Call Centers de Guatemala

Resumen: El objetivo de este estudio es concientizar acerca de la importancia de la ciberseguridad en estos tiempos de pandemia COVID-19, lo cual fue algo que tomó por sorpresa a la industria de call centers de Guatemala y su plan de continuidad de negocio no tenía contemplado el work from home. El estudio se llevó a cabo recolectando información de otros artículos relacionados al tema de la pandemia y el teletrabajo, también se hizo uso de los estándares internacionales ISO 27001, ISO 27032 y PCI DSS, así como también, se realizó una encuesta digital, haciendo uso del servicio de anuncios de Instagram, y se obtuvo una muestra de 75 personas que actualmente laboran en la industria de call centers de Guatemala. La finalidad de la encuesta es conocer si la industria en cuestión tiene implementadas políticas y buenas prácticas de ciberseguridad. Los resultados indican que solo el 33% de los call centers tienen implementadas políticas y buenas prácticas de ciberseguridad, aunque se destaca su compromiso y responsabilidad con los estándares ISO 27001 y PCI DSS, también se puedo evidenciar que el número de ciberataques aumenta cada año a nivel mundial y durante la pandemia el phishing ocupa el primer lugar con un 59%, seguido del ransomware con un 36%. En conclusión, los call centers de Guatemala no está prestando atención al tema de ciberseguridad, lo cual es preocupante ya que, debido a su modelo de negocio este tema debería de estar en su lista de prioridades, no se debe de ver como un gasto innecesario sino como una de las mejores inversiones que pueden realizar.

Palabras Claves: pandemia, concientización, ciberataques, teletrabajo, phishing, ransomware, buenas prácticas de ciberseguridad, trabajo desde casa.

Abstract: The objective of this study is to raise awareness about the importance of cybersecurity in these times of the COVID-19 pandemic, which was something that took the Guatemalan call center industry by surprise and its business continuity plan didn’t have the work from home contemplated. The study was carried out by collecting information from other articles related to the topic of the pandemic and telecommuting, the international standards ISO 27001, ISO 27032 and PCI DSS were also used, as well as a digital survey, making use of the Instagram’s ad service, a sample of 75 people who currently work in the call center industry in Guatemala was obtained. The purpose of the survey is to find out if the industry in question has implemented cybersecurity policies and good practices. The results indicate that only 33% of call centers have implemented cybersecurity policies and good practices, although their commitment and responsibility with the ISO 27001 and PCI DSS standards stand out, it can also be evidenced that the number of cyber attacks increases every year worldwide and during the pandemic, phishing ranks first with 59%, followed by ransomware with 36%. In conclusion, the call centers in Guatemala are not paying attention to the cybersecurity theme, which is worrying since due to their business model, this theme should be on their priority list, it should not be seen as an unnecessary expense but as one of the best investments they can make.

Desarrollo:

El presente tema de investigación concierne a las malas prácticas de ciberseguridad en tiempos de COVID-19, tomadas en el sector de Call Centers y BPO (Business Process Outsourcing) de Guatemala, el cual está formado por empresas que prestan sus servicios a los grandes mercados en Estados Unidos, Canadá, Centroamérica, España, etc. Ofreciendo los servicios de soporte técnico, ventas, finanzas, seguros, entretenimiento, hospedajes, telecomunicaciones, entre muchos otros.

“Actualmente la industria está compuesta por empresas internacionales y nacionales, y cuenta con alrededor de 42,000 agentes (2019). Los empleos generados se dividen en servicios de voz y no voz. El primero es alrededor de 90 por ciento, de los cuales se calcula que el 67 por ciento son empleos bilingües, que requieren de un conocimiento del idioma inglés; un 30 por ciento de los empleos son en español y un 3 por ciento en otros idiomas: francés, alemán, portugués” (AGEXPORT, 2019).

Esta industria, es una de las principales generadoras de empleo en Guatemala, a raíz del crecimiento exponencial de la tercerización de servicios a nivel mundial.

Para analizar esta problemática, cabe mencionar que, dicha industria maneja información sensible de las personas, y por lo tanto, las empresas que solicitan sus servicios exigen un alto nivel de seguridad de la información, con el fin de evitar el robo, alteración y acceso no autorizado a la misma. Adicionalmente, hay otro tipo de empresa que requiere el estándar PCI-DSS (Payment Card Industry Data Security Standard) debido a que se toman pagos por medio de tarjeta de crédito o débito.

