Desde la aparición de la web 2.0, más conocida como web social, basada en la interactividad entre usuarios para crear contenido, los ciberataques se han dado en todos los ámbitos: desde en foros a grandes empresas. En esta etapa en la que los usuarios han sido la razón de ser de internet, este poder también ha hecho surgir la cara mala de la digitalización, y todo el valor que hay tras las pantallas. Ahora, con el continuo desarrollo de la web 3.0, que se basa en desarrollar un internet "experiencial", los datos de dichos usuarios son fundamentales, y están recogidos principalmente en aquellos lugares que más frecuentamos: webs de compras, telefonía, bancos... en resumen, empresas, tanto del sector público como del privado.
Con todo este flujo de datos, cada vez es más frecuente el robo de los mismos por parte de ciberdelincuentes. Tan solo en el pasado mes de septiembre, el Ayuntamiento de Sevilla reconoció que había sufrido una intrusión y secuestro de sus equipos informáticos, así como la empresa pública de Gestión Ambiental de Castilla-La Mancha (Geacam) a la que hackearon y ecriptaron todo el sistema operativo. En el sector privado, ha habido algunos tan sonados como el de Yahoo, que reconoció años más tarde que recibieron un ataque que afectó a más de 1.000 datos personales de sus usuarios; o el de Sony, en el que robaron correos y películas de la compañía, lo que produjo unas pérdidas millonarias. Todo ello con un objetivo: o bien los datos de los usuarios (que es lo más frecuente) o los de la empresa.
Es por ello que cada vez son más los miembros que conforman los consejos de administración de las empresas que temen recibir un ciberataque. Prácticamente tres de cada cuatro (73%) piensan que corren peligro, un 8% más que los que tenían esa percepción hace un año, según el informe de ciberseguridad de Proofpoint. En la línea de esta visión están los CISO, los responsables de la seguridad de la información de las empresas. El 68% de ellos opina que su organización está en riesgo, un aumento considerable respecto al año anterior (48%). En España, este miedo es aún mayor: el 76% de los consejos de administración creen que sus empresas están en riesgo de sufrir un ciberataque, mientras que el 72% de los CISO también están en consonancia con ese pensamiento.
Pero no todas las empresas son atacadas de igual forma. En concreto, aquellas del sector industrial y minorista son las que más preocupación sienten, porque ambos gestionan grandes cantidades de información personal y financiera y cuentan a su vez con plantillas de personal administrativo que pueden carecer de conocimientos de ciberseguridad. Si a esto le sumamos que el teletrabajo está cada vez más extendido entre las empresas españolas y, en algunos casos, la jornada desde casa es ejecutada con un ordenador personal, este conjunto supone un gran agujero en la seguridad de la organización.
La IA y su doble filo
La aparición de la Inteligencia Artificial (IA) en la escena internacional ha hecho que los directivos se vuelvan aún más temeroros a estos ciberataques. Casi tres de cada cinco (59%) consejos de administración creen que esta tecnología ya supone un riesgo para la seguridad de sus organizaciones, aunque la IA ha hecho que tanto delincuentes como las propias compañías se puedan aprovechar de ella.
A medida que esta tecnología avanza, lo hacen los ataques sofisticados, pero de igual manera se potencian los sistemas para defenderse de ellos. Sin duda, el mal uso de la IA puede ser peligroso en muchos ámbitos: desde la creación de bulos, como se ha visto con la imitación de voces de imágenes manipuladas, hasta el perfeccionamiento del phising o el malware.
Sin embargo, los que apuestan por estos avances justifican que también mejoran significativamente los sistemas de seguridad, gracias a la capacidad de analizar grandes cantidades de datos en tiempo real y detectar patrones y comportamientos no habituales. También es aprovechable la capacidad de aprendizaje de esta tecnología, mejorando continuamente en la detección de amenazas a medida que se vayan detectando.
La falta de formación
Los CISO y los miembros de los consejos de administración, a pesar de mostrar percepciones parecidas en cuanto al riesgo, no creen que el enemigo provenga de los mismos sitios. El informe de Proofpoint así lo revela, ya que los primeros temen en su mayoría a los malware (40%), las cuentas en la nube (36%) y las amenazas internas (36%). Este último es el denominador común en los tres principales riesgos entre CISO y los consejos de administración, aunque los primeros creen que las estafas por email sigue siendo el principal problema para las organizaciones.
Las amenazas internas es uno de los puntos que aparentemente más facilidad tiene para solucionarse, y no es más que la formación de los trabajadores en materia de ciberseguridad. Sin embargo, aún no parece que esto sea una prioridad para todas las empresas, ya que según el informe de Infojobs de 2022 sobre la seguridad informática, tan solo 4 de cada 10 empleados habían recibido formación en este ámbito.
Esta falta de conocimiento implica también una despreocupación por este asunto, y este informe lo visibiliza, ya que entre aquellos trabajadores que sí han recibido formación, la concienciación sobre los peligros de internet permanecen, pero en los que no, la preocupación disminuye 4 puntos porcentuales, hasta el 28%. Además, otra diferencia es que entre aquellos que tienen formación, un 29% son conscientes de haber recibido algún ciberataque, mientras que esta cifra desciende hasta el 11% en aquellos que no la reciben.
Todo esto, en un contexto en en el que parece que la ciberseguridad comienza a calar dentro del sistema educativo español, proliferando cada vez más plazas en los másteres universitarios públicos (455 en el curso 2022-23) ante la creciente demanda del mercado laboral en este ámbito. Y es que tan solo en nuestro país, según el estudio Análisis y diagnóstico del talento en ciberseguridad en España elaborado por Incibe, antes de 2024 se necesitarán cubrir 83.000 puestos relacionados con la ciberseguridad. Otro informe de la asociación DigitalEs de 2022 era menos ambicioso, pero también recalcaba que había 24.000 vacantes sin cubrir.
Además del sistema público, la mayoría de los consejos de administración de las empresas afirman haber reforzado la solidez presupuestaria en ciberseguridad. Hasta un 70% asegura que su organización ha invertido lo suficiente en los últimos 12 meses, pero eso sí, esta cifra es inferior a la del año pasado (76%) lo que sugiere que un número cada vez mayor de CISO considera que necesita más recursos en un panorama que cambia rápidamente. Aun así, la tendencia parece alcista, ya que el 84% de los miembros del consejo creen que su presupuesto aumentará en el próximo ejercicio, siendo España uno de los países en los que más se espera dicho aumento (un 92%).
Los CISO y la alta dirección
Año a año, la representación de los CISO en los consejos de administración de las empresas aumenta (casi tres cuartas partes), pero lo cierto es que esa participación se limita a informes en casi un tercio de las veces, y solo el 53% afirma que interactúa regularmente con sus homólogos en ciberseguridad, lo que conlleva un detrimento de un nivel de seguridad sólido.
