Recientemente el Foro Económico Mundial, en colaboración con la empresa Accenture, publicó el Panorama de ciberseguridad global 2022 (Global Cybersecurity Outlook 2022), que me parece un informe muy interesante, aunque un tanto alejado de nuestra realidad en algunos aspectos.
Gran cantidad de los hallazgos y las recomendaciones son valiosos. El enorme impulso que le propinó la pandemia a la digitalización también aumentó los riesgos de ciberseguridad. El trabajo remoto y la integración de las cadenas de valor incrementan tanto la eficiencia como la superficie de ataque, y considerablemente el riesgo.
En el informe se analizan profusamente las brechas entre los ejecutivos encargados de la seguridad de la información del más alto nivel u oficiales en jefe de la seguridad de la información (CISO, por sus siglas en inglés) y los altos ejecutivos de las organizaciones.
En nuestro medio, son muy pocas las organizaciones que cuentan con un CISO y aquellas donde hay una persona a cargo de la seguridad de la información no la tienen al más alto nivel, suele ser parte del departamento técnico.
El informe señala que tanto las organizaciones privadas como las estatales deben dar la batalla es este campo, pues la ciberseguridad de un país es un asunto muy serio, las instituciones manejan vastas bases de datos de enorme valor y cada vez se crea más infraestructura crítica que depende de la tecnología.
Seguridad nacional
La estrategia de ciberseguridad es un asunto de seguridad nacional. No se trata solo de defenderse de ataques inevitables, sino también de desarrollar resiliencia para recuperarse rápidamente cuando los ataques sean exitosos.
El trabajo de la ciberseguridad no es una labor aislada, las organizaciones tienen que interactuar con varias partes interesadas (stakeholders), en parte debido a la pandemia y en parte por la necesidad de ser más eficientes y competitivas. Las organizaciones interactúan de manera digital con clientes, proveedores, reguladores, gobiernos locales y nacionales, etc.
La interacción digital entre muchos conforma un ecosistema en el cual la seguridad de la totalidad es tan fuerte como la del más débil. El tamaño y la complejidad de los ecosistemas informáticos tienden a ser proporcionales a la magnitud de las organizaciones, es decir, cuanto más grande la organización, mayor es su ecosistema y, por tanto, más difícil será detectar cuál es el eslabón más vulnerable.
En Costa Rica, la organización más grande es el Estado. Yo no sé quién es el responsable de custodiar la ciberseguridad del país, o de cuidar la ciberresiliencia del ecosistema (en el que participamos casi todos). Para asegurar la resiliencia cibernética, hacen falta políticas, procesos y estándares que deben ser adoptados por todos. Esto requiere transparencia y confianza, lo cual no abunda en nuestro medio.
Las brechas detectadas en el informe entre los directores de seguridad de la información (CISO) y los directores ejecutivos (CEO) se refieren principalmente a percepciones, por ejemplo, mientras un 92% de los CEO consideran que la ciberresiliencia está integrada a las estrategias de administración del riesgo de la organización, solo un 55% de los CISO están de acuerdo.
Mientras un 84% de los ejecutivos consideran que la ciberresiliencia es una prioridad organizacional con apoyo y dirección del más alto nivel, solo un 68% cree que es una parte fundamental de la administración del riesgo. De hecho, muchos CISO todavía expresan que no son consultados cuando se van a tomar decisiones de negocios, lo que origina resultados menos seguros.
Un 59% de los encuestados consideraron retador responder a un incidente de ciberseguridad debido a la escasez de destrezas en sus equipos.
Amenazas
La mayor amenaza identificada en el estudio es el ransomware o software que secuestra recursos informáticos, por lo general datos. Se trata de un virus informático que infecta uno o varios equipos y bloquea el acceso, o encripta los datos, empezando por las copias de respaldo.
Se exige una recompensa, por lo general en bitcoines, para recuperar el control. Tanto la frecuencia como la sofisticación de este tipo de ataques está aumentado constantemente, ya se han identificado más de 100 ransomwares distintos.
La segunda amenaza identificada es la ingeniería social, por medio de la cual engañan a usuarios y funcionarios para que revelen datos que permiten acceder al sistema. Contra este problema, las redes sociales no ayudan, todo lo contrario, son terreno fértil para la ejecución de tan nefasta ingeniería.
La tercera amenaza, en grado de preocupación, es la actividad maliciosa interna, esto es, empleados, exempleados o contratistas, quienes hacen uso indebido de información, claves y otras autorizaciones que en algún momento obtuvieron de manera lícita.
Lo anterior lo acentúa el constante crecimiento de los datos en internet. Hace dos meses, cada minuto en Internet había 500 horas de video subidos a YouTube, 198 millones de e-mails enviados, 2 millones de contactos realizados en Tinder, $1,6 millones gastados en línea, 69 millones de mensajes enviados por WhatsApp y 28.000 suscriptores de Netflix conectados a la plataforma.
Los cibercriminales están aprovechando esa gran cantidad de tráfico con las últimas tecnologías y métodos y, sobre todo, colaboran entre ellos. Hoy es relativamente fácil contratar hackers para toda clase de fechorías, incluidos el ingreso a cuentas en las redes sociales, phishing (con sitios web falsos de bancos, por ejemplo) o incluso para cambiar notas de estudiantes.
En la web oscura, es posible contratar técnicos inescrupulosos por sumas asombrosamente bajas. No es difícil imaginar el impacto que el hackeo de las cuentas en las redes sociales de un candidato puede tener en un determinado momento.
Cómo trabajar la ciberseguridad
Si todo lo anterior pinta un panorama sombrío, es porque lo es. Pensar que los cibercriminales no van a perder el tiempo atacando a una persona u organización por ser pequeña es dormir del lado equivocado. A través de un individuo o una pyme es posible llegar a una gran empresa o ministerio, pues todos estamos cada día más interconectados.
La resiliencia hay que buscarla en los ecosistemas, y para ello se requiere —como mencioné antes— confianza y transparencia. Siempre se ha sabido que compartir información es una de las armas más útiles en la batalla contra los cibercriminales. Empresas e instituciones son, sin embargo, reacias a publicar sus incidentes.
Algunas medidas para reducir la reticencia son los sistemas para compartir información de manera anónima, suscribir acuerdos de obligación de divulgación de información y protección legal contra demandas civiles o penales.
Las empresas e instituciones, sin excepción, deben trabajar activamente para mejorar su ciberseguridad y procurar un alto grado de ciberresiliencia; los esfuerzos deben ser apoyados y dirigidos desde el más alto nivel.
Yo entiendo que no es agradable para los jerarcas lidiar con este problema, pero no tengo la menor duda de que no hacerlo es sumamente irresponsable.
Artículo publicado en el periódico La Nación
