Explorando el futuro de la ciberseguridad

30/05/2023

Kevon Swift – Líder de Asuntos de Seguridad Pública en LACNIC

Si ha participado en algún evento tecnológico importante durante la última década, seguramente se habrá topado con acaloradas discusiones sobre ciberseguridad. Este es un tema que ha compartido el protagonismo con temas de moda como la computación en la nube, la tecnología cuántica, la Internet de las cosas y la inteligencia artificial. Pero en medio de esta estridente cacofonía, ¿qué hace que un panel sobre ciberseguridad organizado durante el recientemente concluido evento LACNIC 39 sea tan relevante e importante? La respuesta está en las profundas transformaciones que han dado una nueva forma al panorama cibernético en los últimos diez años, revelando verdades inquietantes sobre el estado lamentablemente poco desarrollado de la ciberhigiene en el mundo. Sin embargo, en medio de las inquietantes revelaciones, surge un rayo de esperanza. La sabiduría compartida en anteriores conferencias de ciberseguridad, con énfasis en el elemento humano y el poder de la colaboración, sigue siendo tan pertinente hoy como siempre.

En LACNIC 39 tuve el privilegio de moderar el panel titulado “El Futuro de la Ciberseguridad”, acompañado por el Sr. Pablo Álvarez, SIIES Gobierno de Yucatán; el Sr. Sabas Casas, ACCENTURE México; el Sr. Wilberth Pérez, Rector del CSIRT-UADY (Universidad Autónoma de Yucatán; el Sr. John Brown, Team Cymru Senior Security Evangelist; y el Embajador Claudio Peguero, Asesor de Asuntos Cibernéticos del Ministerio de Relaciones Exteriores de la República Dominicana. Nuestros cinco estimados expertos en ciberseguridad arrojaron luz sobre asuntos urgentes como el estado actual de la ciberhigiene, las tendencias mundiales en materia de ciberdelitos e incidentes, y nuestras defensas más potentes contra los riesgos inminentes que acechan en el ciberespacio. La conversación comenzó ahondando en las obviedades y los lugares comunes que han plagado nuestra decepcionante ciberhigiene. Una de estas revelaciones fue la desafortunada relegación de la ciberseguridad a un mero problema informático, a menudo infravalorado por quienes toman las decisiones empresariales, que no logran comprender la naturaleza multifacética de sus riesgos. El panel identificó errores de comunicación, equivalentes a “pérdidas en la traducción”, entre los directores de seguridad de la información (los CISO) y quienes priorizan las ganancias financieras a corto plazo dentro de las organizaciones. Resulta desalentador que aún persista una visión desinformada del campo de la seguridad de la información, lo que perpetúa la idea errónea de que las medidas de seguridad se reducen únicamente a la compra de firewalls y antivirus. Pensándolo bien, la desconexión entre los profesionales de las diversas áreas no es un fenómeno nuevo. Entonces, ¿qué es lo que realmente ha cambiado en nuestro entorno?

Son tres las razones de peso que nos impulsaron a actuar en esta ocasión. En primer lugar, la pandemia global nos impulsó a una dependencia sin precedentes de los servicios y las tecnologías de Internet, introduciendo así una ola de clientes para quienes lo digital era nuevo y que tenían diferentes niveles de competencia tecnológica y conciencia en el ámbito digital. Han surgido tendencias alarmantes que revelan que tanto los adultos jóvenes como los adultos mayores son particularmente vulnerables a ser víctimas del ciberdelito. Sus actitudes relajadas hacia la privacidad de los datos o su limitada familiaridad con las herramientas digitales, como en el caso de las personas mayores de 75 años, los ha convertido en objetivos fáciles. En segundo lugar, la rápida digitalización que se observó en los gobiernos, las empresas y el sector educativo ha superado el desarrollo de sólidos planes de contingencia y seguridad por parte de los CISO. Al migrar rápidamente los activos al ámbito virtual, se hizo evidente la necesidad crítica de contar con medidas de seguridad integrales. Sin embargo, la implementación de estas medidas tuvo dificultades para seguir el ritmo acelerado de la transformación digital. Además, el aumento del trabajo remoto y la adopción generalizada de dispositivos usados como estaciones de trabajo requirieron un aumento inmediato y sustancial de las medidas de ciberseguridad. Un informe de 2020 sobre el argumento de negocio para una mejor ciberseguridad arrojó luz sobre una realidad inquietante: a pesar de lo práctico de trabajar desde casa, el 57% de los encuestados dijo sentirse más distraídos que en un entorno de oficina tradicional. Esta distracción tuvo una correlación directa con una mayor susceptibilidad a los ciberataques, incluida la insidiosa amenaza de las estafas de phishing.

También hay otra razón poderosa para organizar en este momento una discusión sobre ciberseguridad. De acuerdo con Deloitte, en la era anterior a la pandemia, aproximadamente el 20% de los ciberataques usaban técnicas o malware previamente desconocidos. Sin embargo, con el inicio de la pandemia, este porcentaje aumentó al 35% en ese primer año. Entre los métodos de ataque emergentes, algunos aprovechan las capacidades de aprendizaje automático para adaptarse y evadir la detección. Otra tendencia preocupante es la creciente complejidad de los ataques de ransomware. Los atacantes están combinando tácticas de filtración de datos con ransomware, empleando estrategias persuasivas para obligar a las víctimas a pagar el rescate.