Derivado de la Pandemia Covid-19, la cual es una enfermedad infecciosa y su principal fuente de propagación es el contacto con otra persona infectada por el virus, la Organización Mundial de la Salud (OMS) recomendó, como medida preventiva el distanciamiento físico, con un mínimo de distancia de un metro entre una persona y otra. Dicha medida tanto preventiva como necesaria, obligo a los call centers a realizar cambios en sus operaciones para mitigar el riesgo de contagio entre sus empleados,  lo cual los llevo a la transición del trabajo en sitio al ahora famoso “work from home”.

El work from home ha venido acompañado de malas prácticas de ciberseguridad, esto debido a que estas empresas se han enfocado más en la continuidad de sus operaciones, dejando su ciberespacio, no solo vulnerable, sino también expuesto a todos aquellos vectores de ataque que pueden causar un daño de alto impacto e inseguridad en el mismo.

Por lo tanto, el presente artículo tiene como finalidad, concientizar acerca de la importancia de la ciberseguridad en estos tiempos difíciles de la pandemia COVID-19, en donde los call centers han tenido que reinventar sus operaciones, tomando medidas reactivas para evitar la suspensión de las mismas. Así como también, brindar buenas prácticas y/o recomendaciones de ciberseguridad para mitigar los riesgos derivados de la nueva modalidad laboral; trabajo desde casa.

Materiales y Métodos

Con el fin de abordar de una mejor manera la problemática del presente estudio, la metodología se dividió en tres partes; en la primera parte se recolecto información y datos obtenidos de artículos publicados por diferentes autores, en relación al tema de ciberseguridad, pero específicamente, se tomaron aquellos artículos enfocados a la ciberseguridad en tiempos de pandemia COVID-19 y todo lo relacionado a la nueva modalidad “trabajo desde casa”. Dichos artículos fueron consultados en la plataforma Google académico.

La segunda parte de la metodología se llevó a cabo con base a los estándares internacionales: ISO 27001 para la seguridad de la información, ISO 27032 para todo lo relacionado a la ciberseguridad, y por último, pero no menos importante, PCI-DSS para toda la parte de seguridad que concierne a pagos con tarjeta de crédito y/o débito. Dichos estándares fueron utilizados para hacer una comparativa entre las buenas y malas prácticas que se están realizando por la industria en cuestión.

“Podemos decir que la Ciberseguridad es la capacidad de resistir, con un nivel determinado de fiabilidad, a toda acción que comprometa la disponibilidad, autenticidad, integridad, o confidencialidad de los datos almacenados o transmitidos, o de los servicios ofrecidos” (Ballestero, 2020).

La tercera parte de la misma, se llevó a efecto realizando una encuesta digital, para ello se utilizó el servicio de anuncios de Instagram. Cabe mencionar que, se recurrió a este tipo de servicios debido a la situación actual y a la nueva modalidad de trabajo. El público objetivo fueron todas aquellas personas que actualmente laboran en cualquiera de los diferentes call centers de Guatemala. El total de encuestas recibidas/contestadas fue de 75, lo cual representa un  0.018% del total de agentes contabilizados por AGEXPORT en el año 2019.

Resultados

Luego de analizar las encuestas recibidas y depurar la información obtenida, se pudo observar que, el 20% de los encuestados son de la generación X (entre 40 y 58 años), 65% de la generación Y (entre 24 y 39 años) y un 15% con una edad entre 18 y 23 años. Según (Gonzalez, 2017) “la generación X está comprendida por todas aquellas personas nacidas entre los años 1965 y 1979, la generación Y por aquellas personas nacidas entre los años 1980 y 1999, y la generación Z por aquellas personas nacidas a partir del año 2000”. Ver tabla 1.

Del total de 6 call centers, se pudo identificar que, 2 de ellos (33%) cuentan con políticas de seguridad de la información, imparten cursos a sus empleados sobre concientización de ciberseguridad y cuentan con estrictos controles PCI, 3 (50%) cuentan con políticas de seguridad de la información y controles PCI, y 1 (17%)  está en proceso de implementación de políticas de seguridad de la información. Cabe mencionar que por motivos de confidencialidad, el nombre de los mismos no será indicado, por lo tanto, se identificaran como: call center 1, 2, 3, 4, 5 y 6. Ver tabla 2.

