El imparable avance de la digitalización está haciendo que las fronteras entre países se diluyan cada vez más y que la actividad de las empresas salte del mundo al físico al digital, aspectos ambos que presentan importantes retos a la hora de garantizar que sus activos, sus actividades y sus datos se desarrollan en un entorno seguro. 

A ello se suma la profileración del uso de dispositivos móviles y de soluciones 'contactless', impulsadas de forma considerable como consecuencia de la pandemia de la covid-19, que recurrió a este tipo de herramientas sin contacto para intentar frenar la expansión del virus. 

En todo este proceso, el desarrollo tecnológico, como, por ejemplo, la inteligencia artificial (IA), la realidad virtual o la realidad aumentada, se han convertido en aliados de empresas y ciudadanos no solo para captar los beneficios de la sociedad contactless y generalizar su uso, sino para que todo esto se haga en entornos más seguros. 

Investigadores de la Universidad Carlos III de Madrid (UC3M) y representantes de empresas del sector tecnológico abordaron todos estos aspectos en un encuentro celebrado esta semana por la institución universitaria, cofinanciado por la Comunidad de Madrid y los fondos FEDER, en el que se puso de relieve el relevante papel que juega la tecnología en esta sociedad contactless.

Juan Tapiador, investigador corresponsable del grupo COSEC (Computer Security Laboratory) de la UC3M, señaló que las ciberamenazas cambian a medida que los atacantes encuentran una oportunidad de negocio, como ha ocurrido durante la pandemia, pero están bastante estabilizadas desde hace una década, cuando el cibercrimen surgió como una "industria perfectamente engrasada". 

Juan Tapiador, Florabel Quispe y Telmo Zarraonandia, investigadores de la UC3M.

Asimismo, apuntó que las principales causas por las que estas amenazas tienen un "relativo éxito" son bien conocidas, pero es extremadamente difícil abordarlas. A menudo, tienen que ver con la propia complejidad de la tecnología, que no fue inventada para ser segura. Y es no es fácil desarrollar sistemas que sean seguros y usables por la mayor parte de la población. 

A esto se ha sumado que las empresas que han apostado por la ciberseguridad han sido "barridas por el mercado", ya que hasta hace poco no estaban valoradas por la sociedad y la regulación no obligaba a ello. "En este campo estamos acostumbrados desde hace años a ir por detrás de los avances y los atacantes", subrayó. 

Ausencia de perímetro

En este contexto, Isabel Tristan, directora de Soluciones de Seguridad en España, Portugal, Grecia e Israel de IBM, destacó que proteger algo cuando no existe un perímetro concreto es uno de los retos más importantes hoy en día, debido al auge de fenómenos como el teletrabajo o la nube híbrida. A esto se suma la necesidad de garantizar una mayor confianza.

Ante esta situación, Tristán recomendó a las empresas "nunca confiar y siempre verificar", dado que, como ya no existe ese perímetro, tenemos que asegurar que cada usuario, cada dispositivo y cada aplicación que se conecta sean quien dicen ser.

Asimismo, instó a implantar "el mínimo privilegio" para que solamente se tenga acceso a las cosas que se necesiten y reducir la superficie de ataque. Otro aspecto clave es "asumir que todos vamos a ser comprometidos" y hacer simulacros y practicar para ir mejorando la respuesta y que sea "lo más rápida posible y con el menor impacto".

Otro aspecto que está obligando a prestar más atención a la ciberseguridad es el auge de los dispositivos móviles. Así, Tapiador apuntó que no es que sean objetivamente menos seguros otros, sino que su uso predominante por parte de la población hace que los atacantes busquen explotar este hecho.

Donde sí hay diferencias importantes es en cuanto a la privacidad. "Los dispositivos móviles son una auténtica pesadilla de la privacidad", afirmó Tapiador, quien recalcó que la regulación y el debate social van "un poco por detrás".

A este respecto, agregó que hay que mejorar la concienciación de la sociedad sobre estos aspectos, "algo mucho más difícil de lo que parece". Así, remarcó que la aproximación tradicional a fuerza de charlas puntuales "no funciona", sino que requiere programas de conciencia más continuos, activos y profundos.

El papel de la tecnología

Gonzalo Aréchaga, jefe de Producto e Innovación de Thales Group, remarcó que debido a todo este auge de los dispositivos móviles es imposible monitorizar todo y el volumen de datos es "inalcanzable". Por ello, abogó por utilizar técnicas basadas en nuevas tecnologías como la inteligencia artificial o el machine learning para afrontarlo.

Con estas herramientas, como las que desarrolla Thales, se pueden detectar anomalías y predecir posibles fallos del sistema que un humano por sí solo no sería capaz de detectar. Por ejemplo, un operador de telecomunicaciones puede averiguar si una anomalía en el tráfico es indicación de una congestión, un fallo del sistema o un ataque de alguien que intenta extraer datos del sistema.

Por otro lado, apuntó que hoy en día es incluso difícil saber qué se han llevado los ciberatacantes después de entrar en los servidores, información que puede ser muy valiosa y que suele acabar en la red profunda o red oscura.

Para evitar dejar rastro cuando se entra en la dark web a ver qué hay de nuestra empresa, Thales cuenta con una herramienta forense que permite hacer una investigación muy sencilla y con gran profundidad. Así, apuntó que una vez, en una prueba para una gran cadena de distribución, descubrieron una "cantidad asombrosa de información en la red oscura".

Isabel Tristan (IBM), Gonzalo Aréchaga (Thales Group) y Unai Extremo (Virtualware) en la mesa de la UC3M

En esta línea, Tristán resaltó en IBM están apostando por hacer llegar la IA a las empresas generando casos de usos concretos en sus distintas unidades de negocio. Así, defendió que en el caso de la ciberseguridad, la IA puede "ayudar a hacer las cosas más fáciles" y que sean "más ciberresilientes".

