Ciberseguridad: tan compleja como necesaria

En la Edad Media, los castillos estaban rodeados de un foso que les permitía establecer un perímetro de seguridad frente a los enemigos. Cierto que podían verse engañados y que se adentrara un caballo de Troya cuando se bajaba la puerta de fortificación, pero el foso y las almenas solían ser las principales armas de defensa.

Este símil podía ilustrar muy bien cómo era la seguridad de las empresas hasta hace no mucho: el perímetro, el cortafuegos, el control de acceso, las contraseñas, los antivirus… Sin embargo, la ciberseguridad se ha vuelto tan compleja que hay tantas capas (defensa, detección, protección, recuperación…), procesos y dispositivos (ordenadores, móviles, servidores, red, aplicaciones, bases de datos…) y pasos que dar que se calcula que, de media, una empresa puede llegar a tener hasta 50 soluciones (o más) de ciberseguridad. Emma Carpenter, vicepresidenta de seguridad de Cisco, aseguraba en una reciente visita a Madrid que «cada vez hay nuevas amenazas, lo que hace que surjan diferentes y nuevos proveedores» para cada una de ellas, por lo que una empresa «puede llegar a tener centenares de aplicaciones».

«El cibercrimen nos está empujando hacia una complejidad cada vez más arraigada, pero también nosotros, como seres humanos, intentamos muchas veces sobre complicar las cosas», asegura José de la Cruz, director técnico de Trend Micro en España.

Según su visión, la actividad de los criminales tiene tres características básicas: que atacan por todos lados, que diversifican su actividad («están continuamente evolucionando en sus tácticas y sus técnicas de ataque para hacer cada vez más efectivos y aumentar su productividad») y que los ataques son cada vez más dirigidos y persistentes («saben muy bien a quién está atacando y lo hacen de manera muy dirigida y muy persistente hasta que consiguen su objetivo»).

No es el único experto en la materia que opina así. «Las actividades de los ciberdelincuentes son cada vez más oportunistas, constituyendo un modelo de negocio en sí mismo. Uno muy lucrativo y profesionalizado en el que la innovación es continua y cada vez gana más velocidad: en 2022, la cantidad estimada de contraseñas vulneradas por segundo aumentó un 74%», explica Alberto Pinedo, director de Tecnología de Microsoft, quien asegura que esta situación «incrementa la complejidad necesaria en la defensa y obliga a redoblar esfuerzos para contrarrestar sus efectos».

Cumplir la regulación

A todo este panorama habría que añadir la necesidad que tienen las empresas de cumplir con diferentes regulaciones y normativas, como RGPD o NIS que pueden dar lugar a sanciones financieras. O que, tal y como señala Javier Tomás, Spain Sales Director en BeDisruptive, la seguridad tiene, cada vez más, un carácter estratégico. «Nos enfrentamos a la posibilidad de que los atacantes pueden ser gobiernos o Estados con intereses espurios relativos a temas de espionaje o sabotaje o robo en propiedad intelectual. Por lo tanto, mi nivel de exposición crece», añade.

Una visión compartida por Pinedo. «En el último año, los ataques cibernéticos han afectado a 120 países, alimentados por el espionaje promovido por gobiernos y las operaciones de influencia», asegura Pinedo, quien denuncia que, dado que «la motivación predominante es el robo de información, la monitorización encubierta de las comunicaciones y la manipulación de la opinión pública», podemos decir que un ataque de ciberseguridad es, en realidad, algo que «atenta contra la democracia y la sociedad».

A esto habría que añadir que «las inversiones en ciberseguridad son relativamente costosas y las empresas deben equilibrar entre la necesidad de proteger sus activos digitales con las restricciones presupuestarias. Es un caldo de cultivo y realmente un desafío. No es algo sencillo de resolver», detalla Tomás.

Seguros, pero no complejos

¿Se puede llegar a eliminar esta complejidad sin mermar las opciones de seguridad? Emma Carpenter, apuesta por ofrecer «soluciones como plataformas en la nube que satisfaga todo» y, sobre todo, eliminando decisiones innecesarias desde el punto de vista del usuario. «A ninguna persona se le pregunta de dónde quiere que proceda su agua: si de una cañería de plomo, cobre o aluminio. Con la seguridad tecnológica debería pasar igual», pone como ejemplo.

José de la Cruz considera que hay tres consejos básicos que toda empresa debe seguir para eliminar complejidades y mantenerse seguros. Por un lado, analizar su política de seguridad. «Antes de empezar a añadir miles de capas de seguridad, debemos entender cuáles son nuestros puntos débiles», señala. Tras eso, se debería bloquear y detectar los incidentes lo antes posible. «Si se detecta en fases iniciales, el coste puede ser relativamente bajo», asegura. El último paso es el control y la respuesta ante un incidente de seguridad, analizando el contexto en el que se ha producido.

Además, los expertos consultados por esta redacción subrayan la necesidad de contar con sistemas de autenticación multifactor, soluciones antimalware y mantener actualizados los sistemas. Unas medidas básicas que «protegen frente a más del 99% de los ataques actuales», en palabras de Pinedo. «Además, a medida que el usuario conoce mejor los riesgos se sensibiliza y está más en alerta ante posibles situaciones que le lleven a convertirse en víctima de ataques como, por ejemplo, los de ingeniería social», defiende.

El responsable de BeDisruptive recomienda medidas básicas (como proteger el corre electrónico, la navegación y el puesto de trabajo). Aunque el ciclo completo se compone de prevención, protección, detección y respuesta, Tomás defiende que las empresas hagan simulacros de ataques de seguridad igual que la prevención contra incendios. «Lo importante es el entrenamiento de la respuesta que se va a dar a un incidente de seguridad. Vas a ser atacado o tener una brecha de seguridad. Es fundamental saber y entrenar la forma en la que te vas a levantar, cuán resiliente vas a ser y lo rápido que te vas a recuperar».

330 ataques cada día: España se enfrentó a 120.000 amenazas

Aunque solo los ataques más grandes o severos (como el que ha sufrido esta misma semana AirEuropa) acaban saltando a los titulares, lo cierto es que todos los días se producen incidentes. Según los datos del Instituto Nacional de Ciberseguridad de España (INCIBE), su Centro de Respuesta a Incidentes de Seguridad (INCIBE-CERT), gestionó el año pasado 118.820 incidentes de ciberseguridad, un 9% más respecto al año anterior. La mayoría (más de 110.100) los sufrieron ciudadanos y empresas y 1 de cada 3 ataques son una filtración de datos (sensibles, protegidos o confidenciales que son robados por una persona no autorizada); y 2 de cada 5 son vulnerabilidades de sistemas tecnológicos (debilidad de un sistema que puede poner en riesgo su seguridad). ¿Los más frecuentes? Phishing (casi 17.000 incidentes), malware (más de 14.000) y, ransomware (casi 450 incidentes).