Los fraudes y ataques asociados a las nuevas tecnologías han llegado a todos los estamentos sociales. Pero con especial virulencia a los entornos industriales. La importancia de apuntalar la ciberseguridad como herramienta contra los «hackers» es la asignatura pendiente de este años.
30 ene 2022 . Actualizado a las 05:00 h.Dejamos atrás un año marcado por una etapa de «iluminación digital» (digital enlightenment), acelerada por la pandemia. De manera consciente o no, todos hemos adoptado con bastante naturalidad nuevos hábitos digitales, al tiempo que las nuevas tecnologías nos han permitido optimizar el bien más valioso: nuestro tiempo.
Pero el 2021 también será recordado por la consolidación del cibercrimen como una de las mayores preocupaciones de la dirección de las empresas, independientemente del sector o tamaño. Este año todos hemos conocido casos de empresas que han visto gravemente impactado su negocio y reputación a causa de un ciberataque. La comunidad empresarial ha interiorizado la idea que subyace a la resiliencia ante este tipo de acciones: «La protección total no existe, todas las empresas sufrirán un ciberataque tarde o temprano, lo importante es protegerse y estar entrenado para detectar y responder».
En los meses venideros, todo apunta a que crecerá el número de acciones contra los sistemas informáticos y que estos serán cada vez más comunes, en cuanto a número de ataques y pérdidas provocadas. Las amenazas de ciberseguridad que llegan de la mano de la digitalización seguirán proliferando en nuestra vida personal y en nuestros negocios. Los esfuerzos de los grandes mandatarios del mundo para intentar acotar estos riesgos no evitan que sea un negocio cada vez más lucrativo y seguro para el crimen organizado.
Los ataques serán cada vez más peligrosos y sofisticados. El ransomware (extorsión a través del cifrado de datos) seguirá siendo uno de los asaltos más temidos en las organizaciones. Tal y como ocurre con los virus pandémicos, esta intimidación evoluciona y es cada vez más peligrosa. Nos veremos obligados a convivir con ella a través de una doble extorsión: solicitar un rescate para recuperar los datos cifrados y la amenaza de filtrar los datos confidenciales de la compañía. Incluso, como ya hemos empezado a ver este año, a lo anterior se le suma el chantaje a los propios clientes de las empresas atacadas. El impacto reputacional y económico ya es y será cada vez más importante. Pagar no será —y no debe ser— una opción. Existe una tendencia clara de reducir las capacidades de financiación y algunos países, para evitar que las empresas paguen, ya están obligando a comunicar a las autoridades cuando se sucumbe a la extorsión y se paga el rescate.
Otra de las grandes tendencias que se atisban es la mayor adopción de tecnología cloud. La gran mayoría de empresas optan por los servicios en la nube y deben prestar especial atención a la resiliencia de los entornos híbridos, más frecuentes, que combinan sistemas en cloud e instalaciones propias.
Deberemos también prestar atención al contexto de teletrabajo, que ha cambiado la forma de interactuar y que implica adaptar la gestión de sus nuevos riesgos. El incremento del comercio electrónico será fuente de incidentes y habremos de mejorar su seguridad, así como de quienes interactuamos con ellos. Los ataques seguirán evolucionando en materia de ingeniería social y sus derivados, como el fraude al CEO (conseguir transferencias económicas fraudulentas a través de la suplantación de responsables de la propia organización que autorizan la transacción). Tecnologías como deep fake (suplantación de identidad a través de la modificación de imágenes o voces usando técnicas de Inteligencia Artificial) ya están permitiendo realizar estos ataques con mayor sofisticación y grado de efectividad. En el 2022, los empleados lo tendrán muy complicado para distinguir si una llamada —o videollamada— de su CEO es o no ficticia poniendo a prueba los procedimientos de la organización y la concienciación en ciberseguridad.
Los cibercriminales apuntan cada vez más a las líneas de flotación de nuestros negocios y ya ponen el punto de mira en los entornos industriales, producción, logística (entornos OT) y, de manera general, en todos los dispositivos conectados (IoT). Su protección merecerá una estrategia y dotación de ciberseguridad específica y significativa. En este ámbito es necesario no olvidar la seguridad de los productos y servicios proporcionados por terceras empresas proveedoras como, por ejemplo, la de los componentes que conectan un vehículo a internet. En este sentido, también cabe destacar que otro asunto que seguirá en el punto de mira es la gestión y coordinación de la seguridad de las terceras empresas que proveen servicios o productos (supply chain), como prolongación de nuestro nivel de protección, y será clave en la protección y respuesta ante ciberataques de la propia empresa.
En conclusión, los próximos 12 meses nos plantean un escenario con muchos frentes en el ámbito de ciberseguridad. Un escenario nada sencillo dada la gran carencia de profesionales especialistas de ciberseguridad. El reskilling y la robotización de las operaciones de ciberseguridad serán dos alternativas que estarán muy presentes el próximo año. Con todo, queremos pensar en positivo y apostar por un 2022 en el que la función de ciberseguridad se consolide en muchas organizaciones para garantizar un negocio sostenible y resiliente. Y dejamos en el aire un nuevo reto: ¿Cómo conseguimos acercar la ciberseguridad a la cadena de valor de nuestros negocios? ¿De qué manera podremos relacionar los resultados económicos de una empresa con las inversiones y los gastos derivados de la ciberseguridad?