La ciberseguridad, el elefante en la habitaci¨®n de las empresas

Basta un correo electr¨®nico para secuestrar las facturas, los datos de clientes o aplicaciones de una empresa. El ransomware es uno de los cibercr¨ªmenes m¨¢s comunes: consiste en un ataque inform¨¢tico con el que los delincuentes secuestran informaci¨®n sensible de la v¨ªctima y exigen dinero a cambio de liberarla. La proliferaci¨®n de este tipo de delitos ha crecido en los ¨²ltimos a?os. En 2022, el Instituto Nacional de Ciberseguridad de Espa?a (Incibe) gestion¨® 118.820 incidentes de ciberseguridad, un 9% m¨¢s respecto al a?o anterior. Adem¨¢s, el costo promedio de una violaci¨®n de datos ha alcanzado m¨¢ximos hist¨®ricos y se ubica en torno a los 4,14 millones de euros en 2023, seg¨²n la empresa IBM. Las compa?¨ªas perciben que la seguridad de sus activos pasa cada vez m¨¢s por el mundo digital, pero los expertos consultados resaltan que las formas de abordar la protecci¨®n de los negocios suelen ser inadecuadas.

Aiert Azueta Dudagoitia, director de Devoteam Cyber Trust Spain y director de IAM Devoteam Global, detalla que, para enfrentar estos desaf¨ªos, las empresas deber¨ªan implementar una estrategia integral de ciberseguridad que abarque la educaci¨®n y la concienciaci¨®n, la utilizaci¨®n de tecnolog¨ªa avanzada de seguridad, una gesti¨®n adecuada de riesgos y una cultura organizacional que valore la seguridad de la informaci¨®n.

Sin embargo, existen grandes diferencias entre lo que se debe hacer y lo que se termina ejecutando. Hay sectores donde la seguridad digital no es percibida como una oferta de valor diferencial, sino m¨¢s bien como un gasto o un mal necesario, resalta Miguel ?ngel Thomas, jefe de Ciberseguridad en NTT Data.

La primera barrera es la brecha entre la opini¨®n de los gerentes y la de los encargados de la seguridad digital. Las previsiones del Foro Econ¨®mico Mundial sobre Ciberseguridad de 2022 indicaban que, mientras que el 92% de los ejecutivos encuestados estaban de acuerdo en que la ciberresiliencia estaba integrada en las estrategias de gesti¨®n de riesgos empresariales, solo el 55% de los encargados de la seguridad coincid¨ªan con esa afirmaci¨®n.

¡°Es cierto que la mayor parte de los empresarios s¨ª son conscientes de los riesgos que entra?a un nivel de ciberseguridad bajo. Lo ven en los medios o en su c¨ªrculo cercano¡±, afirma Thomas. Sin embargo, ¡°cuando es necesario apretar en precio, la ciberseguridad es uno de los recursos m¨¢s susceptibles de ser recortados¡±, explica.

Desarrollar un servicio de ciberseguridad es muy dif¨ªcil para la mayor¨ªa de las empresas, por lo que los productos necesarios para gestionarla recaen sobre las grandes tecnol¨®gicas como Amazon, Microsoft o Google, que ofrecen servicios en la nube para gestionar los datos sensibles de las compa?¨ªas. No obstante, estas marcas ofrecen la infraestructura, pero la seguridad no viene por defecto; es decir, estas compa?¨ªas ofrecen las carreteras, pero no los conductores. ¡°Los proveedores de servicios en la nube tienen fuertes medidas de seguridad, pero la responsabilidad final de la seguridad de los datos recae en el cliente¡±, dice Dudagoitia.

En este sentido, tambi¨¦n existen diferencias entre las compa?¨ªas seg¨²n su tama?o. Las grandes empresas tienen departamentos internos que son capaces de dirigir su estrategia y gestionar la seguridad con empresas terceras, liderando el cambio que necesitan. Por el contrario, las m¨¢s peque?as contratan servicios m¨ªnimos y en muchos casos pierden el control de lo que se est¨¢ haciendo.

Adem¨¢s, el personal con la capacidad de gestionarlo es escaso. El Foro Econ¨®mico Mundial revel¨® en sus previsiones de 2022 que el 59% de las instituciones encuestadas encontrar¨ªan dif¨ªcil responder a un incidente de ciberseguridad debido a la escasez de habilidades dentro de sus equipos. En Espa?a, el Incibe estima que para 2024 ser¨¢n necesarios 80.000 profesionales en ciberseguridad. Pese a que la formaci¨®n en esta materia est¨¢ en auge, ¡°la demanda va muy por delante¡± de la oferta de trabajadores cualificados, afirma el director de ciberseguridad de NTT Data.

Cuesti¨®n de supervivencia

¡°Lo que termina haciendo una empresa es sobrevivir¡±, resume Lorenzo Mart¨ªnez, director de la empresa especializada en ciberseguridad Secur¨ªzame. Mart¨ªnez explica que las empresas que acuden a ¨¦l piensan que, al ser negocios peque?os o sin relaciones gubernamentales o pol¨ªticas, est¨¢n exentos de riesgo. ¡°[Lo que no saben] es que los cibercriminales funcionan al peso. Identifican alg¨²n punto vulnerable de tu empresa y otras 7.000, mandan correos electr¨®nicos a todas en nombre de la Guardia Civil o la Agencia Tributaria y hacen que alguna descargue algo que provoca el ransomware¡±, apunta.

Mart¨ªnez asegura que las empresas deben disponer, como m¨ªnimo, de un paraca¨ªdas, es decir, un sistema de copias de seguridad frente a estos ataques. ¡°De lo contrario, son carne de ca?¨®n para que en un futuro pr¨®ximo o lejano sean v¨ªctimas de un crimen¡±. ¡°Es como hacer un viaje transoce¨¢nico en un avi¨®n sin ox¨ªgeno porque en los ¨²ltimos 4.000 viajes no ha pasado nada. Pero ?y si pasa?¡±, advierte.

La inteligencia artificial (IA) ha sido una de las grandes palabras de este a?o, con aplicaciones para la salud, el periodismo y, tambi¨¦n, la ciberseguridad. Thomas afirma que la irrupci¨®n de esta tecnolog¨ªa est¨¢ siendo ¡°clara e imparable¡±. ¡°Existen muchos procesos manuales en materia de ciberseguridad que, en general, son bastante rutinarios y que son susceptibles de mejorarse y automatizarse, m¨¢s en un contexto de escasez de perfiles expertos¡±, concluye. As¨ª lo ven tambi¨¦n desde Devoteam, donde estiman que la potencialidad de estos servicios es ¡°enorme¡±. Dudagoitia cree que las tareas donde m¨¢s puede ayudar este avance se centran en el procesamiento de grandes cantidades de datos y en reconocer patrones que, de otra forma, podr¨ªan pasar desapercibidos.

Por otro lado, Lorenzo Mart¨ªnez cree que, seguramente, la IA ¡°ser¨¢ revolucionaria¡± en alg¨²n momento. ¡°A d¨ªa de hoy todav¨ªa est¨¢ verde para poder ser implementada de una manera ¨²til y de forma que sea aut¨®noma para solucionar ciertos problemas¡±, opina el experto.