De las 75 encuestas recibidas, 30 eran de empleados del call center 1, 5 eran del call center 2, 12 eran del call center 3, 9 eran el call center 4, 8 eran del call center 5 y 11 eran del call center 6. Cabe mencionar que se recibieron 12 encuestas adicionales, no obstante, las mismas estaban incompletas, por lo tanto, fueron descartadas para este estudio. Ver tabla 3.

“De acuerdo al reporte anual del Centro de Denuncias de Delito de Internet de 2019, los ataques cibernéticos incrementan gradualmente cada año” (Gamboa, 2020). Figura 1, y en la figura 2 se muestra una representación gráfica porcentual de los ciberataques más comunes durante la pandemia COVID-19.

Discusión

En el presente estudio se puede observar que, la taza de call centers que cuenta con políticas de seguridad de la información y controles PCI es alta, lo cual destaca el compromiso y responsabilidad de los mismos ante los estándares ISO 27001 y PCI DSS respectivamente. No obstante, el tema de ciberseguridad es preocupante, ya que, según el estudio solo 2 (33%) call centers cuentan con políticas de ciberseguridad.

Por otra parte, se pudo evidenciar que el número de ciberataques aumenta cada año, en el 2019 la cifra llego a 467,343 ataques cibernéticos, siendo esta la mayor cifra registrada en los últimos 6 años. Entre los ciberataques más comunes durante la pandemia COVID -19 se encuentran: Dominios maliciosos, Malware/Ransomware, Phishing. El Phishing ocupa  la primer posición con un 59%, seguido de Malware/Ransomware con un 36%, según datos obtenidos de la página oficial de la INTERPOL.

Actualmente, toda empresa independientemente de su tamaño es candidata a ser víctima de un ciberataque, como el robo de información, la encriptación de datos, el bloqueo de accesos, el borrado de información, entre otros. Esto podría provocar que un call center quedará totalmente paralizado por un tiempo indefinido, y por consiguiente, causar grandes pérdidas económicas.

 Por lo tanto, se recomienda a la industria de call centers que empiecen a implementar sus políticas y buenas prácticas de ciberseguridad, basándose en el estándar internacional ISO 27032, el cual les permitirá mitigar todos aquellos riesgos que podrían ocasionar daños de alto impacto en su ciberespacio.

Dentro de las recomendaciones y buenas prácticas de ciberseguridad que deben tomar en consideración, resalta el tema de concientización; el educar y/o capacitar a los empleados sobre las diferentes amenazas, la forma en que se presentan y cómo actuar ante una situación donde puedan estar siendo víctimas de un ciberataque, ayudara a mitigar en gran escala el riesgo de ser víctimas de phishing, ransomware, ingeniería social y muchos otros ciberataques, ya que los usuarios (empleados) son la primer y mejor línea de defensa, pero también, el eslabón más débil. Todo dispositivo (endpoint) con acceso a la red interna de la organización debe ser propiedad de la empresa, con el objeto de tener un control total sobre el mismo, evitar el BYOD (Bring Your Own Device) debido a que esto representa una brecha muy grande de seguridad. Todas las computadoras deben ser encriptadas antes de ser entregadas a los empleados remotos. Hacer uso de VPN para conectar a la red interna a cada colaborador de la empresa que está trabajando desde casa. Utilizar contraseñas robustas y que todos los trabajadores remotos tengan configurado la autenticación multifactor (MFA), lo cual brindara un acceso autenticado a todas las aplicaciones y sistemas de la organización. Instalar actualizaciones y parches para que los endpoints y sistemas estén lo más actualizado posible y esto no represente una brecha más de seguridad. Contar con servicios que permitan monitorear los sistemas, la red, las aplicaciones y a los usuarios de manera periódica. 

Estas empresas deberían de considerar la posibilidad de pagar un servicio de internet a cada empleado, evitando así que se conecten a una red familiar donde se desconoce la finalidad de la misma, esto permitiría que el empleado se conectara a una red estrictamente laboral, para ello el empleado deberá comprometerse a ser la única persona que estará conectada a esa red, firmando una carta de compromiso.

Conclusiones

El arribo del COVID-19 fue algo sorpresivo para la industria de los call centers, y debido a la naturaleza de sus operaciones, su plan de continuidad de negocio no contemplaba ni la mínima posibilidad de la modalidad “work from home”. Independientemente de la pandemia, los call centers son empresas que no pueden operar sin una conexión a internet, el internet es uno de sus servicios críticos, por lo tanto, están más expuestos a ser víctimas de los diferentes vectores de ataque, los cuales buscan una vulnerabilidad para provocar daño, por consiguiente, la ciberseguridad debe ser un tema prioritario para esta industria. No obstante, es preocupante el hecho de que únicamente la tercer parte de los mismos tiene implementadas políticas de ciberseguridad, ya que su ecosistema siempre está expuesto debido a su modelo de negocio.