Por ejemplo, emplean la IA para comprobar que los usuarios son quienes dicen ser ante comportamientos sospechosos, para detectar vulnerabilidades y decidir cuáles son prioritarias de abordar o para mejorar la respuesta. Otro uso es automatizar las tareas más repetitivas de los equipos de ciberseguridad y dejar que los profesionales se dediquen a las cuestiones más relevantes.

Derecho internacional

Otro aspecto que se trató en la mesa fue cómo el derecho internacional aborda todo lo relacionado con los ataques que se producen en el ciberespacio, de la mano de Florabel Quispe, investigadora de los grupos Cambios actuales en la comunidad internacional y su orden jurídico y Globalización, Procesos de Integración y Cooperación Internacional de la UC3M

Quispe remarcó que en su origen el derecho internacional estaba preparado para repeler ataques armados, pero no en el ciberespacio. Aún así, añadió que se está adaptando a esta nueva realidad, porque como cualquier derecho se desarrolla conforme a las necesidades que van surgiendo. "Y esto toma su tiempo", apostilló.

En este sentido, detalla que el artículo 2 de la Carta de las Naciones Unidas establece determinados principios que deben regir o regular la relación entre estados, que se consideran los principios esenciales del derecho internacional. Lógicamente, en la época de su elaboración los ataques cibernéticos no estaban presentes.

Hoy en día, pese a las peticiones de Rusia, China y otros países del Este, que reclaman la adopción de un tratado internacional sobre el ciberespacio, la postura vigente es la defendida por Estados Unidos. Esta contempla que el ciberespacio se configura como un ámbito sujeto al derecho internacional, no con tratados nuevos, sino con los ya inexistentes.

Además, otro reto es cómo abordar los ataques cibernéticos atribuidos, pero no necesariamente constatados, de un estado a otro, que son cada vez más frecuentes y causan graves daños económicos, políticos, sociales y de diversa índole de los estados víctima.

Ante este panorama, Quispe ve indispensable el desarrollo de un tratado internacional sobre ciberespacio que determine la responsabilidad de los estados, pero ve difícil que esto ocurra dado que hay "muchos intereses de por medio". "Lo cierto es que el derecho internacional debería ir a la par del desarrollo de la tecnología, así como ha ido a la par del desarrollo de la sociedad internacional desde 1945 hasta hoy", afirma.

Beneficios de la realidad virtual

El encuentro no sólo abordó la importancia de la ciberseguridad, sino también todas las oportunidades que ofrecen las tecnologías más avanzadas para impulsar una sociedad sin contacto, como pueden ser la realidad virtual o la realidad aumentada. 

Telmo Zarraonandia, investigador del grupo de investigación de Sistemas Interactivos (DEI), apuntó que la realidad virtual se encuentra en una fase de mejora progresiva de la tecnología y de explosión de uso tras "muchos años esperando" por el fracaso de los primeros dispositivos, mientras que Unai Extremo, consejero delegado de Virtualware, subrayó que ya estamos en cuartas generaciones de dispositivos.

"Ya tenemos dispositivos capaces de ofrecer una experiencia inmersiva de calidad", afirma Zarraonandia, que destaca en especial los de gama media, que dan una experiencia bastante aceptable a un precio razonable. Aún así, ve necesario reducir más su coste, mejorar su confort y encontrar una killer aplication que arrastre a todo el mundo.

El investigador destacó que su capacidad de ofrecer una sensación de presencia en un lugar en el que no se está realmente abre un montón de posibilidades de uso en campos como la educación, el entretenimiento o el laboral. Aún así, advirtió de que esto genera el riesgo de despegarnos de la realidad y aislarnos del mundo real.

En este sentido, Extremo añadió que la tecnología de realidad virtual ya está lo suficientemente madura para el ámbito empresarial con unos costes y prestaciones que, con un caso de uso adecuado, están "perfectamente justificados". Además, incidió en que sus prestaciones y su ergonomía son cada vez mejores.

El consejero delegado de VirtualWare también diferenció lo que ocurre en el mercado de consumo, donde el precio sigue siendo una barrera importante, y el empresarial, donde sí hay beneficios que justifican el pago. Así, mencionó, por ejemplo, procesos educativos y formativos o cuestiones de revisiones, diseño, marketing e ingeniería.

Ahorro de costes

Además, agregó entre las grandes empresas que han sido early adopters de la tecnología las pruebas de concepto muestran cómo están consiguiendo ahorrar costes, generar nuevas oportunidades y mejorar sus procesos utilizando sistemas de realidad virtual. Con vistas al futuro, aseguró que muchas empresas, de muchos sectores y de cualquier tamaño, podrían beneficiarse de esta tecnología.

Pero para ello, ve necesario facilitar el acceso y el despliegue de esta tecnología en las empresas, que todavía necesitan equipos muy especializados o contratar otras compañías para desarrollar estas pruebas. Para acelerar su adopción, desde VirtualWare quieren generar plataformas que hagan que las empresas accedan a esta tecnología y la escalen y desplieguen de una manera sencilla.

En cuanto la realidad aumentada, Zarraonandia señaló que los dispositivos son todavía son muy pesados y caros y ve mayor proyección en la basada en dispositivos móviles. Entre los beneficios que aporta, mencionó su capacidad de complementar el mundo real con información virtual, algo que ya se está aplicando en la educación.

Sin embargo, advirtió de que todo esto también conlleva sus riesgos, sobre todo la pérdida de privacidad. Así, incidió en que el uso de cámaras fotográficas y filtros hace que tengamos que proteger toda la información biométrica que se proporciona y ser conscientes de que igual se está compartiendo de una manera no adecuada o poco responsable.