Con la aparición de modelos innovadores como el malware como servicio, la economía de la ciberdelincuencia ha cambiado radicalmente. Los delincuentes experimentados han convertido sus servicios en un bien de consumo y han puesto sus capacidades de amenaza a disposición de los mercados criminales para que los ciberdelincuentes que están dando sus primeros pasos puedan adquirir fácilmente malware y servicios para implementarlo y, a la vez, vender credenciales y datos robados a granel. Esta práctica de la industria ha masificado la cantidad de ciberataques, aunque la escala y la intensidad de cada ataque han ido cambiando a medida que los delincuentes experimentados se posicionan más arriba en la cadena de valor criminal para evitar ser detectados. Los grupos de ciberdelincuentes han ido evolucionando hasta convertirse en entidades organizadas que reflejan la estructura de los negocios legítimos. Por ejemplo, la organización criminal Conti estaba repleta de departamentos de marketing, de recursos humanos y de personal remoto que quizás ignoraran que estaban participando en actividades delictivas.

En nuestro repaso de la preparación en ciberseguridad en América Latina y el Caribe, para evaluar las capacidades cibernéticas de nuestra región nos enfocamos en tres perspectivas reveladoras. Entre 33 economías de la región, encontramos que 18 ya tenían planes estratégicos de ciberseguridad nacionales o los estaban desarrollando activamente. Estos planes sirven como documentos integrales y colaborativos que describen áreas estratégicas para mejorar la resiliencia cibernética, responder a las ciberamenazas, promover la conciencia cibernética y garantizar medidas legales para brindar justicia a las víctimas del ciberdelito. Es fundamental que estos planes estratégicos se actualicen regularmente, que cuenten con los recursos adecuados y que se implementen de manera eficaz para habilitar esfuerzos colectivos en materia de ciberseguridad. En cuanto a las respuestas técnicas a los ciberataques e incidentes, una gran mayoría de los países de la región habían establecido Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). Estos equipos operaban a diferentes niveles e incluían entidades nacionales, gubernamentales, militares y sectoriales. Además, a excepción de cuatro, casi todos los países habían promulgado legislación sobre ciberdelincuencia. Sin embargo, cabe señalar que no evaluamos la eficacia de esta legislación en términos de la relevancia de las definiciones de ciberdelito o la idoneidad de las disposiciones procesales para facilitar las investigaciones y la cooperación transfronteriza entre las diferentes agencias de aplicación de la ley. La instantánea nos ayudó a identificar componentes básicos importantes para la resiliencia cibernética a nivel macro, que de hecho serían necesarios para respaldar cualquier cosa que hagamos a nivel corporativo.

A nivel meso y micro, nuestros expertos destacaron la importancia de generar conciencia en múltiples niveles de las organizaciones e incluso en los hogares, con miras a generar una cultura de ciberseguridad. Una cultura de ciberseguridad se refiere a una mentalidad colectiva y a un conjunto de prácticas que priorizan e integran la ciberseguridad en diferentes aspectos de nuestras vidas. Abarca tanto las prácticas corporativas dentro de las organizaciones como los comportamientos y hábitos que se deben fomentar en los hogares y las familias. En un contexto corporativo, una cultura de ciberseguridad implica crear un entorno en el que la ciberseguridad se considere una responsabilidad compartida entre todos los empleados, desde el personal directivo hasta el personal de primera línea. Implica promover programas de concientización, educación y capacitación para garantizar que todos entiendan la importancia de la ciberseguridad y sepan cómo identificar y responder a las potenciales amenazas. Además, de acuerdo con nuestros expertos, las organizaciones deben establecer políticas y procedimientos claros con respecto a la protección de datos, la privacidad y la respuesta a incidentes. También es esencial fomentar una cultura de comunicación abierta y transparente, donde los empleados se sientan cómodos al informar un incidente de seguridad o un riesgo potencial. En casa, alentar una cultura de ciberseguridad implicaría principios similares, pero con énfasis en la responsabilidad individual y la conciencia familiar. Se espera que los padres se eduquen a sí mismos y a sus hijos sobre la seguridad en línea, la privacidad y los riesgos potenciales asociados con el uso de los dispositivos digitales e Internet. Los abuelos no deben quedar fuera de la ecuación, ya que se debe prestar especial atención a sus necesidades en el uso de las herramientas digitales e Internet.

Durante la discusión los expertos también dirigieron su atención al tema de la cooperación, haciendo hincapié en la naturaleza interconectada y sin fronteras de la ciberseguridad. Se requiere cooperación en múltiples frentes, entre ellos la creación y el fomento de comunidades de confianza entre los técnicos responsables de las operaciones de seguridad, con los organismos encargados de hacer cumplir la ley, y en todos los sectores donde los riesgos reputacionales, operativos y legales puedan verse exacerbados (por ejemplo, en los bancos). En última instancia, también se deben promover medidas para generar confianza en el ámbito cibernético en todos los países, mediante el uso de la ciberdiplomacia, con el objetivo de mejorar la cooperación transfronteriza y la predictibilidad de las maquinarias estatales cuando ocurre un ataque. Dado que una buena ciberhigiene y ciberseguridad son un esfuerzo colectivo, los objetivos de alto nivel de una cooperación reforzada serían reducir y mitigar el impacto de los ciberataques y ciberdelitos.

Una lección que surgió en las primeras discusiones sobre ciberseguridad en las conferencias tecnológicas y que continúa vigente es que las personas —el elemento humano— deben permanecer en primer plano, incluso en los planes de ciberseguridad más importantes. Nuestros enfoques para mejorar la ciberseguridad y salvaguardar los activos digitales deben ser iterativos y persistentes para mantener el ritmo y eventualmente superar a la mutación de los riesgos cibernéticos. En este sentido, todos tenemos un papel que desempeñar. La ciberseguridad ya no es “solo” un problema informático.