolución a la Defensa 360», no se centró en la adquisición de herramientas costosas o software milagrosos, sino en la necesidad de transformar la cultura corporativa y corregir fallas de diseño estructural.
Bierkamp enfatizó que la mayoría de los incidentes en las empresas no ocurren por falta de presupuesto, sino por un error de mentalidad. Recordando al célebre hacker Barnaby Jack, quien en 2010 demostró cómo hacer que los cajeros automáticos dispensaran efectivo sin control, la vocera señaló que a veces es imperativo evidenciar la amenaza para forzar una solución. Bajo esta premisa, los ejercicios de hacking ético se convierten en la herramienta fundamental para demostrar a las organizaciones que no son ajenas a los riesgos del entorno digital.
Las cifras de la vulnerabilidad corporativa en Venezuela
La especialista presentó estadísticas reales extraídas de las evaluaciones y ejercicios ofensivos ejecutados por su equipo en empresas venezolanas.
-82% de efectividad en intrusiones: En casi el 82% de los casos analizados, el equipo de hacking ético logró ejecutar al menos una actividad técnica que permitió causar impactos graves dentro de las organizaciones.
-67% de fallas en producción: El 67% de las aplicaciones web evaluadas en el país permitieron la carga de archivos maliciosos. Esto significa que las empresas están desplegando plataformas sin validaciones de seguridad, facilitando que un atacante aloje código de control dentro de sus servidores.
«Los datos reflejan que el éxito de los atacantes es actualmente la norma y no la excepción en el entorno empresarial nacional», dijo la experta.
La crisis de las interfaces de programación (APIs)
Las arquitecturas modernas dependen de los puntos de intercambio de información, pero la urgencia por la funcionalidad ha sacrificado la protección de los datos.
94% de fuga de información: El 94% de las APIs evaluadas en las organizaciones están entregando datos confidenciales de la empresa y de sus clientes, transformando estos conectores en canales de fuga que representan pérdidas económicas directas.
Gestión de credenciales y debilidades de acceso
Los accesos principales carecen de las configuraciones más elementales, lo que permite a los ciberdelincuentes ingresar sin necesidad de romper barreras complejas.
62% de credenciales filtradas: El 62% de las organizaciones en Venezuela tienen sus credenciales expuestas y adecuadamente filtradas en la red.
69% de contraseñas por defecto: El 69% de las estructuras corporativas mantiene credenciales de fábrica o por defecto (como las combinaciones admin/admin) en sistemas críticos.
La parálisis ante la respuesta
El dato más alarmante de la realidad venezolana se concentra en la capacidad de gestión del riesgo una vez que este ha sido identificado.
14% de remediación efectiva: Sólo el 14% de las empresas del país han logrado corregir de forma eficaz las vulnerabilidades reportadas en los informes de seguridad.
86% en estado de parálisis: El 86% restante permanece en un estado de inacción o remediación parcial, conviviendo con la exposición hasta que un atacante real decida actuar.
Los tres frentes críticos de exposición
Bierkamp identificó tres puntos de entrada principales por donde se están materializando los compromisos de seguridad en la actualidad.
1. La cadena de suministro y la automatización de la confianza
La hiperconectividad obliga a las empresas a depender de un ecosistema de proveedores de nube y servicios tecnológicos. El riesgo surge al delegar la funcionalidad técnica y asumir, de forma ciega, que el proveedor es seguro. Las vulnerabilidades de un tercero se convierten en vulnerabilidades propias.
La especialista ilustró esto con el caso de plataformas de soporte que no validan quién accede a los módulos. Un atacante puede leer y crear tickets para falsificar la identidad de un consultor y solicitar accesos a la VPN, ingresando de forma legítima. Además, si el proveedor revende el mismo software con fallas de configuración, las credenciales de la base de datos de una compañía podrían terminar expuestas en los archivos de instalación de otra empresa.
2. Aplicaciones desarrolladas sin seguridad
La premura por salir al mercado ha consolidado una cultura donde el éxito se mide únicamente si la aplicación funciona. A través de fallas de autorización en APIs, un usuario sin contraseña podría cambiar el identificador de usuario y cargar compras masivas a tarjetas de crédito ajenas de manera silenciosa, sin activar alertas ni dejar rastros evidentes.
Bierkamp advirtió que los perímetros y cortafuegos tradicionales son necesarios pero insuficientes. Si una aplicación es vulnerable a una inyección de SQL, el atacante puede evadir todas las capas externas, alcanzar la base de datos interna y, ante una mala configuración, lograr el control total del directorio activo en cuestión de minutos.
3. La inteligencia artificial y la pérdida de gobernanza
La adopción de la inteligencia artificial introduce riesgos que las organizaciones apenas empiezan a comprender. Bierkamp destacó tres áreas de preocupación: la autonomía otorgada a los agentes sin un modelo de gobernanza estricto, la generación masiva de código por parte de desarrolladores a una velocidad que los equipos de seguridad no pueden auditar, y la presencia de agentes de IA en reuniones corporativas.
Si una credencial de correo se filtra, un atacante no necesita descifrar sistemas complejos; sólo debe revisar los resúmenes generados por la IA. Si la herramienta resumió una sesión técnica donde se explicaba cómo acceder a la red interna, el atacante obtendrá la llave de acceso gracias a la eficiencia de un sistema que no tenía límites de visibilidad definidos.
Riesgos específicos por sectores
La vulnerabilidad en el país se manifiesta de formas particulares dependiendo de la naturaleza del negocio de cada organización.
El principal desafío se encuentra en la exposición tecnológica transaccional. La falta de protección en las pasarelas de pago y aplicaciones expone a múltiples entidades a fraudes directos a gran escala.
En las instituciones financieras, la mayor amenaza es la persistencia. El atacante más peligroso no es aquel que realiza un robo rápido y huye, sino el que permanece de forma silenciosa dentro de la red observando los movimientos y las operaciones para ejecutar fraudes sofisticados a largo plazo.
Los proveedores de servicios se enfrentan al secuestro de infraestructura mediante la exposición de protocolos de administración. Las agrupaciones delictivas buscan comprometer la red del proveedor para utilizarla como plataforma de salto y atacar de manera masiva a todos los clientes conectados a ella.
En el ámbito industrial y energético converge la obsolescencia crítica de los sistemas con una preocupante falta de segmentación entre la red administrativa y la red industrial. La falta de visibilidad en este punto de encuentro provoca que una falla de diseño digital pueda escalar hasta comprometer el control físico y la seguridad operativa de la infraestructura.
Fuente: CDOL
