Este nuevo año que empezamos marcará un punto de inflexión para las empresas en el ámbito de la ciberseguridad. Por un lado, se prevé un aumento generalizado en todos los tipos de ataques que hacen uso de inteligencia artificial, como puede ser el spear phishing, vishing usando motores de IA, deepfake y otros tipos de estafas.

Por otro, las empresas deberán hacer un esfuerzo sin precedentes para adaptarse a las diferentes regulaciones que les afectarán, como pueden ser DORA, NIS2, ENS, ISO27001, EIOPA, GDPR. Estas regulaciones tendrán un impacto significativo especialmente en aspectos como la resiliencia operativa, la respuesta a incidentes, la monitorización, la concienciación o el reporting.

Así lo entiende José Luis Díaz, CEO de Advens España y Portugal: "El hecho de que los ciberataques sean cada vez más generalizados tendrá implicaciones no sólo en grandes empresas, sino que las pequeñas y medianas empresas empezarán también a desarrollar sus programas de ciberseguridad en mayor o menor medida democratizándose la demanda de algunos servicios que pasarán a convertirse en básicos para la mayoría de las empresas".

[De la inteligencia artificial a la confianza cero: las tendencias que marcarán la ciberseguridad en 2024]

Hablamos con el experto en ciberseguridad sobre esta panorámica, sus implicaciones para el tejido productivo y cómo esta compañía está encarando los retos que marca el mercado, con aproximaciones innovadoras como como el hacking ético:

P: ¿Cuál es la perspectiva de la ciberseguridad en un momento como éste, en que se ha situado como una de las grandes amenazas no ya tecnológicas, sino empresariales y sociales?

R: Cada vez más, los ciberataques se están convirtiendo en uno de los principales riesgos para las empresas, hasta tal punto que raro es el día en el que no vemos algún titular de este tipo en los periódicos nacionales. Esto hace que la preocupación de los directivos aumente y que se pregunten qué se puede hacer para evitar sufrir este tipo de ataques. Pues bien la respuesta es nada, no podemos hacer nada para evitar que nos ataquen, lo que podemos hacer es estar preparados para cuando llegue el momento.

Y para ello es fundamental poner en marcha un programa de protección en ciberseguridad, que debe estar basado en riesgo. ¿Qué quiere decir esto? Que analicemos qué riesgos tenemos y nos centremos en poner soluciones para mitigar estos riesgos, y mitigarlos hasta el punto en el que la dirección considere que puede aceptarlo. En otras palabras, el presupuesto que invirtamos en protegernos, debe estar alineado con el valor de lo que queremos proteger.

La parte más importante en la protección está en definir una estrategia de ciberseguridad que cubra todos los posibles puntos de entrada, combinando soluciones de prevención como son la concienciación el bastionado o las medidas de seguridad perimetrales, con soluciones de detección/reacción como el SOC, un elemento clave que en la actualidad está al alcance de todo tipo de empresas.

P:  ¿Cómo puede enfrentarse esta amenaza desde la perspectiva de las empresas? Imagino que requiere de un cambio de cultura en la forma de afrontar estos retos y de importantes inversiones...

R: En el mundo de la ciberseguridad sabemos que el eslabón más débil de la cadena es siempre el factor humano. Por muy robustas que sean las medidas de seguridad, un error humano puede tener un gran impacto en la compañía. Por todo ello, la concienciación se antoja como una pieza clave en la estrategia de protección de las empresas. Para facilitar esta labor, sobre todo a clientes, es importante desarrollar un portfolio de servicios de concienciación diferencial para mejorar la cultura de ciberseguridad de los empleados.

En nuestra experiencia ¿qué debería tener este planteamiento? Consideramos que es crítico captar y mantener la atención de los empleados y, para ello, es aconsejable huir de los tradicionales cursos de e-learning donde el empleado desconecta a los pocos minutos. Estas formaciones han de sustituirse por un programa de diversas píldoras informativas, muy cortitas en tiempo, pero con una alta repetición a lo largo del año.

P: ¿Cómo se materializan esos contenidos de divulgación en ciberseguridad?

R: Se pueden planificar acciones como pueden ser phising, vishing, pequeños vídeos, píldoras, simulaciones de crisis, ejercicios de escritorio, imágenes, preguntas cortas y muchas otras cosas que ayudan a conformar un programa completo de concienciación adaptado al presupuesto del cliente y que consigue ir subiendo la cultura de seguridad de los empleados. 

P: Estamos viendo cómo las Administraciones Públicas cada vez sufren más ciberataques, tenemos el ejemplo reciente del ayuntamiento de Mallorca, hace unos meses el de Sevilla, distintos hospitales... ¿Por qué las infraestructuras y la ciberseguridad de las administraciones públicas están menos actualizadas e innovadas que las empresas privadas? ¿Falta inversión en ciberseguridad pública?

R: Es cierto que últimamente las Administraciones Públicas están sufriendo más ciberataques y para entender el porqué es necesario entender que los actores maliciosos que los provocan tienen una serie de motivaciones que la mayoría de las veces son económicos, pero que también pueden ser por notoriedad, reivindicativos (hacktivismo), demostración de superioridad o algún otro.

En las Administraciones Públicas ocurre que muchas veces se juntan varios de estos factores con lo que las vuelve mucho más atractivas para los ciberdelincuentes. Estos motivos, ligados al hecho de que la administración pública no siempre cuenta con el presupuesto necesario para poner en práctica un adecuado programa de ciberseguridad y por tanto están menos protegidas, hacen que se conviertan en un blanco más deseado.

P: ¿Cuán importante es en este punto la colaboración público-privada?

R: En este punto, la colaboración público privada se vuelve esencial. En este sentido, hay organismos como CERT EU que ayudan enormemente a todo el sector, porque ahí se comparte información sobre ataques producidos y los métodos de protección más adecuados para hacer frente a estos ataques.

P: El aumento de ciberataques y el desarrollo de su complejidad nos ha hecho buscar nuevas formas de prevenirlos y enfrentarnos a ellos, ¿en qué consiste el Hacking ético y qué beneficios tiene a la hora de hacer frente a la ciberdelincuencia?

R: El hacking ético consiste en realizar las mismas técnicas de ataques que utilizarían los ciberdelincuentes para comprobar la eficacia de los controles de seguridad de nuestros clientes. En otras palabras, evaluar la seguridad de un sistema informático o de una red, de manera legal y ética y con el consentimiento de nuestros clientes, con el objetivo de identificar y corregir posibles vulnerabilidades antes de que sean explotadas por ciberdelincuentes.

Estos ejercicios pueden realizarse tipo “caja negra”, sin información por parte de un cliente, o bien “caja blanca” o “caja gris”, según la cantidad de información que el cliente desee proporcionar con el objetivo de orientar los ataques de nuestros equipos a determinadas zonas para testearlas. Estos servicios son uno de los más demandados por los clientes debido a los beneficios que aporta, ya que permite a los clientes conocer el grado de robustez de su organización (tanto a nivel de infraestructura como de personas) ante el ataque de un actor malicioso.