La ciber tormenta perfecta
Nos hemos acostumbrado a que al menos cada semana, si no es que diariamente, encontramos publicadas noticias acerca de algún ciberataque. Esto de alguna manera evidencia la tormenta perfecta que se está presentando en el ámbito de la ciberseguridad, dejando al descubierto los diversos factores que se conjugan para crearla.
Por un lado, y a la cabeza está el cibercrimen que lleva tiempo avanzando de manera vertiginosa, con técnicas cada vez más avanzadas en cuanto a complejidad y variedad de los ataques. Desafortunadamente, este factor cuenta con recursos ilimitados para innovar, eso lo hace crecer exponencialmente, aunado a la falta de barreras geográficas en el ciberespacio.
Por otro lado, la mayoría de las organizaciones, llevan años de atraso con respecto a tener un programa de ciberseguridad maduro que les permita estar razonablemente protegidos ante las crecientes amenazas. Esto implica no solamente invertir en la implementación de herramientas tecnológicas, sino también en consultoría especializada y contratación de recursos especializados en materia de ciberseguridad. Si bien los presupuestos en materia de ciberseguridad cada año se incrementan, el cibercrimen invierte a mucho mayor velocidad, con lo cual la brecha que existe entre donde están las organizaciones a nivel de madurez y donde debieran de estar con respecto al tamaño de la amenaza se hace cada vez más grande.
Otro factor que influye bastante y puede hacer la diferencia es el nivel de concientización a nivel de los ejecutivos, el board o consejo directivo, que, aunque ha ido mejorando significativamente, aún existen organizaciones que siguen enfocadas a temas de cumplimiento, para tener una certificación o cumplir con requisitos regulatorios, pero que no se centran en un enfoque de riesgos de ciberseguridad.
A esto se suma la falta de talento ya que no existe una carrera donde una persona pueda estudiar “ciberseguridad”, sino que hoy principalmente la especialización se va generando con la experiencia laboral, certificaciones y cursos especializados. Generalmente las carreras más afines al tema son la licenciatura o ingeniería en sistemas, la cual además tienen otra problemática en la cual necesitamos también trabajar.
Otro tema que se visualiza es que muy pronto la inteligencia artificial generativa va a complicar aún más la tormenta, ya que puede ser utilizada sin mucho conocimiento técnico y servir para generar ataques sofisticados como por ejemplo noticias falsas, phishing o para programación de sistemas de ciberataques, totalmente nuevos y más difíciles de detectar. Por lo que hoy estamos viendo poco de lo que puede venir en cuanto a sofisticación de los ciberataques.
De acuerdo con los 100 últimos incidentes atendidos por Deloitte en Latinoamérica, los tres tipos de incidentes más recurrentes han sido:
- Disrupción por Ransomware: El ransomware generalmente conlleva una interrupción de las operaciones. El tiempo en que puede tardar en recuperarse una organización depende de que tan preparada este para hacer frente a este tipo de ataque, lo que puede llegar a ser varias semanas y por supuesto conlleva pérdidas grandes incluyendo el daño reputacional.
- Robo de Información propia, y/o de terceras partes: El cual tiene generalmente un mayor impacto reputacional, además de multas regulatorias, resarcimientos económicos por incumplimiento de contratos y deberes de confidencialidad. Las implicancias dependen mucho del tipo y confidencialidad de la información exfiltrada.
- BEC (estafa sobre funcionarios con capacidad de pago / giro de fondos): Este tipo de fraude ha sido muy frecuente en Latinoamérica, donde los ciberdelincuentes hacen una investigación para ver cómo se emiten los pagos, quién los envía, la frecuencia, cómo se escriben los correos, y se logra engañar a los funcionarios mediante un correo que solicita ejecutar una orden de pago.
Es necesario que, dentro de las organizaciones, desde sus consejos y comités directivos despierten y actúen frente a esta situación, si no lo han hecho hasta ahora. Queda claro que esto no es un tema tecnológico o sólo de seguridad de la información, es un asunto que le corresponde atender al negocio. Las organizaciones deben trabajar diligentemente en cerrar esa brecha en materia de ciberseguridad.
Para poder ganarle a esta ciber tormenta se requiere que las organizaciones hagan una labor grande que es el cierre de esa brecha, comenzando con una estrategia de ciberseguridad que les permita madurar sus capacidades de ciberseguridad en los ámbitos de la tecnología, procesos y personas para poder convertirse en organizaciones más seguras, vigilantes y resilientes, estando a la altura de las circunstancias y preparadas para el futuro.