8. Ciberseguridad: cuestión de supervivencia

En los próximos diez años, el nivel de penetración de la digitalización no dejará de crecer en todos los aspectos de la vida humana, la gestión empresarial y de recursos públicos. Por tanto, también se multiplicarán sus riesgos.

La cantidad de ciberataques aumentará. Lo hará también su sofisticación y el alcance potencial de aquellos que tengan éxito. Por ello, la ciberseguridad se convertirá en una prioridad absoluta para el mantenimiento del correcto funcionamiento del mercado, de la convivencia social y del sistema de derechos y libertades.

La llegada del 5G y la tendencia a trasladar todo a la nube marcarán el punto de inflexión. Segun datos de Ericsson, si a finales de 2019 hay 13 millones de dispositivos conectados a redes 5G, en 2025 habrá 160 millones. Por ello, subraya  Marc Martínez, socio responsable de Ciberseguridad de KPMG en España, “si no nos aseguramos de dotar de suficiente seguridad al sistema, un ciberataque podrá infectar toda la red rápidamente, desde las personas con dispositivos conectados hasta coches o edificios, ya que serán un único ecosistema”.

Lo mismo sucederá con el Internet de las Cosas (IoT) y la inteligencia artificial. La conectividad va a mejorar sustancialmente la vida pública y la gestión empresarial pero también va a abrir nuevos caminos a la ciberdelincuencia. “Si no protegemos estos entornos tendremos máquinas vulnerables, susceptibles de ser hackeadas  y de tomar decisiones incorrectas”, insiste Marc Martínez. Ataques que pueden afectar a toda cosa conectada: desde los frenos del coche hasta las infraestructuras críticas de un país.

Trafico datos moviles 5g

En los próximos años caminaremos cada vez más hacia la tecnología en la nube (cloud computing) puesto que la madurez del modelo y sus ventajas en términos de eficiencia y agilidad para las compañías es indiscutible.  Así se desprende de la última edición del informe CIO Survey 2019 de Harvey Nash y KPMG, basado en una amplia encuesta a directivos de Tecnologías de la Información (IT). El 87% de los CIOs encuestados dice haber adoptado ya sistemas en la nube en su empresa. De estos, casi la mitad lo ha hecho a gran escala.

Marc Martínez considera que la tendencia se mantendrá creando un ecosistema público y privado cada vez más conectado que requerirá incrementar del mismo modo la inversión y la solidez de los mecanismos y sistemas de ciberseguridad.  “Las empresas están cada vez más concienciadas de que tienen que dedicar recursos”, incide Marc Martínez. A pesar de ello, no todas las empresas de todos los tamaños y sectores están dedicando la misma atención. “Las empresas grandes están dedicando más recursos, aunque aún será necesario seguir incrementando la inversión, y donde hay sin duda un mayor campo que recorrer es en las empresas medianas y pequeñas que, recordemos, son el 90% del tejido empresarial español”, remarca Marc Martínez. “En estas empresas a veces esto no se ve si quiera como un problema, pero les puede impactar directamente”, añade.

38mil

incidentes de ciberseguridad registados por el CCN-CERT en 2018

2.7%

fueron clasificados como muy críticos o de riesgo muy alto

Según recuerda, todavía se encuentran casos en los que las empresas gestionan su ciberseguridad de forma reactiva, cuando sufren un ciberataque al uso como los ataques ransonware que en los últimos años han afectado en varias ocasiones a  empresas en España de diferentes sectores. Sin embargo, cada día que pasa se hace más urgente cambiar este enfoque puesto que el daño potencial de los ataques cibernéticos a nivel financiero, operativo o reputacional, entre otros, así lo demanda.

En el futuro, conforme evolucionen las tecnologías y florezcan nuevos modelos de negocio basados en ellas, también madurarán los ciberataques.  “En la próxima década nacerán y se desarrollarán muchísimas nuevas tecnologías que no se podrán integrar sin ciberseguridad”, insiste Marc Martínez. A su juicio, debe ser una parte intrínseca e inseparable de todos los nuevos desarrollos. “Quien no lo haga va a tener un problema al día siguiente: le van a detener los sistemas y, por tanto, el negocio”.

