CISA: "Las compañías de ciberseguridad existen gracias a décadas de poner tecnología insegura en el mercado"

"Las compañías de ciberseguridad existen debido a décadas de tecnología insegura por diseño. Las empresas tecnológicas han estado enfocadas en mejorar sus funcionalidades, en reducir costes, en flexibilizar sus plazos de entrega… pero la ciberseguridad no era una prioridad para ellas". 

Una verdad como un templo de grande que lleva rondando un buen tiempo en los mentideros de la industria digital y que, sin embargo, ninguna gran figura pública se había atrevido a verbalizar. Hasta ahora, cuando Jen Easterly, directora de CISA, ha tomado la palabra para denunciar estas prácticas.

El Certified Information Systems Auditor (CISA) es el mayor auditor de ciberseguridad del mundo y avalado por ISACA. Por tanto, no es un ente cualquiera en estas lides. A su cargo corre asegurar el nivel de protección y calidad del software que millones de empresas y particulares usan a diario. Y con tamaña acusación por delante, el diagnóstico no deja de ser preocupante.

"Cuando se produce un ciberataque, solemos echar la culpa a la empresa que lo sufre. En algunos casos, con todo el sentido, porque no han parcheado alguna vulnerabilidad que es lo más básico. Pero no nos preguntamos por qué ese software tiene tantos agujeros y necesita ser parcheado cada semana", incidió Easterly durante una ponencia en CES 2023.

[CES 2023: una edición decisiva para recuperar su posición en el Olimpo de las ferias 'tech']

Pregunta sin respuesta, o al menos una respuesta que muchos no quieren oír, y que debe hacernos replantear las bases mismas sobre las que se entiende la ciberseguridad. En palabras de la directora de CISA, "no podemos aceptar que en diez años el mundo será mejor o peor que ahora. Vivimos en un mundo en que todo está basado en tecnología que ha sido creada de forma insegura. Por eso, cuando hablamos de cybersecurity [ciberseguridad] deberíamos hablar de cybersafety [ciberprotección]".

Juegos de palabras aparte, Jen Easterly reclama una aproximación diferente a la ciberseguridad sostenible que pase, en primer lugar, porque las compañías fabriquen software seguro "por diseño y por defecto". También exige que se redefinan los principios de responsabilidad corporativa ante las ciberamenazas y que se produzca un cambio de paradigma "en la forma en que gobiernos y empresas trabajan para que sea más colaborativa y bidireccional".

[El 2023 será clave para la ciberseguridad: "Las empresas nunca han estado tan expuestas a los ciberataques"]

"Además, tenemos que saber lo que hay dentro de nuestros productos tecnológicos al igual que sabemos lo que hay en nuestra comida", añadía la experta. No en vano, el CISA ya ofrece una suerte de etiquetado estandarizado que garantiza la calidad del software para dotar de confianza a los consumidores que acceden a una determinada herramienta digital.

La respuesta de la industria

A las alusiones directas (directísimas) de Easterly respondió en el acto George Kurtz, CEO de Crowdtsrike. El ejecutivo de la compañía de ciberseguridad echó balones fuera en primer término, aludiendo a que "con el incremento de la complejidad de la evolución tecnológica, también lo hace la ciberseguridad".

"Hace 30 años apenas eran unas pocas páginas web con un firewall, ahora tenemos mucho más, como la nube", explicó desde Las Vegas. 

Pero ante la reiteración de los comentarios del CISA sobre la dejadez de las empresas a la hora de garantizar su propia ciberseguridad, George Kurtz tuvo que entrar al trapo. Y para él, la razón de la inseguridad constante no radica en un rol insuficiente de las tecnológicas, sino en el escaso gasto por parte de los clientes finales en soluciones de seguridad como las que vende su compañía.

"Cuando gastas dinero y tienes mucho riesgo, sueles estar bien preparado. El problema viene cuando operas en un sector con mucho riesgo y no dedicas partidas a la altura a la ciberseguridad", sentenció el CEO de Crowdstrike.