La ciberseguridad, el elefante en la habitaci¨®n de las empresas
Las compa?¨ªas carecen de recursos y conciencia para proteger sus activos digitales de los ciberdelincuentes
Basta un correo electr¨®nico para secuestrar las facturas, los datos de clientes o aplicaciones de una empresa. El ransomware es uno de los cibercr¨ªmenes m¨¢s comunes: consiste en un ataque inform¨¢tico con el que los delincuentes secuestran informaci¨®n sensible de la v¨ªctima y exigen dinero a cambio de liberarla. La proliferaci¨®n de este tipo de delitos ha crecido en los ¨²ltimos a?os. ...
Basta un correo electr¨®nico para secuestrar las facturas, los datos de clientes o aplicaciones de una empresa. El ransomware es uno de los cibercr¨ªmenes m¨¢s comunes: consiste en un ataque inform¨¢tico con el que los delincuentes secuestran informaci¨®n sensible de la v¨ªctima y exigen dinero a cambio de liberarla. La proliferaci¨®n de este tipo de delitos ha crecido en los ¨²ltimos a?os. En 2022, el Instituto Nacional de Ciberseguridad de Espa?a (Incibe) gestion¨® 118.820 incidentes de ciberseguridad, un 9% m¨¢s respecto al a?o anterior. Adem¨¢s, el costo promedio de una violaci¨®n de datos ha alcanzado m¨¢ximos hist¨®ricos y se ubica en torno a los 4,14 millones de euros en 2023, seg¨²n la empresa IBM. Las compa?¨ªas perciben que la seguridad de sus activos pasa cada vez m¨¢s por el mundo digital, pero los expertos consultados resaltan que las formas de abordar la protecci¨®n de los negocios suelen ser inadecuadas.
Aiert Azueta Dudagoitia, director de Devoteam Cyber Trust Spain y director de IAM Devoteam Global, detalla que, para enfrentar estos desaf¨ªos, las empresas deber¨ªan implementar una estrategia integral de ciberseguridad que abarque la educaci¨®n y la concienciaci¨®n, la utilizaci¨®n de tecnolog¨ªa avanzada de seguridad, una gesti¨®n adecuada de riesgos y una cultura organizacional que valore la seguridad de la informaci¨®n.
Sin embargo, existen grandes diferencias entre lo que se debe hacer y lo que se termina ejecutando. Hay sectores donde la seguridad digital no es percibida como una oferta de valor diferencial, sino m¨¢s bien como un gasto o un mal necesario, resalta Miguel ?ngel Thomas, jefe de Ciberseguridad en NTT Data.
La primera barrera es la brecha entre la opini¨®n de los gerentes y la de los encargados de la seguridad digital. Las previsiones del Foro Econ¨®mico Mundial sobre Ciberseguridad de 2022 indicaban que, mientras que el 92% de los ejecutivos encuestados estaban de acuerdo en que la ciberresiliencia estaba integrada en las estrategias de gesti¨®n de riesgos empresariales, solo el 55% de los encargados de la seguridad coincid¨ªan con esa afirmaci¨®n.
¡°Es cierto que la mayor parte de los empresarios s¨ª son conscientes de los riesgos que entra?a un nivel de ciberseguridad bajo. Lo ven en los medios o en su c¨ªrculo cercano¡±, afirma Thomas. Sin embargo, ¡°cuando es necesario apretar en precio, la ciberseguridad es uno de los recursos m¨¢s susceptibles de ser recortados¡±, explica.
Desarrollar un servicio de ciberseguridad es muy dif¨ªcil para la mayor¨ªa de las empresas, por lo que los productos necesarios para gestionarla recaen sobre las grandes tecnol¨®gicas como Amazon, Microsoft o Google, que ofrecen servicios en la nube para gestionar los datos sensibles de las compa?¨ªas. No obstante, estas marcas ofrecen la infraestructura, pero la seguridad no viene por defecto; es decir, estas compa?¨ªas ofrecen las carreteras, pero no los conductores. ¡°Los proveedores de servicios en la nube tienen fuertes medidas de seguridad, pero la responsabilidad final de la seguridad de los datos recae en el cliente¡±, dice Dudagoitia.