La regulación tendrá que evolucionar para garantizar la protección de la privacidad pero habilitar, a su vez, la comunicación y la cooperación entre empresas, ciudadanos y gobiernos para construir ecosistemas seguros y capaces de frenar ciberataques
Marc Martínez, socio responsable de Ciberseguridad de KPMG en España

La automatización inteligente o las soluciones en la nube también estarán en la base de las soluciones que en los próximos años se irán aplicando en materia de ciberseguridad. “Los ciberataques serán cada vez más sofisticados y, por tanto, muy difíciles de anticipar o predecir utilizando métodos más tradicionales”, expone Marc Martínez.

En este sentido, la inteligencia artificial permitirá correlacionar eventos a priori inconexos que podrán ayudar a detectar patrones o enviar señales tempranas de alerta para prevenir ataques. “Nos moveremos desde sistemas de seguridad más convencionales hacia sistemas avanzados y ecosistemas multidimensionales basados en datos que permitirán proyectar una ciberseguridad más preventiva que reactiva”, comenta el socio responsable de Ciberseguridad de KPMG en España.

El nivel de digitalización de la vida privada crecerá en los próximos años en proporciones similares a la vida corporativa y nos expondrá cada vez más a ciberataques desde diferentes perspectivas.

Desde la perspectiva de la privacidad, Marc Martínez sostiene que “el mayor cambio de los próximos diez años va a ser la concienciación respecto al nivel de exposición al que están sometidos los datos personales en todas las plataformas en las que estamos presentes como usuarios”.

En este sentido, subraya que las compañías que superen a sus competidores en términos de transparencia y calidad de respuesta ante ciberincidentes tendrán mayor ventaja estratégica.

“Para los consumidores, el valor de sus datos es un aspecto que tienen muy presente. La marca de las organizaciones que sean más transparentes sobre la forma en que gestionan la privacidad y los datos –incluso en cómo actuan ante una brecha de seguridad- se diferenciará automáticamente del resto y se ganará una mayor confianza del consumidor”, señala Marc.

Invertir en la seguridad de los dispositivos y aplicaciones tiene que formar parte de la rutina y la higiene de la empresa ya que mitiga la desconfianza de los consumidores y en consecuencia, bien acaba compensando en ventas o bien crea fidelidad con la marca conforme se van viendo protegidos ante la proliferación de ciberataques en el mercado.  Así lo indica el informe Consumer Loss Barometer de KPMG en el que han participado más de 2000 consumidores y 1.800 responsables de ciberseguridad (CISO) de todo el mundo. El 75% de los  consumidores espera que en el diseño mismo de los nuevos dispositivos conectados se contemplen niveles adicionales de privacidad y seguridad. En España, ocho de cada diez están preocupados por el riesgo de sufrir una brecha de seguridad en sus dispositivos tecnológicos.

Estas son las 15 principales ciberamenazas que ENISA ha incluido en la última edición de su informe Threat landscape report