 La concientización es de suma importancia en el tema de ciberseguridad, es un arma de defensa contra el cibercrimen. Los ataques de Phishing, como se pudo observar en este estudio, son los más comunes y han tenido éxito debido a la falta de programas de capacitación al usuario, lo cual le permita conocer e identificar este tipo de ataques y cómo actuar ante los mismos.

Por último, el regreso a “la nueva a la nueva normalidad” genera incertidumbre, es imposible saber con exactitud el fin de la pandemia. El COVID-19 no vino a cambiar la reglas del juego, sino el juego como tal, pero todo va a depender de la postura que tomen los call centers ante este nuevo mundo; mas conectado, sin fronteras, pero al mismo tiempo, más vulnerable y más expuesto al riesgo, cibernéticamente hablando. Ante esta incertidumbre, sería estupendo que la industria de call centers creará una estrategia de ciberseguridad, haciendo una convergencia de los tres estándares internacionales mencionados en este estudio, y porque no, incluir otros que pudieran ayudar al fortalecimiento de la misma.

Referencias bibliográficas

AGEXPORT, G. (2019). AGEXPORT Guatemala. Obtenido de https://export.com.gt/sector/contact-center-bpo

Ballestero, F. (28 de Abril de 2020). LA CIBERSEGURIDAD EN TIEMPOS DIFÍCILES¿Nos ocupamos de ella o nos preocupamos por ella? Obtenido de http://www.revistasice.com/index.php/BICE/article/view/6993/6993

Cano, J. J. (10 de Junio de 2020). Seguridad de la información y ciberseguridad empresarial. Obtenido de https://sistemas.acis.org.co/index.php/sistemas/issue/view/14/11

Gamboa, J. L. (Agosto de 2020). IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA Y CIBERSEGURIDAD EN EL MUNDO ACTUAL. Obtenido de http://repository.unipiloto.edu.co/handle/20.500.12277/8668

Gonzalez, B. (26 de Abril de 2017). Diferencias entre Baby Boomers y las generaciones XYZ. Obtenido de http://begonagonzalez.com/generacionxyz/

Hern, A. (13 de Marzo de 2020). Covid19 could cause permanent shifttowards home. Obtenido de http://www.miamidadetpo.org/library/2020-03-13-uk-covid19-could-cause-permanent-shift-towards-home-working.pdf

INTERPOL. (4 de Agosto de 2020). Ciberdelincuencia: efectos de la COVID-19. Obtenido de https://www.interpol.int/es/Noticias-y-acontecimientos/Noticias/2020/Un-informe-de-INTERPOL-muestra-un-aumento-alarmante-de-los-ciberataques-durante-la-epidemia-de-COVID-19

Muñoz, C., Pérez, B., & Navarrete, M. d. (30 de Abril de 2020). LAS EMPRESAS ANTEL EL COVID-19. Obtenido de https://www.editorialeidec.com/revista/index.php/GISST/article/view/83/64

Oneto, A. (23 de Julio de 2020). COVID-19 El rol del Directorio: de los peligros a las oportunidades. Obtenido de https://scioteca.caf.com/handle/123456789/1616

Oneto, A. (24 de Junio de 2020). COVID-19: Continuidad del Negocio, Gestion de Crisis y Gobierno Coorporativo. Obtenido de https://scioteca.caf.com/handle/123456789/1596

Peiró, J., & Soler, A. (5 de Mayo de 2020). EL IMPULSO AL TELETRABAJO DURANTE EL COVID-19 Y LOS RETOS QUE PLANTEA. Obtenido de https://www.ivie.es/wp-content/uploads/2020/05/11.Covid19IvieExpress.El-impulso-al-teletrabajo-durante-el-COVID-19-y-los-retos-que-plantea.pdf

Santillán, W. (20 de Mayo de 2020). EL TELETRABAJO EN ELCOVID-19. Obtenido de http://cienciamerica.uti.edu.ec/openjournal/index.php/uti/article/view/289/451

Wyplosz, C. (24 de Abril de 2020). COVID ECONOMICS VETTED AND REAL-TIME PAPERS. Obtenido de http://fadinger.vwl.uni-mannheim.de/Research_files/CovidEconomics9.pdf