En este sentido, tambi¨¦n existen diferencias entre las compa?¨ªas seg¨²n su tama?o. Las grandes empresas tienen departamentos internos que son capaces de dirigir su estrategia y gestionar la seguridad con empresas terceras, liderando el cambio que necesitan. Por el contrario, las m¨¢s peque?as contratan servicios m¨ªnimos y en muchos casos pierden el control de lo que se est¨¢ haciendo.
Adem¨¢s, el personal con la capacidad de gestionarlo es escaso. El Foro Econ¨®mico Mundial revel¨® en sus previsiones de 2022 que el 59% de las instituciones encuestadas encontrar¨ªan dif¨ªcil responder a un incidente de ciberseguridad debido a la escasez de habilidades dentro de sus equipos. En Espa?a, el Incibe estima que para 2024 ser¨¢n necesarios 80.000 profesionales en ciberseguridad. Pese a que la formaci¨®n en esta materia est¨¢ en auge, ¡°la demanda va muy por delante¡± de la oferta de trabajadores cualificados, afirma el director de ciberseguridad de NTT Data.
Cuesti¨®n de supervivencia
¡°Lo que termina haciendo una empresa es sobrevivir¡±, resume Lorenzo Mart¨ªnez, director de la empresa especializada en ciberseguridad Secur¨ªzame. Mart¨ªnez explica que las empresas que acuden a ¨¦l piensan que, al ser negocios peque?os o sin relaciones gubernamentales o pol¨ªticas, est¨¢n exentos de riesgo. ¡°[Lo que no saben] es que los cibercriminales funcionan al peso. Identifican alg¨²n punto vulnerable de tu empresa y otras 7.000, mandan correos electr¨®nicos a todas en nombre de la Guardia Civil o la Agencia Tributaria y hacen que alguna descargue algo que provoca el ransomware¡±, apunta.
Mart¨ªnez asegura que las empresas deben disponer, como m¨ªnimo, de un paraca¨ªdas, es decir, un sistema de copias de seguridad frente a estos ataques. ¡°De lo contrario, son carne de ca?¨®n para que en un futuro pr¨®ximo o lejano sean v¨ªctimas de un crimen¡±. ¡°Es como hacer un viaje transoce¨¢nico en un avi¨®n sin ox¨ªgeno porque en los ¨²ltimos 4.000 viajes no ha pasado nada. Pero ?y si pasa?¡±, advierte.
La inteligencia artificial (IA) ha sido una de las grandes palabras de este a?o, con aplicaciones para la salud, el periodismo y, tambi¨¦n, la ciberseguridad. Thomas afirma que la irrupci¨®n de esta tecnolog¨ªa est¨¢ siendo ¡°clara e imparable¡±. ¡°Existen muchos procesos manuales en materia de ciberseguridad que, en general, son bastante rutinarios y que son susceptibles de mejorarse y automatizarse, m¨¢s en un contexto de escasez de perfiles expertos¡±, concluye. As¨ª lo ven tambi¨¦n desde Devoteam, donde estiman que la potencialidad de estos servicios es ¡°enorme¡±. Dudagoitia cree que las tareas donde m¨¢s puede ayudar este avance se centran en el procesamiento de grandes cantidades de datos y en reconocer patrones que, de otra forma, podr¨ªan pasar desapercibidos.
Por otro lado, Lorenzo Mart¨ªnez cree que, seguramente, la IA ¡°ser¨¢ revolucionaria¡± en alg¨²n momento. ¡°A d¨ªa de hoy todav¨ªa est¨¢ verde para poder ser implementada de una manera ¨²til y de forma que sea aut¨®noma para solucionar ciertos problemas¡±, opina el experto.
?Sale a cuenta pagar un rescate?
El ransomware es el ciberataque más común. Según un informe sobre el coste de las infracciones de datos de 2023 de IBM, pagar un rescate cuando se sufre este tipo de ataques se ha vuelto cada vez menos ventajoso, con una disminución del 82,5% en el ahorro de las empresas entre 2022 y 2023.
Las organizaciones que accedieron a un pago ante un ataque de este tipo lograron solo una pequeña diferencia respecto al coste total: 4,72 millones de euros frente a 4,82 millones de euros, respectivamente. Una diferencia de coste de unos 100.000 euros, según las estimaciones de la compañía informática. Sin embargo, desde IBM aclaran que este cálculo no incluye el coste del rescate en sí. Dado el alto valor de la mayoría de las demandas de estos ciberataques, las organizaciones que pagaron el rescate probablemente acabaron gastando más en total que aquellas que decidieron no hacerlo.