La sofisticación del cibercrimen, la irrupción imparable de la IA, la presión regulatoria y una crisis estructural de talento están redefiniendo la manera en que las organizaciones deben protegerse. Antonio Perea, Director de Ciberseguridad en Hopla! Tech, analiza los principales retos a los que se enfrentan las empresas y defiende un cambio de paradigma: asumir que el ataque es inevitable y poner el foco en la resiliencia, la continuidad del negocio y el factor humano como auténtico “firewall” de las organizaciones.
La verdad es que es una pregunta que aparece casi cada semana en reuniones o foros, y no es fácil responder porque nuestro entorno cambia a una velocidad vertiginosa. Pero sí diría que, en esencia, los grandes retos siguen siendo los mismos que arrastramos desde hace años… solo que ahora son mucho más complejos y cambiantes que nunca.
Por un lado, vivimos un aumento exponencial en la cantidad y variedad de amenazas, que con la irrupción de la IA, se han vuelto mucho más sofisticadas y efectivas. Estamos viendo como, en la actualidad, estamos inundados de amenazas basadas en ingeniería social con un nivel de elaboración y precisión de nuestra información personal que las hace casi indetectables.
Por otro lado, la complejidad tecnológica no deja de crecer. Muchos pensábamos que la nube lo simplificaría todo, pero lo que vemos en realidad es una convivencia cada vez más frecuente entre sistemas legacy on-premise y entornos híbridos –públicos y privados–. Esa mezcla provoca pérdida de visibilidad y control, y nos obliga a implantar nuevos mecanismos para proteger nuestras infraestructuras y servicios.
Y, por último, la famosa crisis de talento. No es un tópico: la falta de profesionales cualificados y experimentados, sumada a la sofisticación del cibercrimen —que ahora funciona casi como una industria paralela—, hace que sea muy difícil atraer y retener el talento que necesitamos.
Tradicionalmente, hemos visto cómo las organizaciones han destinado la mayor parte de la inversión en ciberseguridad a la defensa, implantando controles de prevención y protección. Sin embargo, esto se ha demostrado ser insuficiente: la exposición a amenazas de nueva generación crece y los atacantes aprovechan nuevos vectores de ataque que, a veces, escapan a nuestro control.
En respuesta, la tendencia actual —sobre todo aquellas organizaciones que forman parte de la cadena de suministro de infraestructuras críticas y esenciales— es cambiar el enfoque asumiendo que cualquier sistema defensivo puede ser comprometido en algún momento y aumentar su inversión en la respuesta y la recuperación de los sistemas, asegurando la continuidad de los mismos de manera ágil y eficiente.
En este sentido, los nuevos marcos regulatorios y normativos —como NIS2 o DORA—, están ayudando a poner foco en la continuidad del negocio y en la cadena de suministro de proveedores, empujando a las organizaciones a implantar medidas y controles efectivos que minimicen el impacto en la producción, servicios, y por tanto, en el bienestar de las personas.
Es evidente que la irrupción de la IA es imparable y que estamos viviendo una nueva revolución en la industria. En este contexto, la adopción de la inteligencia artificial en las organizaciones añade una nueva dimensión en la adopción tecnológica. La IA no solo se involucra en el trabajo intelectual y especializado en los procesos de negocio, sino que también introduce nuevos desafíos relacionados con la protección de datos, la interpretación de decisiones automatizadas y la necesidad de contar con equipos capacitados en tecnologías emergentes.
Ante estos nuevos retos, las organizaciones se están viendo empujadas a invertir en planes de concienciación e incorporar controles de seguridad específicos que permitan beneficiarnos del potencial de la IA sin comprometer la confidencialidad y la privacidad de nuestra información sensible y esencial del negocio.
Como hemos comentado, estamos comprobando cómo la crisis de talento se ha ido acentuando a lo largo de los años, no solo debido a la escasez de un conocimiento técnico muy avanzado que está al alcance de muy pocos, sino sobre todo debido a que el negocio de los ciberataques se ha profesionalizado e industrializado.
En los inicios, la motivación de muchos hackers era demostrar su destreza y conocimiento, y años más tarde se popularizó la figura del “hacker bueno” reclutado por grandes empresas y organismos usando sus habilidades en la defensa, pero la tendencia actual es que este talento y conocimiento es capitalizado y adiestrado por organizaciones con fines delictivos.
En respuesta a esta situación, cada vez más notable, nos debemos empezar a plantearnos como necesaria la colaboración global para hacer frente a estas organizaciones delictivas e implantar nuevas herramientas impulsadas por IA que anticipen la identificación de amenazas mediante análisis basado en comportamiento, agilicen la respuesta y la recuperación en base a un conocimiento global y sobre todo automaticen los procedimientos de recuperación automatizados.
Ciertamente estamos experimentando un resurgir en la adopción de soluciones y componentes open source por parte de las organizaciones. Desde grandes corporaciones hasta pequeñas empresas. Inicialmente promovidas por el significativo ahorro de costes que ofrecen, pero también porque se ha demostrado que, bien adoptadas e integradas, lejos de comprometer la seguridad, la fortalecen. Esto es debido a que su filosofía de código abierto promueve la transparencia y por tanto son auditables por una comunidad global puede velar por su integridad y confiabilidad.
Desde esta perspectiva, entendemos que esta tendencia seguirá en aumento en la medida que estos componentes y soluciones se vayan consolidando y demostrando su confiabilidad.
Hemos escuchado cientos de veces la analogía del eslabón más débil para argumentar que, por más inversión que hagamos en sistemas de protección en nuestras organizaciones, estos serán inútiles si comprometemos las credenciales y acceso de los usuarios, y esto los ciberdelincuentes lo saben. Es por ello que los ataques dirigidos a empleados usando distintas técnicas de engaño usando ingeniería social sean las más utilizadas por los ciberdelincuentes, gracias a su ratio de éxito.
Así, podemos decir que el factor humano es el vector de ataque que más nos expone y que por ello debemos implantar, no solo herramientas y procedimientos que mitiguen este riesgo, sino un plan de concienciación que implique al usuario como un elemento activo de seguridad de la compañía. Es por ello que cada vez se escucha más el término “firewall humano” para referirnos a un elemento más de la ciberseguridad a gestionar.
Históricamente se han considerado los entornos industriales como cajas negras aisladas y desconectadas y por ello se consideraban seguras. Ya hemos visto que esto no es así y que cada vez más empresas se ven afectadas por paradas de servicio, que en el caso de prestar un servicio esencial o crítico conlleva, más allá de un perjuicio económico que la población se vea afectada de manera grave. Es evidente que la actual revolución tecnológica ha empujado a la industria a tener que interactuar con sistemas externos que lo han hecho aún más expuestos a ciberataques.
Mi experiencia personal ha estado muy ligada a los entornos productivos y de misión crítica y he visto como la adopción de la seguridad ha dejado de ser algo deseable a ser algoneces ario y en la actualidad exigible incluso por marcos regulatorios específicos. La llegada de la industria 4.0 ha empujado a que los sistemas cada vez sean más abiertos e interoperables y la aparición de dispositivos IoT están exigiendo la adopción de herramientas y procesos que mejoren la visibilidad y control de las redes y sistemas.