  1. Malware: la ciberamenaza más frecuente, involucrada en alguna medida en el 30% de todas las filtraciones de datos de 2018.
  2. Ataques basados en webs: son aquellos que utilizan sistemas y servicios web como la capa principal para atacar a su víctima u objetivo (navegadores, sitios web, CMSs y servicios web).
  3.  Ataques basados en aplicaciones web: ataques directos o indirectos que buscan explotar alguna vulnerabilidad o debilidad en los servicios o aplicaciones de la web atacada, sirviéndose de sus APIs o entornos de ejecución. Es decir, el simple abuso de un componente activo o pasivo de un software disponible via web.
  4. Phishing: es el mecanismo de diseño de mensajes usando técnicas de ingeniería social para conseguir el receptor haga click en un enlace no seguro, un archivo malicioso o que exponga sus datos personales o credenciales bancarias en páginas que imitan a otras con apariencia legítima. El 75% de los Estados de la UE han reportado casos de phishing. Más del 90% de las infecciones de malware y el 72% de las filtraciones de datos en las empresas tiene su origen en ataques de phishing.
  5. Ataques de denegación de servicio: es una de las amenazas con mayor impacto potencial a la que están expuestas las empresas. El incremento de los dispositivos conectados a nivel global y su dependencia del IOT ha despertado la preocupación ante el riesgo de que estos ataques puedan provocar colapsos a nivel nacional afectando a empresas e infraestructuras críticas.
  6. Spam: es el uso abusivo del email y las tecnologías de mensajería que pueden inundar a los usuarios con mensajes no solicitados. Aunque ha ido decreciendo en volumen, todavía es un vector relevante.
  7. Botnets: son redes de ordenadores utilizados sin el conocimiento de su propietario para actividades cibercriminales como distribuir spam, para el robo automatizado de datos de valor como datos sobre tarjetas de crédito o con otros fines.
  8. Fuga de datos: no es exactamente una ciberamenaza sino el reflejo de un ciberataque exitoso que tiene como consecuencia la pérdida o la exposición de datos (incluyendo datos sensibles de empresas o individuos).
  9. Amenaza interna: la amenaza interna puede existir dentro de cualquier organización. Cualquier empleado o exempleado, socio o proveedor que tenga o haya tenido acceso a los activos digitales de la empresa puede intencionada o accidentalmente utilizar mal este acceso. Los tres tipos más frecuentes de amenazas internas son: el empleado que actúa con intención, el negligente –que no cumple con las medidas de seguridad establecidas por dejadez- o aquel que bajo la amenaza del verdadero atacante actúa como vehículo o canal del ataque sin intención.
  10. Manipulación, daño, robo o pérdida física: aunque la encriptación y las prácticas establecidas en las empresas mitigan, en gran parte, los riesgos asociados con los ataques “físicos”, todavía pueden generar oportunidades para cometer ciberdelitos.
  11. Filtraciones de información: es una de las ciberamenazas que pueden afectar a una gran cantidad de información, desde datos personales de empresas de internet y servicios online hasta datos de empresas almacenados en infraestructuras IT.
  12. Robo de identidad: es el fraude que implica el robo de información personal y de identidad.
  13. Criptohacking: se refiere a los programas que usan la capacidad de procesamiento del dispositivo de las víctimas sin su consentimiento (CPU o GPU) para hacer minería de criptomonedas.
  14. Ransomware: el atacante se adueña de archivos o dispositivos y bloquea el acceso a sus propietarios a quienes exige una cantidad de dinero -con frecuencia en criptomoneda- a cambio del desbloqueo.
  15. Ciberespionaje: habitualmente se dirige contra sectores industriales o infraestrcuturas críticas en cualquier lugar del mundo incluyendo entidades gubernamentales, infraestructuras de transporte, telecomunicaciones, hospitales o entidades financieras. Puede tener intereses geopolíticos, de sustracción de secretos de estado o de derechos de propiedad intelectual.

Las infraestructuras públicas y críticas conectadas son igualmente susceptibles de sufrir ciberataques capaces de colapsar países. Por ello, será tan relevante cooperar entre el sector público y el privado para proteger los sectores estratégicos de cualquier amenaza cibernética.

La regulación, en este sentido, tendrá que evolucionar para garantizar la protección de la privacidad pero habilitar, a su vez, la comunicación y la cooperación entre empresas, ciudadanos y gobiernos para construir ecosistemas seguros y capaces de frenar ciberataques ya que, como enfatiza Marc Martínez, “los incentivos son muy altos”.

preocupaciones-usuarios

El desconocimiento en materia de ciberseguridad es el mayor factor de riesgo que presentan empresas y ciudadanos. “Debería ser una asignatura obligatoria en el colegio y, en paralelo, una prioridad formativa en el mundo empresarial para todos aquellos que están en activo y nunca han recibido formación”, recomienda el socio responsable de Ciberseguridad de KPMG.

Una necesidad que en las empresas es igualmente extensiva a los miembros de la alta dirección que requerirán un conocimiento más profundo de ciberseguridad que les permita integrarla en el día a día del negocio y de la estrategia.